US-Raketensysteme: DOD IG-Bericht enthüllt gravierende Sicherheitslücken

Wenn es um hochtechnisierte und gefährliche Waffensysteme geht, sollte man eigentlich davon ausgehen, dass bei der Sicherheit weder gespart noch geschlampt wird. Doch in den USA scheint es hier einige Baustellen zu geben, wie ein Bericht des US Department of Defense Inspector General (DOD IG) kürzlich enthüllte. Prüfer haben fünf zufällig ausgewählte Stützpunkte für das ballistische Raketenabwehrsystem der US-Streitkräfte inspiziert. Diese sollen eigentlich Nuklearangriffe verhindern, indem sie feindliche Raketen abfangen. Die Untersuchung hat allerdings ergeben, dass sowohl bei der technischen als auch bei der physischen Absicherung der Systeme riesige Sicherheitslücken bestehen, die zum Teil auf die über Jahrzehnte gewachsenen Strukturen, aber auch auf schlichte Schlamperei und eine gewisse Mir-Egal-Einstellung zurückzuführen sind. Der Bericht zeigt, dass es gravierende Mängel bei der Verschlüsselung der Systeme, der Multifaktor-Authentifizierung und beim Schutz vor Computerviren gibt.

Einer der größten Kritikpunkte ist der Umgang mit den Zugangsberechtigungen für kritische Waffen- und Verteidigungssysteme. So existierte zwar eine vorgeschriebene Zwei-Faktor-Authentifizierung, allerdings wurde diese in vielen Fällen nicht durchgesetzt. Neue Mitarbeiter erhielten zu Beginn ihrer Tätigkeit einen Nutzernamen und ein Passwort, welche nach Aktivierung durch eine Zugangskarte ersetzt werden sollten. Nach spätestens zwei Wochen sollten diese Karten aktiviert werden, doch das passierte offenbar nicht immer. Ein Mitarbeiter drückte sich laut Bericht ganze sieben Jahre vor der Aktivierung dieser Zwei-Faktor-Authentifizierung! Bei einer anderen überprüften Basis war das ganze Netzwerk nicht darauf ausgelegt, diese Art der Zugangsberechtigung überhaupt zu unterstützen. Darüber hinaus wurden die Zugangsberechtigungen offenbar recht freigiebig verteilt und die Gründe für die Erteilung nirgendwo festgehalten. So ließ sich im Nachhinein kaum noch feststellen, warum einzelne Mitarbeiter den Zugang zu den Systemen überhaupt benötigten und ob man ihnen diesen vielleicht auch nur für eine begrenzte Zeit gewährt hatte.

Ein weiterer Kritikpunkt besteht im Umgang mit Sicherheitspatches, um bekannte Sicherheitslücken zu schließen. In drei der überprüften Standorte klafften große und vor allem weithin bekannte Sicherheitslücken in den Systemen, die mit einem simplen Patch längst hätten geschlossen sein können. Einige der gefundenen Lücken sind sogar seit den 1990er Jahren bekannt. Und damit nicht genug: In einer Basis existierte nicht einmal ein Basisschutz der Systeme durch ein Antivirenprogramm! Die Begründung für dieses Versäumnis schockiert: Der zuständige Mitarbeiter habe zwar einen Antrag eingereicht, allerdings nie eine Freigabe für die nötigen Schritte erhalten. Offenbar hat er es aber innerhalb eines Jahres wiederum nicht für nötig befunden, nochmal danach zu fragen.

Doch nicht nur die Softwareseite der Sicherheit wird im Bericht kritisiert, sondern auch die physische Sicherheit der Computer und Server. So waren die Server Racks nicht verschlossen und auf Nachfrage erklärten die Verantwortlichen, dass sie sich nicht darüber im Klaren gewesen seien, dass das zum Sicherheitsprotokoll gehöre. Insbesondere in Kombination mit den großen Sicherheitslücken bei der physischen Zugangskontrolle zu diesen Systemen können unverschlossene Server Racks eine große Gefahr darstellen. Der Bericht listet hier mehrere Kritikpunkte auf: von einer unzureichenden Videoüberwachung über defekte Sensoren an Schleusen und Türen bis hin zu absolut desinteressierten Mitarbeitern, die Fremde ohne sichtbare Zugangsberechtigung nicht einmal fragen würden, was sie in den kritischen Bereichen zu suchen hätten.

Zusätzlich zu all diesen Punkten kritisieren die Prüfer, dass in drei Standorten keine oder keine ausreichende Verschlüsselung genutzt wird, wenn Daten physisch übertragen werden, beispielsweise über einen USB-Stick. Die Begründung: Das über Jahrzehnte gewachsene System sei nicht darauf ausgelegt, große Datenmengen sinnvoll zu verschlüsseln. An einem der Standorte hieß es auch hier wieder: „Wir wussten gar nicht, dass man das tun soll.“ All diese Befunde aus dem Prüfbericht lassen nicht unbedingt ein gutes Gefühl aufkommen, vor allem wenn man an die Kraft der amerikanischen Waffensysteme denkt. Hier muss schleunigst nachgebessert werden, sowohl auf Software- als auch personeller Seite. Einen derart fahrlässigen Umgang mit der Cybersicherheit könnten sich Unternehmen in der freien Wirtschaft überhaupt nicht leisten.

Über die 8com GmbH & Co. KG

Mit ihrem Cyber Security Center schützt die 8com die digitalen Infrastrukturen ihrer Kunden effektiv vor Cyber-Angriffen. Es beinhaltet nicht nur ein Security Information and Event Management (SIEM), ein Vulnerability Management sowie professionelle Penetrationstests, sondern auch den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management gehören ebenfalls zum Angebot.

Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 14 Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel