Nach der Verwüstung des US-Kapitols durch Unterstützer des noch amtierenden Präsidenten Donald Trump treibt die Welt die Frage nach der Stabilität der US-Demokratie um. Im Kapitol selbst steht das Personal vor der Mammutaufgabe, die Spuren der Zerstörung zu beseitigen. Der wahrscheinlich aufwendigste Teil davon: Büros und digitale Systeme zu sichern.

Physischer Zugang zu einer normalerweise nicht zugänglichen Einrichtung kann ernsthafte Auswirkungen auf die IT-Sicherheit haben. Theoretisch könnten die Eindringlinge die Büros verwanzt, Malware auf den Geräten der Kongressmitarbeiter installiert oder Daten extrahiert haben. Als der Mob am Mittwoch eintraf, hatten einige Mitarbeiter wohl ihre Arbeitsplätze in großer Eile verlassen, ohne vorher ihre Geräte zu sperren. Zudem wurde offenbar mindestens ein Laptop gestohlen.

Das Repräsentantenhaus und der Senat haben jeweils ein Büro, das die Sicherheit überwacht. Auf der Senatsseite beaufsichtigt dieses Gremium auch die Sicherheit der IT. Im Repräsentantenhaus obliegt das der Verantwortung des Chief Administrative Officer.

Der frühere Sergeant at Arms des Senats, Frank Larkin, bezeichnete die Lage als äußerst schwierig. „Das Kapitol hat zwar schon Evakuierungen und Schutzmaßnahmen hinter sich, ein solches Szenario stand allerdings nicht gerade oben auf der Liste der möglicher Bedrohungen“, sagte er gegenüber Wired.

Die laufenden Sofortmaßnahmen zur Eindämmung der potenziellen Bedrohung beinhalten die Sichtung der Aufnahmen der Sicherheitskameras im Plenarsaal des Repräsentantenhauses und des Senats, auf den Fluren und anderen Räumen sowie die Suche nach versteckten Abhörgeräten und Kameras – Routineprozesse, die das Sicherheitspersonal sowieso von Zeit zu Zeit durchführt. Die zeitgleiche Überprüfung aller Räumlichkeiten und Flure ist aber aufwendig und die Gefahr nicht unerheblich, dass dabei doch etwas übersehen wird.

„Es wird Tage dauern, nachzuvollziehen, was passiert ist, was gestohlen wurde und was noch da ist“, sagte der amtierende US-Anwalt des District of Columbia, Michel Sherwin, am Donnerstag in einem Briefing. Geräte und Dokumente wurden entwendet, das genaue Ausmaß des Schadens und potenzielle Auswirkungen auf die nationale Sicherheit sind noch völlig unklar.

Anders als etwa das Weiße Haus, dessen Zugang streng kontrolliert wird, wird das Kapitol auch als Haus des Volkes bezeichnet. Nicht alle Bereiche sind streng überwacht. Für bestimmte Besuchergruppen sind einige sogar offen zugänglich. Das Kapitol habe mehr Ein- und Ausgänge, als bei normaler Personalbesetzung gleichzeitig bewacht werden können, sagte Larkin.

Laut des Experten hat die Sicherheit der IT neben der physischen absolute Priorität. Trotzdem hatte der Mob am Mittwoch zahllose Gelegenheiten, Informationen zu stehlen oder sich Zugang zu Arbeitsgeräten von Kongressmitarbeitern zu verschaffen. Die IT von Senat und Repräsentantenhaus verfügt jeweils über ein eigenes, geteiltes System. Jedes der Abgeordnetenbüros verfügt dann noch über ein eigenes System. Das bedeutet zumindest: Wer Zugriff auf den Account eines Senators oder Abgeordneten hat, kann noch lange nicht auf E-Mails anderer Kongressmitglieder zugreifen. Allgemeine Mechanismen, die es der IT ermöglichten, zu überprüfen, ob es verdächtige Aktivitäten auf den Geräten der Abgeordneten gab, sind laut Larkin selbstverständlich vorhanden. Die dezentrale IT bedeutet im Umkehrschluss aber auch, dass nicht unbedingt überall zwingend die gleichen Authentifizierungs- und Monitoring-Standards gelten.

Die Randalierer hatten zwar offenbar keinen Zugang zu klassifizierten Netzwerken, trotzdem betonen Sicherheitsexperten, dass eine ausreichende Menge nicht klassifizierter Informationen in Kombination trotzdem sensible Daten offenlegen könnte. Zudem unterliegen Kongressmitarbeiter anders als andere Staatsbedienstete nicht den Verpflichtungen des Freedom of Information Act und sind möglicherweise entsprechend nachlässiger in ihrer Kommunikation.

Während US-Behörden und das Kapitol selbst eiskalt von dem Angriff erwischt wurden, hatten Trump-Unterstützer ihn offenbar seit Längerem in aller Öffentlichkeit geplant. Planung und Organisation waren in weiten Teilen über Gruppen in sozialen Netzwerken koordiniert worden. Es ist zumindest denkbar, dass ausländische Geheimdienste im Vorfeld von den Plänen wussten und darin eine Gelegenheit witterten.

Das empfohlene Vorgehen in einem solchen Fall sei: „Unterstelle grundsätzlich, dass alles kompromittiert wurde“, sagt Manuel Atug, IT-Sicherheitsexperte bei Hisolutions, gegenüber t3n. Ausgehend von dieser Annahme würden dann Implikationen und Risiken abgewägt. Zunächst müsse das Krisenmanagement des Kongresses feststellen, welche Geräte gestohlen wurden, Überwachungsprotokolle und Logdateien des kritischen Zeitraums auf Hinweise unbefugten Zugriffs oder mögliche Datenexfiltration überprüfen und bei Bedarf Geräte bereinigen und austauschen.

„Es wird vermutlich nicht so kommen, dass alle elektronischen Geräte, jeder Drucker und jedes Kabel entfernt und zerstört werden müssen“, schätzt der Experte. Es sei vielmehr denkbar, dass nach der Überprüfung und einer Risikoabwägung als weniger kritisch eingestufte Geräte und Arbeitsplätze weiter genutzt werden. Schlussendlich gehe es auch darum, die Handlungsfähigkeit zu wahren. Nachrichtendienstlichen Wert könnten im Zug des Vorfalls potenziell nach außen gelangte Informationen unabhängig davon natürlich trotzdem haben.

„Präventive Maßnahmen zum Schutz der IT sind schlussendlich jedoch nur so effektiv, wie die physische Sicherheit und die organisatorischen Prozesse einer Einrichtung gewährleistet ist. Ist zum Beispiel das Personal nicht vertrauenswürdig, helfen auch die beste Firewall oder Maßnahmen wie die Deaktivierung von USB-Ports an den Computern wenig“, sagte Atug. In den sozialen Netzwerken hatten zahlreiche Nutzer Zweifel an der Integrität des Kapitol-Sicherheitspersonals geäußert.