Der U.S. Kongress unterhält ein "Budget Office" (CBO), welches wirtschaftliche Einschätzungen bezüglich Gesetzesvorhaben erstellt. Dessen IT wurde – mutmaßlich durch einen bösen staatlichen Akteur – gehackt – so was schlimmes, kann man nix machen. Doof, wenn Sachen seit einem Jahr nicht gepatcht wurden. Hier ein Blick in den Hinterhof.
Was ist das CBO?
Das Congressional Budget Office (CBO) ist eine überparteiliche Behörde, die dem US-Gesetzgeber wirtschaftliche Analysen und Kostenschätzungen für Gesetzesvorlagen zur Verfügung stellt. Dies US-Bundesbehörde hat 275 Mitarbeiter – und dürfte aktuell unter dem sogenannten Shutdown, also dem Ausgabenstopp bei US-Behörden, leiden. Die Behörde macht mutmaßlich etwas ähnliches wie der "Wissenschaftliche Dienst" des deutschen Bundestags.
Das CBO wurde gehackt
Vor einigen Stunden wurde bekannt, dass das CBO wohl "Opfer eines Cyberangriffs" geworden ist. Die Washington Post hat erstmals berichtet (leider hinter Paywall), und gab unter Berufung auf vier anonyme Personen, die mit der Situation vertraut sind, an, dass der Angriff "vermutlich von einem ausländischen Akteur durchgeführt" wurde. Das CBO bestätigte bisher nicht, ob der Angriff von einem ausländischen Akteur verursacht wurde.
Die Seite hier hat einige Informationen frei abrufbar. Dort wird Caitlin Emma, eine Sprecherin des CBO, erwähnt, die in einer schriftlichen Stellungnahme erklärte, dass die Behörde "den Sicherheitsvorfall identifiziert, sofortige Maßnahmen zu seiner Eindämmung ergriffen und zusätzliche Überwachungsmaßnahmen sowie neue Sicherheitskontrollen eingeführt hat, um die Systeme der Behörde künftig besser zu schützen".
"Der Vorfall wird derzeit untersucht, und die Arbeit für den Kongress geht weiter", sagte Emma. "Wie andere Regierungsbehörden und Unternehmen des privaten Sektors ist auch das CBO gelegentlich mit Bedrohungen für sein Netzwerk konfrontiert und überwacht dieses kontinuierlich, um diesen Bedrohungen zu begegnen."
Ein Einbruch in diese US-Behörde könnte möglicherweise Entwürfe von Berichten, Wirtschaftsprognosen und interne Mitteilungen offenlegen, befürchtet Bleeping Computer. In diesem Artikel gibt es auch noch ähnliche Statements.
Ein Blick in den (schmutzigen) Hinterhof
Ist ein Cyberangriff, dazu noch ausgeführt von ausgebufften staatlichen Akteuren – kann man nichts machen, es triff doch einfach alle, ist die übliche Antwort. Und es folgt die Floskel, dass man die Sicherheit noch ein wenig verbessert habe. Noch besser kommt es, wenn man "wir machen jetzt was mit AI" in solche Statements einfließen lassen kann. Die Öffentlichkeit nickt wissend und wartet auf den nächsten Cybervorfall.
Ich hätte diesen Cybervorfall hier im Blog nicht aufgegriffen – was interessiert, wenn im fernen Amerika ein Sack Reis im Kongress umfällt – wenn ich nicht plötzlich einen (Ein-)Blick in den "schmutzigen Hinterhof" des CBO bekommen hätte.
Beim morgendlichen Abrufen meiner Informationsquellen ist mir obiger BlueSky-Post von Sicherheitsforscher Kevin Beaumont ins Auge gesprungen. Der hat mich natürlich sofort getriggert, steht doch die Behauptung im Raum, dass die seit über einem Jahr die IT-Infrastruktur nicht gepatcht hätten.
In obigem Post schreibt, dass die CISCO ASA-Box der CBO.org offline sei, und fügt in diesem Post an, dass etwa 70 % der Unternehmen diese Cisco ASA-Sicherheitslücken noch immer nicht gepatcht haben. Der Shodan-Record zeigt, dass die Cisco ASA-Box seit 15. September 2025 "online" sei. Ich hatte im September 2025 im Beitrag Cisco Adaptive Security Appliance wird über 0-day angegriffen über eine Warnung der CISA an US-Behörden berichtet. Die Cisco ASA-Boxen wurden teilweise seit 2024 angegriffen. Beaumont schreibt: "Wenn ich eine Ransomware-Gruppe wäre, würde ich in (alte) Cisco ASA AnyConnect-Sicherheitslücken investieren, da die überwiegende Mehrheit der Unternehmen sich nicht um Patches kümmert, weil sie zu sehr damit beschäftigt sind, sich über Quanten- und KI-Risiken den Kopf zu zerbrechen."
Beaumont erwähnt hier, dass er auf Mastodon Threads darüber gepostet habe, dass AttorneyGeneral.gov nicht gepatcht war und dann über CitrixBleed2 gehackt wurde (was zu einem Ransomware-Vorfall führte) und viele andere. Sein Favorit sie die US-Sicherheitsbehörde NSA. Daher sollte man die obige Aussage in "ist halt ungepatchte Software und IT-Infrastruktur, kann man nix machen" abwandeln – dann passt es besser.
NIS-2-Entwurf in Deutschland
Weil es gerade im Kontext passt: Deutschland hinkt ja um Monate bei der nationalen Umsetzung der EU NIS-2-Richtlinie. Immerhin gab es im Sommer einen Kabinettsbeschluss (siehe Kabinettsbeschluss zur NIS-2-Richtlinie). Nun berichtet heise aktuell, dass sich Mitglieder der Unions- und SPD-Fraktion bei der Überarbeitung der Cybersicherheitsvorgaben für Kritische Infrastrukturen geeinigt haben. NIS-2 kann als Richtlinie nun durch das Gesetzgebungsverfahren laufen.
Ähnliche Artikel zu NIS-2:
NIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025)
BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
Praxisleitfaden zur NIS-2-Umsetzung
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
MVP: 2013 – 2016
Naja, der gute beste reichste Elon der Welt hat ja mit seiner DOGE alles überflüssige Personal gefeuert. Kein Wunder, wenn die seit einem Jahr mit dem Patchen nicht hinterher kommen.
Das Department of Transportation in Nevada scheint auch aktuell riesen Probleme zu haben mit ihrem Formularserver. Da verteilt jemand pdf-Dateien zu merkwürdigen Themen. Zu finden zum Teil mit dem Schlagwort "AI" aber wurde mir mehrfach unterschiedlich in die Timeline gespühlt: https://www.google.com/search?q=%22dot.nv.gov%22+ai
unfassbar… Danke für das Aufgreifen des sensiblen, aber auch interessanten Themas.