Ein Whistleblower deckt auf: Mitarbeiter der Behörde DOGE kopierten eine zentrale Sozialversicherungs-Datenbank mit den persönlichen Daten von über 548 Millionen US-Bürgern auf einen unsicheren Cloud-Server. Ein Whistleblower warnt vor massiven Sicherheitsrisiken und potenziell katastrophalen Folgen.

Ein Bericht der New York Times bringt eine schwerwiegende Panne im Umgang mit hochsensiblen US-Sozialdaten ans Licht. Demnach haben Mitarbeiter der Department of Government Efficiency (DOGE), einer von Elon Musk aufgebauten Behörde, eine Kopie der zentralen Datenbank der Social Security Administration (SSA) im Juni auf einen unsicheren Cloud-Server geladen. In dieser Datenbank – dem sogenannten Numident File – sind sämtliche jemals vergebenen Sozialversicherungsnummern gespeichert, inklusive vollständiger Namen, Adressen und Geburtsdaten. Sie gilt als eine der sensibelsten Datenquellen der Vereinigten Staaten.

Der Hinweis stammt von Charles Borges, Chief Data Officer der SSA. In seiner Whistleblower-Beschwerde beschreibt er, dass die Daten ohne die üblichen Kontroll- und Sicherheitsmechanismen in eine Umgebung verschoben wurden, auf die ausschließlich DOGE-Mitarbeiter Zugriff hatten. Eine unabhängige Überwachung durch die Sicherheitsexperten der Behörde habe es nicht gegeben. Borges warnte, dass dadurch »enorme Verwundbarkeiten« entstanden seien. Zwar gebe es keine Hinweise, dass die Daten bislang missbraucht oder kompromittiert wurden, doch ein internes Gutachten habe das Projekt als »hochriskant« eingestuft und vor »katastrophalen Auswirkungen« gewarnt, sollte es zu einem Leak kommen.

Anzeige

Gefährdung sensibler Sozialdaten durch unsichere Cloud-Nutzung

Die möglichen Folgen eines solchen Szenarios beschreibt Borges deutlich: Bei einem erfolgreichen Angriff könnten Kriminelle massenhaft Identitätsdiebstahl begehen, Leistungen im Gesundheits- und Sozialwesen gefährden und den Staat zwingen, allen US-Bürgern neue Sozialversicherungsnummern auszustellen – ein aufwendiges und kostspieliges Unterfangen.

Interne Dokumente, die Borges seiner Beschwerde beifügte, zeigen, dass Sicherheitsbedenken bewusst ignoriert wurden. So erklärte der CIO der SSA, Aram Moghaddassi, in einem Memo vom 15. Juli: »Ich habe entschieden, dass der geschäftliche Nutzen höher ist als das Sicherheitsrisiko, und akzeptiere sämtliche Risiken.« Moghaddassi arbeitete zuvor bei Musks Firmen X und Neuralink, bevor er in die SSA wechselte.

Die Brisanz des Vorgangs liegt nicht nur im technischen Risiko, sondern auch im politischen Umfeld. Musk und seine Unterstützer hatten sich in Washington stark dafür eingesetzt, dass DOGE uneingeschränkten Zugang zu den Sozialdaten erhält – obwohl diese durch Bundesgesetze streng geschützt sind. Bereits im Frühjahr hatte ein Bundesrichter den Zugriff von DOGE auf diese Daten vorübergehend untersagt, doch das Oberste Gericht hob die Entscheidung im Juni wieder auf.

Sicherheitsvorgaben bewusst ignoriert

Borges legt außerdem dar, dass DOGE in weiteren Fällen Sicherheitsvorgaben umging. Unter anderem seien Mitarbeiter im März mit »unangemessen weitem Zugriff« auf Datenbanken ausgestattet worden, die Informationen über Sozialversicherungsanträge enthalten – einschließlich der Möglichkeit, Daten zu verändern. Zudem hätten DOGE-Mitarbeiter offenbar zwischenzeitlich trotz eines gerichtlichen Verbots Zugriff auf die Daten erlangt.

Die SSA weist die Vorwürfe bislang zurück. Sprecher Nick Perrine erklärte, dass alle personenbezogenen Daten in abgeschotteten, sicheren Umgebungen gespeichert seien und man keine Hinweise auf eine Kompromittierung habe. Man nehme Whistleblower-Hinweise ernst und bleibe dem Schutz der sensiblen Daten verpflichtet.

US-staatliche IT-Systeme anscheinend hochgradig unsicher

Borges selbst war nach eigener Darstellung außen vorgelassen worden. Weder sei er in die Projektentscheidungen eingebunden gewesen, noch hätten seine Vorgesetzten auf seine Bedenken reagiert. Erst nachdem er intern wochenlang auf Korrekturen gedrängt habe, wandte er sich über die vom Gesetz geschützten Kanäle an das »Government Accountability Project«, eine Organisation, die Whistleblower rechtlich unterstützt.

Der Fall wirft grundlegende Fragen zur Sicherheit staatlicher IT-Systeme auf: Wie lässt sich gewährleisten, dass sensible Datenbestände auch bei politischen Machtkämpfen und kurzfristigen Projekten nicht zum Spielball werden? Borges’ Beschwerde zeigt, dass selbst hochkritische Daten wie die Sozialversicherungsnummern von mehr als 548 Millionen Menschen durch organisatorische Fehlentscheidungen gefährdet werden können – mit potenziell weitreichenden Folgen für Gesellschaft, Wirtschaft und Staat.

Zusammenfassung:

• DOGE-Mitarbeiter kopierten eine zentrale Sozialversicherungs-Datenbank mit Daten von über 548 Mio. US-Bürgern auf einen unsicheren Cloud-Server.
• Whistleblower Charles Borges warnt vor »hohem Risiko« und möglichen »katastrophalen Folgen« wie Identitätsdiebstahl und dem Verlust staatlicher Leistungen.
• Interne Warnungen und Sicherheitsrichtlinien wurden ignoriert, obwohl offizielle Gutachten das Projekt als »hochriskant« einstuften.