Ein Zusammenschluss von Hacktivisten mit dem Namen Department of Peace hat die Verantwortung für einen mutmaßlichen Cyberangriff auf Informationssysteme des US-Heimatschutzministeriums (Department of Homeland Security, DHS) übernommen. Ziel waren nach eigenen Angaben Daten des Office of Industry Partnership, das für die Zusammenarbeit des DHS mit der Privatwirtschaft zuständig ist. Die erbeuteten Unterlagen zu Verträgen des DHS und der Immigration and Customs Enforcement (ICE) wurden über die Transparenzplattform Distributed Denial of Secrets (DDoSecrets) veröffentlicht und lenken den Fokus auf gravierende Supply-Chain-Risiken in der staatlichen Cybersicherheit.
Umfang des Leaks: Vertragsdaten von über 6000 Unternehmen
Laut der Veröffentlichung umfasst das Datenpaket detaillierte Informationen zu Verträgen zwischen DHS, ICE und mehr als 6000 Unternehmen. Darunter befinden sich große Rüstungs- und Technologiekonzerne wie Anduril, L3Harris, Raytheon, der Datenanalyse-Anbieter Palantir sowie die IT-Giganten Microsoft und Oracle. Die Auswertung erlaubt Rückschlüsse darauf, welche Technologien und Dienstleister die operationellen Fähigkeiten von DHS und ICE maßgeblich stützen.
Der Sicherheitsforscher Micah Lee hat den Datensatz strukturiert und über eine Website mit Volltextsuche zugänglich gemacht. In der Datenbank finden sich unter anderem:
- Namen von Auftragnehmern und Unterauftragnehmern des DHS und der ICE,
- Vertragssummen, Leistungsumfang und Laufzeiten,
- Kontaktdaten von Ansprechpartnern in den Unternehmen, einschließlich vollständigem Namen, E-Mail-Adresse und Telefonnummer.
Zu den wirtschaftlich bedeutendsten Vertragspartnern zählen demnach:
Cyber Apex Solutions mit einem Gesamtvolumen von rund 70 Millionen US-Dollar. Das Unternehmen bewirbt sich als Spezialist für die Schließung von Sicherheitslücken in der kritischen Infrastruktur der USA und nimmt damit eine Schlüsselrolle in der Behörden-Cybersicherheit ein.
Science Applications International Corporation (SAIC) mit etwa 59 Millionen US-Dollar. SAIC liefert KI-basierte Analyseplattformen und Entscheidungsunterstützungssysteme für staatliche Kunden und ist damit tief in datengetriebene Entscheidungsprozesse eingebunden.
Underwriters Laboratories mit rund 29 Millionen US-Dollar für Prüf-, Zertifizierungs- und Marktanalyseleistungen – essenziell, um Technologien an strenge regulatorische Anforderungen der US-Bundesregierung anzupassen.
Politische Motive: Hacktivistische Begründung des Angriffs
In einem Begleitdokument begründet das Department of Peace den Angriff mit politischen und ethischen Motiven. Bezug genommen wird auf den Tod der US-Bürger Alex Pretti und Renée Good, die nach Darstellung der Gruppe Anfang des Jahres in Minneapolis von ICE-Beamten erschossen worden sein sollen. Diese Angaben sind bislang nicht unabhängig verifiziert und unterstreichen den politisch hoch aufgeladenen Kontext des Vorfalls.
Die Hacktivisten geben an, ihre Aktion solle sichtbar machen, welche Unternehmen die technische Infrastruktur für Maßnahmen von DHS und ICE bereitstellen, insbesondere vor dem Hintergrund einer verschärften US-Migrationspolitik im zweiten Amtszeitraum von Donald Trump. Im Zentrum ihrer Argumentation steht das behauptete öffentliche Interesse an Transparenz darüber, welche Technologien in Menschenrechts-debatten stehende Programme ermöglichen.
Kritische Cyberrisiken: Supply-Chain-Angriffe und Einblick in das IT-Ökosystem
Angriffsfläche durch offengelegte Lieferketten
Aus Sicht der Cybersicherheit ist das Leak vor allem deshalb brisant, weil es eine detaillierte Landkarte des IT-Lieferantennetzwerks von DHS und ICE offenlegt. Damit werden nicht nur sensible Geschäftsbeziehungen sichtbar, sondern auch potenzielle Schwachstellen in der Supply Chain. Angreifer können dieses Wissen nutzen, um:
- schwächer geschützte Dienstleister als Einfallstor für staatliche Systeme ins Visier zu nehmen (Supply-Chain-Angriffe),
- Exploits und Malware gezielt auf bekannte Hersteller, Produkte und Versionen zuzuschneiden,
- über realistische Social-Engineering-Szenarien – etwa gefälschte Projektkommunikation – Zugänge zu erhalten.
