Der U.S. Kongress unterhält ein "Budget Office" (CBO), welches wirtschaftliche Einschätzungen bezüglich Gesetzesvorhaben erstellt. Dessen IT wurde – mutmaßlich durch einen bösen staatlichen Akteur – gehackt – so was schlimmes, kann man nix machen. Doof, wenn Sachen seit einem Jahr nicht gepatcht wurden. Hier ein Blick in den Hinterhof.
Was ist das CBO?
Das Congressional Budget Office (CBO) ist eine überparteiliche Behörde, die dem US-Gesetzgeber wirtschaftliche Analysen und Kostenschätzungen für Gesetzesvorlagen zur Verfügung stellt. Dies US-Bundesbehörde hat 275 Mitarbeiter – und dürfte aktuell unter dem sogenannten Shutdown, also dem Ausgabenstopp bei US-Behörden, leiden. Die Behörde macht mutmaßlich etwas ähnliches wie der "Wissenschaftliche Dienst" des deutschen Bundestags.
Das CBO wurde gehackt
Vor einigen Stunden wurde bekannt, dass das CBO wohl "Opfer eines Cyberangriffs" geworden ist. Die Washington Post hat erstmals berichtet (leider hinter Paywall), und gab unter Berufung auf vier anonyme Personen, die mit der Situation vertraut sind, an, dass der Angriff "vermutlich von einem ausländischen Akteur durchgeführt" wurde. Das CBO bestätigte bisher nicht, ob der Angriff von einem ausländischen Akteur verursacht wurde.
Die Seite hier hat einige Informationen frei abrufbar. Dort wird Caitlin Emma, eine Sprecherin des CBO, erwähnt, die in einer schriftlichen Stellungnahme erklärte, dass die Behörde "den Sicherheitsvorfall identifiziert, sofortige Maßnahmen zu seiner Eindämmung ergriffen und zusätzliche Überwachungsmaßnahmen sowie neue Sicherheitskontrollen eingeführt hat, um die Systeme der Behörde künftig besser zu schützen".
"Der Vorfall wird derzeit untersucht, und die Arbeit für den Kongress geht weiter", sagte Emma. "Wie andere Regierungsbehörden und Unternehmen des privaten Sektors ist auch das CBO gelegentlich mit Bedrohungen für sein Netzwerk konfrontiert und überwacht dieses kontinuierlich, um diesen Bedrohungen zu begegnen."
Ein Einbruch in diese US-Behörde könnte möglicherweise Entwürfe von Berichten, Wirtschaftsprognosen und interne Mitteilungen offenlegen, befürchtet Bleeping Computer. In diesem Artikel gibt es auch noch ähnliche Statements.
Ein Blick in den (schmutzigen) Hinterhof
Ist ein Cyberangriff, dazu noch ausgeführt von ausgebufften staatlichen Akteuren – kann man nichts machen, es triff doch einfach alle, ist die übliche Antwort. Und es folgt die Floskel, dass man die Sicherheit noch ein wenig verbessert habe. Noch besser kommt es, wenn man "wir machen jetzt was mit AI" in solche Statements einfließen lassen kann. Die Öffentlichkeit nickt wissend und wartet auf den nächsten Cybervorfall.
Ich hätte diesen Cybervorfall hier im Blog nicht aufgegriffen – was interessiert, wenn im fernen Amerika ein Sack Reis im Kongress umfällt – wenn ich nicht plötzlich einen (Ein-)Blick in den "schmutzigen Hinterhof" des CBO bekommen hätte.
Beim morgendlichen Abrufen meiner Informationsquellen ist mir obiger BlueSky-Post von Sicherheitsforscher Kevin Beaumont ins Auge gesprungen. Der hat mich natürlich sofort getriggert, steht doch die Behauptung im Raum, dass die seit über einem Jahr die IT-Infrastruktur nicht gepatcht hätten.
In obigem Post schreibt, dass die CISCO ASA-Box der CBO.org offline sei, und fügt in diesem Post an, dass etwa 70 % der Unternehmen diese Cisco ASA-Sicherheitslücken noch immer nicht gepatcht haben. Der Shodan-Record zeigt, dass die Cisco ASA-Box seit 15. September 2025 "online" sei. Ich hatte im September 2025 im Beitrag Cisco Adaptive Security Appliance wird über 0-day angegriffen über eine Warnung der CISA an US-Behörden berichtet. Die Cisco ASA-Boxen wurden teilweise seit 2024 angegriffen. Beaumont schreibt: "Wenn ich eine Ransomware-Gruppe wäre, würde ich in (alte) Cisco ASA AnyConnect-Sicherheitslücken investieren, da die überwiegende Mehrheit der Unternehmen sich nicht um Patches kümmert, weil sie zu sehr damit beschäftigt sind, sich über Quanten- und KI-Risiken den Kopf zu zerbrechen."
Beaumont erwähnt hier, dass er auf Mastodon Threads darüber gepostet habe, dass AttorneyGeneral.gov nicht gepatcht war und dann über CitrixBleed2 gehackt wurde (was zu einem Ransomware-Vorfall führte) und viele andere. Sein Favorit sie die US-Sicherheitsbehörde NSA. Daher sollte man die obige Aussage in "ist halt ungepatchte Software und IT-Infrastruktur, kann man nix machen" abwandeln – dann passt es besser.
