Das Aufdecken eines Fehlers, über den Daten tausender Lehrer in Missouri öffentlich abrufbar waren, sorgte für Angriffe des Gouverneurs auf die Zeitung "St. Louis Post-Dispatch"

Missouris Gouverneur Mike Parsons in einem Video, das den "St. Louis Post-Dispatch" angreift. Foto: Youtube/Uniting Missouri

Es ist eine der skurrileren Geschichten auf dem immer wieder bizarr-heiteren Feld "Verhältnis mancher Politiker zum Thema IT-Security". Josh Renaud, Journalist der Zeitung "St. Louis Post-Dispatch", hatte ein Datenleck auf der Website der Schulbehörde (Department of Elementary and Secondary Education) des US-Bundesstaates Missouri entdeckt. Es ermöglichte über die Suchfunktion den öffentlichen Abruf der Sozialversicherungsnummern und anderer Daten von Lehrern, Schülerberatern und Administratoren.

In der Tradition einer verantwortungsvollen Offenlegung informierte man sowohl Behörde als auch Lehrergewerkschaft über diesen Fund. Ein Artikel über diese ernste IT-Panne wurde erst Mitte Oktober 2021 veröffentlicht, nachdem die Suchfunktion deaktiviert worden war.

Gouverneur zuckt aus

Während sich Behörde und Gewerkschaft für das Aufzeigen des Fehlers dankbar zeigten, war der republikanische Gouverneur des Bundesstaates, Mike Parsons, ganz und gar nicht erfreut über die negativen Schlagzeilen. Er startete eine PR-Kampagne gegen den "St. Louis Post-Dispatch", postfaktisches Propagandavideo inklusive, und warf dem Journalisten vor, er habe die Schulbehörde "gehackt". Zur Verifizierung des Problems hatte Renaud exemplarisch drei Datensätze vorgelegt, ein böswilliger Angreifer hätte aber im Prinzip die ganze Datenbank abzapfen können.

Ein Video zur Causa, finanziert vom republikanischen PAC "Uniting Missouri".

Der Haken an der Sache ist zudem, dass sich Renaud für das Aufspüren des Datenlecks gar keinen Zugang zu den Netzwerken der Schulbehörde verschaffen oder andere Handlungen setzen musste, die man im Allgemeinen mit Hacking assoziiert. Er entdeckte das Problem während der Begutachtung des Quellcodes der Website. Diese Möglichkeit steht jedem Besucher einer Seite offen, da das Anzeigen des Codes eine Standardfunktion von Webbrowsern ist.

"Wir werden dieses Verbrechen nicht ungestraft lassen", verkündete Parsons auf einer Pressekonferenz. Er ortete einen Bruch des Gesetzes, das in Missouri den "unautorisierten Zugang zu Informationen oder Inhalten" verbietet, und forderte Ermittlungen und Anklage gegen die Zeitung. Bei Lehrergewerkschaft, Sicherheitsexperten und Presseorganisationen sorgte das für scharfe Kritik am Politiker. Und auch aus Reihen seiner eigenen Partei waren skeptische Stimmen zu hören.

Bezirksanwalt sieht von Ermittlungen ab

Für die Zeitung endet die Causa nun allerdings ohne ein Verfahren, wie der zuständige Bezirksanwalt kürzlich verkündete (PDF). "Man kann das Argument machen, dass es einen Gesetzesverstoß gab", heißt es in der Aussendung, die offenbar direkten Widerspruch zum Gouverneur vermeidet.

Und weiter: "Bei näherer Untersuchung des Falles zeigte sich, dass die Kernprobleme abseits des rechtlichen Pfades gelöst wurde. Daher ist es nicht im besten Interesse der Bürger von Cole County, signifikante Ressourcen und Steuergeld darin zu investieren, hier ein geringfügiges Vergehen weiter zu verfolgen. Die Untersuchung ist nun beendet, und das Büro des Bezirksanwalts wird keinen weiteren Kommentar zur Sache abgeben."

Journalist sieht politische Verfolgung

Wie der "St. Louis Post-Dispatch" auf Basis interner Unterlagen berichtet, hatten Beamte der Verwaltung von Missouri eigentlich vorgehabt, Renauld per Presseaussendung für seine Arbeit zu danken, die potenziell den Leak der Daten von mehr als 100.000 Schulmitarbeitern verhindert hat. Aus dem Entwurf wurde aber nie etwas, da Governeur Parsons seine Meinung nicht änderte. Wenngleich er die Entscheidung des Bezirksanwalts anerkennt, hält er bis heute daran fest, dass der Journalist die Website der Behörde "gehackt" habe.

In einer E-Mail an IT-Sicherheitsverantwortliche des Bundesstaates hatte das FBI das Medium zuvor ebenfalls entlastet. Darin hieß es, dass es keinen Einbruch in ein Netzwerk gegeben habe und die betroffene Datenbank fehlerhaft konfiguriert worden war.

Renaud selbst zeigt sich laut "Ars Technica" "erleichtert" über das Ende der Untersuchung. Jedoch könne dies nicht "den Schaden reparieren, der mir und meiner Familie zugefügt wurde". Das Vorgehen des Gouverneurs, der die Highway Patrol gegen den Journalisten ermitteln ließ und das neben Pressekonferenz und Video auch eine an alle Lehrer verschickte Pressemitteilung umfasste, sei politische Verfolgung und schade der Sicherheit des Bundesstaates. Denn Parsons Drohungen könnten andere in Zukunft davor abschrecken, Sicherheitslücken zu melden und ihre Behebung damit hinauszögern oder gar verhindern. (gpi, 15.2.2022)