Internationale Analysen, unter anderem von ENISA und in Berichten wie dem Verizon Data Breach Investigations Report, zeigen seit Jahren, dass Zulieferer und IT-Dienstleister häufig das schwächste Glied in der Verteidigungskette staatlicher und kritischer Infrastrukturen darstellen. Fälle wie der Angriff auf SolarWinds oder Kompromittierungen von Managed-Service-Providern illustrieren, welche systemischen Folgen ein einziger erfolgreicher Supply-Chain-Hack haben kann.
Direkte Risiken für Mitarbeiter: Phishing, BEC und Doxxing
Die Veröffentlichung personenbezogener Kontaktdaten verschärft die Lage zusätzlich. Angreifer können auf Basis der nun öffentlich verfügbaren Informationen hochgradig zielgerichtete Kampagnen durchführen, darunter:
- Spear-Phishing und Business Email Compromise (BEC), bei denen E-Mails täuschend echt auf konkrete Projekte, Verträge oder Ansprechpartner zugeschnitten werden,
- Doxxing und Einschüchterungsversuche gegenüber Fachkräften, die mit sensiblen Regierungsprojekten betraut sind,
- die Ausweitung der Angriffsfläche durch Angriffe auf private E-Mail-Konten, Messenger oder Mobiltelefone, die über die veröffentlichten Daten identifiziert werden können.
Der Verizon DBIR weist regelmäßig darauf hin, dass ein erheblicher Anteil erfolgreicher Vorfälle auf den sogenannten Human Factor zurückgeht – also auf Fehlentscheidungen oder Täuschung von Mitarbeitenden. Die jetzt offengelegten Kontaktdaten erhöhen die Wahrscheinlichkeit, dass genau dieser Faktor gezielt ausgenutzt wird.
Zero-Trust-Sicherheit als notwendige Reaktion für Behörden und Auftragnehmer
Der Vorfall verdeutlicht, wie unverzichtbar ein Zero-Trust-Sicherheitsmodell im Umfeld staatlicher Aufträge geworden ist. Zero Trust bedeutet vereinfacht: Keinem Nutzer, keinem Gerät und keinem Dienst wird automatisch vertraut – jeder Zugriff muss kontextabhängig geprüft und minimal gehalten werden.
Für Behörden und ihre Dienstleister lassen sich daraus mehrere konkrete Handlungsfelder ableiten:
- Strikte Zugriffsbeschränkungen (Least Privilege) für alle internen und externen Nutzerkonten,
- Segmentierung von Netzen, um seitliche Bewegungen eines Angreifers nach einem ersten Einbruch zu verhindern,
- verpflichtende Multi-Faktor-Authentifizierung für alle Partnerportale, Remote-Zugänge und Administrationskonten,
- regelmäßige Sicherheitsaudits und Penetrationstests, inklusive Red-/Blue-Team-Übungen über die gesamte Lieferkette hinweg,
- verankerte Sicherheitsanforderungen in Verträgen mit Zulieferern, zum Beispiel Mindeststandards nach NIST- oder ISO-27001-Rahmenwerken.
Darüber hinaus sollten die im Leak genannten Unternehmen umgehend eine Ad-hoc-Risikoanalyse durchführen, Anmeldeinformationen und API-Schlüssel überprüfen, sicherheitsrelevante Konfigurationen härten und Mitarbeitende für Spear-Phishing- und BEC-Angriffe sensibilisieren.
Der mutmaßliche Hack auf das DHS und die Veröffentlichung der ICE-Vertragsdaten machen deutlich, dass staatliche Stellen und ihre Auftragnehmer Cybersicherheit nicht mehr isoliert betrachten dürfen. Wer mit Behörden oder kritischen Infrastrukturen zusammenarbeitet, ist Teil einer gemeinsamen Angriffsfläche. Es empfiehlt sich, Lieferkettenrisiken konsequent zu managen, Zero-Trust-Prinzipien schrittweise umzusetzen und in kontinuierliche Schulungen, Tests und Transparenz über Sicherheitsniveaus entlang der gesamten Wertschöpfungskette zu investieren. Nur wenn Sicherheitskultur und technische Maßnahmen bei allen Beteiligten greifen – vom Großkonzern bis zum Nischen-IT-Dienstleister –, lassen sich die Folgen künftiger Datenlecks und Supply-Chain-Angriffe wirksam begrenzen.