NIS-2-Entwurf in Deutschland
Weil es gerade im Kontext passt: Deutschland hinkt ja um Monate bei der nationalen Umsetzung der EU NIS-2-Richtlinie. Immerhin gab es im Sommer einen Kabinettsbeschluss (siehe Kabinettsbeschluss zur NIS-2-Richtlinie). Nun berichtet heise aktuell, dass sich Mitglieder der Unions- und SPD-Fraktion bei der Überarbeitung der Cybersicherheitsvorgaben für Kritische Infrastrukturen geeinigt haben. NIS-2 kann als Richtlinie nun durch das Gesetzgebungsverfahren laufen.
Ähnliche Artikel zu NIS-2:
NIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025)
BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
Praxisleitfaden zur NIS-2-Umsetzung
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
MVP: 2013 – 2016
Naja, der gute beste reichste Elon der Welt hat ja mit seiner DOGE alles überflüssige Personal gefeuert. Kein Wunder, wenn die seit einem Jahr mit dem Patchen nicht hinterher kommen.
Das Department of Transportation in Nevada scheint auch aktuell riesen Probleme zu haben mit ihrem Formularserver. Da verteilt jemand pdf-Dateien zu merkwürdigen Themen. Zu finden zum Teil mit dem Schlagwort "AI" aber wurde mir mehrfach unterschiedlich in die Timeline gespühlt: https://www.google.com/search?q=%22dot.nv.gov%22+ai
unfassbar… Danke für das Aufgreifen des sensiblen, aber auch interessanten Themas.
Deinen Zynismus kannste behalten und ins Klo spülen…
Oha, NIS-2.
Da war doch etwa, das der Staat selbst sich als Ausnahme definieren will.
Aber gerade da ist die Umsetzung der NIS-2 sehr wichtig!
Für staatliche Stellen müsste es eigentlich eine verschärfte Fassung der NIS-2 geben.
Klarer Fall von Überqualifikation, immerhin haben alle CBO-Angehörigen einen PhD, also Doktortitel, u.a. von der Wharton School der Pennsylvania University ( wo auch Trump und Musk Studenten waren) , aber auch von Stanford u.a.. Dann auch noch Staatskrise, kein Geld… Dann sind die paar Normalos, die vielleicht hätten
patchen können schwer zu motivieren…
Doktortitel sagt nichts aus!
Ich kenne einige Leute, die einen Doktortitel haben, aber fachlich auf dem Niveau eines interessierten Laien sind.
kommt darauf an für welches Fach der Dr.-Titel ist, da haben die Leute nunmal von nichts anderem eine so die richtige Ahnung als von ihrem Fach.
Sagen zumindest die Leute, die keinen haben…
Ich meinte schon keine Ahnung von ihrem Fach.
Schon in der Schule hatte ich jemanden in der Klasse, der immer gute Noten hatte, aber trotzdem keine Ahnung.
Derjenige hat immer für die Klassenarbeiten gelernt und nachdem die Klassenarbeit geschrieben war, das erlernte Wissen wieder aus dem Hirn gestrichen.
2 Wochen nach der Klassenarbeit wusste derjenige nichts mehr und hätte, wenn er die Klassenarbeit noch einmal hätte schreiben müssen eine ziemlich schlechte Note bekommen.
Ist wie bei Kelly Bundy: Begrenzte Hirnkapazität.
Wenn neues Wissen ins Hirn soll, muß Platz geschaffen werden und altes Wissen rausgeworfen werden, damit das neue Wissen rein passt.
Und solche Leute schaffen auch ein Studium mit Doktortitel, haben aber trotzdem von ihrem Fach keine Ahnung.
https://karrierebibel.de/bulimielernen/
Wollte nur kurz den terminus technicus nachliefern.
Beim nächsten Arztbesuch dran denken: die lernen nur so. Ich weiß, wovon ich spreche…
Sehe ich auch so, mein Beitrag diesbezüglich war auch eher ironisch gemeint, kommt nur meist in der Schriftform nicht
rüber. Einer meiner Neffen hat
nach Stanford-Abschluß dort gearbeitet, gehört jetzt zum Lehrpersonal der Wharton School (Wirtschaft). Die Zeit
der Jubelhymnen wg. Trump und vor allem Musk dürfte auch da vorbei sein, obwohl, so
richtig verstehen wir sie ja nie, die Amis…
Zitat:
"Die Washington Post hat erstmals berichtet (leider hinter Paywall)"
—
Normalerweise kann man solche Paywalls umgehen, indem man die URL bei archive (.is oder .ph oder .today) eingibt.
ABER jetzt Off-Topic:
Das FBI ermittelt zur Zeit gegen den Besitzer der archive .today Seite eben wegen solcher Paywall-Umgehungen.
Eventuell verschwinden dann demnächst ein paar archive-Seiten und der Besitzer landet im Knast.
Ob die ursprüngliche Wayback-Machine archiv .org davon auch betroffen ist weiß ich nicht.
Siehe dort:
winfuture. de/news,154790.html
x. com/archiveis/status/1984093883056422993
weiß ich mit der Paywall, mag den Kollegen das aber nicht ins Geschäft funken.