Persönlich identifizierbare Informationen von „mindestens“ 10.000 NASA-Mitarbeitern und Auftragnehmern sind nach dem Diebstahl eines Agentur-Laptops im vergangenen Monat weiterhin gefährdet, teilte ein Sprecher Computerworld am Donnerstag per E-Mail mit.Mitarbeiter der Agentur waren am 31. Oktober in einer E-Mail-Nachricht von Richard Keegan Jr., stellvertretender stellvertretender Administrator bei der NASA, über den Diebstahl eines Laptops mit den persönlichen Daten aus einem verschlossenen Auto am 31. Oktober informiert worden.In der E-Mail teilte Keegan den Mitarbeitern mit, dass der gestohlene Laptop sensible personenbezogene Daten (PII) über eine große Anzahl von NASA-Mitarbeitern, Auftragnehmern und anderen enthielt.Aus dem Auto seien auch nicht näher bezeichnete NASA-Dokumente gestohlen worden, fügte er hinzu.„Obwohl der Laptop passwortgeschützt war, hatte er keine Whole-Disk-Verschlüsselungssoftware, was bedeutet, dass die Informationen auf dem Laptop für Unbefugte zugänglich sein könnten“, warnte Keegan die Mitarbeiter in der E-Mail.NASA-Sprecher Allard Beutel räumte heute auf Fragen von Computerworld ein, dass die Behörde fast zwei Wochen gewartet habe, um den Verstoß öffentlich bekannt zu machen.Er sagte, dass die NASA in der Zwischenzeit mit Strafverfolgungsbeamten zusammengearbeitet habe, um den Laptop wiederzufinden, und daran arbeite, genau zu ermitteln, wessen persönliche Daten darauf gespeichert seien.„Die NASA hat nach dem Diebstahl des Laptops sofort mit der Zusammenarbeit mit den örtlichen Strafverfolgungsbehörden begonnen, mit dem Ziel, den Computer wiederherzustellen und die sensiblen Daten zu schützen“, sagte Beutel im ersten öffentlichen Update der Agentur, seit der Diebstahl den Mitarbeitern mitgeteilt wurde.„Gleichzeitig begannen IT-Spezialisten und Sicherheitsbeamte der NASA mit einer umfassenden automatisierten und manuellen Analyse der Daten, um sicherzustellen, dass jeder mit Informationen über den gestohlenen Laptop benachrichtigt wird.“Die Agentur sei derzeit dabei, die Opfer des Verstoßes zu benachrichtigen, fügte Beutel hinzu.Der Diebstahl warf Fragen auf, warum persönliche Daten auf einem Laptop gespeichert und warum sie nicht verschlüsselt wurden.Der Vorfall veranlasste eine sofortige behördenweite Initiative zur Implementierung einer vollständigen Festplattenverschlüsselung auf allen NASA-Laptops bis zum 21. Dezember, beginnend mit denen, die von Telearbeitern getragen werden.Beutel sagte, der Laptop sei einem Telearbeiter gestohlen worden, zu dessen Aufgaben die Überprüfung personenbezogener Daten gehörte.Die NASA hat Regeln, die besagen, dass alle einzelnen Dateien mit PII verschlüsselt werden sollten, sagte Beutel.Er fügte jedoch hinzu: „Der gestohlene Computer war passwortgeschützt, aber einige der spezifischen Dateien waren nicht gemäß den NASA-Richtlinien verschlüsselt. Die Festplatte hatte im Rahmen der laufenden behördenweiten Bemühungen auch noch nicht die gesamte Festplattenverschlüsselungssoftware erhalten ."Bis alle Laptops der Agentur vollständig verschlüsselt sind, müssen NASA-Telearbeiter verschlüsselte Leihsysteme verwenden, sagte Beutel.„Mitarbeiter werden angewiesen, die auf ihren Computern enthaltenen Informationen zu überprüfen, um sicherzustellen, dass alle sensiblen Informationen auf Dateiebene angemessen verschlüsselt sind, und alle nicht benötigten sensiblen Dateien zu löschen“, sagte er.Der Kompromiss ist nicht überraschend, wenn man bedenkt, dass die NASA die niedrigste Verschlüsselungsrate für tragbare Geräte unter allen Bundesbehörden hat, sagte John Pescatore, Analyst bei Gartner Inc.Laut einem im März vom White House Office of Management and Budget veröffentlichten Bericht erfüllen nur 41 % der tragbaren Geräte im Besitz der NASA die Verschlüsselungsanforderungen des Federal Information Security Management Act (FISMA), sagte Pescatore.Die Bemühungen der NASA bleiben weit hinter anderen Agenturen zurück, sagte er und stellte fest, dass auf 83 % aller Laptops der Bundesregierung Verschlüsselungstools laufen.Pescatore bemerkte, dass die NASA wahrscheinlich verletzt ist, weil sie aus mehreren separaten Lehen besteht.Jedes der Labors der Agentur hat separate IT-Operationen mit eigenen Standards, sagte er.„Das hat die Fähigkeit der NASA, eine Sicherheitslösung für Unternehmen voranzutreiben, erschwert. Dies ist wahrscheinlich der Hauptgrund, warum die NASA in Sicherheitsklassen konsequent hinter anderen Agenturen zurückbleibt“, sagte er.Das Mandat zur Verschlüsselung sensibler Daten auf föderalen Systemen geht auf einen Vorfall im Jahr 2006 zurück, bei dem ein Laptop und eine Festplatte des US-Veteranenministeriums aus der Wohnung eines VA-Datenanalysten gestohlen wurden.Die gestohlene Ausrüstung, die später vom FBI sichergestellt wurde, enthielt unverschlüsselte persönliche Daten von über 26,5 Millionen aktiven Militärangehörigen und Veteranen.Ironischerweise rangiert die VA-Verschlüsselungsrate mehr als sechs Jahre nach dem Vorfall an dritter Stelle unter den Bundesbehörden, fügte Pescatore hinzu.In Anbetracht der Aufzeichnungen der VA sollten die Verschlüsselungsprobleme der NASA keine Überraschung sein, fügte Richard Stiennon, Direktor von IT-Harvest, hinzu.„Überhaupt keine Überraschung. Mitarbeiter werden immer Daten wegschmuggeln. Koffer werden immer aufgebrochen werden. Laptops werden immer Ziel von Diebstählen sein“, sagte Stiennon.Jaikumar Vijayan befasst sich mit Fragen der Datensicherheit und des Datenschutzes, der Sicherheit von Finanzdienstleistungen und E-Voting für Computerworld.Folgen Sie Jaikumar auf Twitter unter @jaivijayan oder abonnieren Sie den RSS-Feed von Jaikumar .Seine E-Mail-Adresse lautet jvijayan@computerworld.com.Jaikumar Vijayan ist ein freiberuflicher Technologieautor, der sich auf Computersicherheits- und Datenschutzthemen spezialisiert hat.Copyright © 2012 IDG Communications, Inc.Copyright © 2022 IDG Communications, Inc.