Sicherheitsaudit: US-Heimatschutzministerium nutzt altes Flash und Windows

Ausgerechnet das Ministerium, das für den Bereich IT-Sicherheit in den USA verantwortlich ist, hat zahlreiche systemische Schwachstellen in seinem Netzwerk, wie ein Audit festgestellt hat. Es gibt falsch konfigurierte Windows-Systeme und zum Teil uralte Softwareversionen.

Artikel veröffentlicht am ,
Nach dem Bericht dürfte beim DHS keine Feierlaune ausbrechen.
Nach dem Bericht dürfte beim DHS keine Feierlaune ausbrechen. (Bild: Drew Angerer/Getty Images)

Das US-Heimatschutzministerium (Department of Homeland Security, DHS) hat zahlreiche Probleme mit der Sicherheit der eigenen IT-Infrastruktur [PDF]. In einem Audit wurde festgestellt, dass das Ministerium wichtige Patches nicht installiert hat, alte Flash-Versionen installiert und viele Konfigurationen problematisch sind. The Register hatte zuerst darüber berichtet.

Stellenmarkt
  1. DevOps IT Admin (m/w/d)
    SONAX GmbH, Neuburg an der Donau
  2. Hardware-Konstrukteur (m/w/d) Elektrotechnik
    Hauni Maschinenbau GmbH, Hamburg,Bergedorf
Detailsuche

64 Systeme des Ministeriums haben dem Audit zufolge so gravierende Mängel, dass sie überhaupt nicht mehr betrieben werden dürfen. 16 dieser Rechner werden dabei genutzt, um als geheim klassifiziertes Material zu bearbeiten. Zahlreiche Rechner haben aber auch andere Probleme.

In der Windows-Konfiguration der DHS-Rechner gibt es offenbar ebenfalls grundlegende Probleme: So wurden Exchange-Ordner im Cache-Modus indexiert, was einem Angreifer auf dem System Zugriff auf E-Mails gegeben hätte, außerdem war das Registry-Auditing nicht aktiviert, so dass unerwünschte Änderungen an der Windows-Registry nicht ohne weiteres erkannt werden können. Außerdem war die anonyme Ordnerfreigabe im Netz nicht bei allen Rechnern deaktiviert.

Nichtunterstützte Windows-Versionen

Bei einigen Einheiten des Heimatschutzministeriums - etwa der Küstenwache - werden auch nicht mehr unterstützte Versionen von Windows eingesetzt, etwa Windows Server 2003, das bereits seit Juli 2015 keine Updates mehr bekommt. Zahlreiche Rechner mit Windows Server 2008 und 2012 "haben keine Sicherheitspatches für Oracle Java, eine nicht mehr unterstützte Version des Internet Explorer und eine verwundbare Version von Microsofts Sidebar und Gadget-Programmen", heißt es in dem Bericht. Einige Applikationen seien auf dem Stand des Jahres 2013 gewesen.

Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    29./30.06.2022, virtuell
Weitere IT-Trainings

Einige der Rechner weisen nach Darstellung des Berichts auch rund ein Jahr nach dem Wanna-Cry-Ausbruch keine Patches für die Sicherheitslücke im SMBv1-Protokoll auf, auch Patches für Adobe Flash, Shockwave und Acrobat wurden festgestellt. Abschließend heißt es daher: "Bis DHS es schafft, die systemischen Schwachstellen zu beseitigen, wird es nicht in der Lage sein sicherzustellen, dass ihre IT die von der Behörde gespeicherten und verarbeiteten vertraulichen Daten adäquat schützt."

Berichte wie dieser zeigen, welche Probleme in realen IT-Landschaften oft existieren - und dass Angreifer nicht immer über hochspezialisierte Werkzeuge verfügen müssen, um Informationen zu kopieren oder Rechner zu infizieren. Die meisten Infektionen von Unternehmen laufen nach wie vor über Phishing sowie die Ausnutzung bekannter Schwachstellen und nicht über 0-Day-Exploits. In Deutschland wird derzeit ein Angriff auf Rechner im Regierungsnetzwerk untersucht, hier soll der Angriff über E-Learning-Module erfolgt sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Argh 09. Mär 2018

Es gibt sogar diverse Stell Dir vor, in etwas abgewandelter Form mit einmaligen...

/mecki78 08. Mär 2018

Weil es eben nur Deppensicher ist und nicht "Super Volldeppensicher", sprich, er kommt...

[gelöscht] 08. Mär 2018



Aktuell auf der Startseite von Golem.de
"Macht mich einfach wahnsinnig"
Kelber beklagt digitale Inkompetenz von VW

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
Artikel
  1. Unikate: Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken
    Unikate
    Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken

    Die Deutsche Post begann im Februar 2021, Briefmarken mit Matrixcode zu verkaufen. Nun wurden bereits eine Milliarde Stück verkauft.

  2. Telemetrie: Voyager 1 weiß wohl nicht, wo sie ist
    Telemetrie
    Voyager 1 weiß wohl nicht, wo sie ist

    Seit 1977 befindet sich die Raumsonde Voyager 1 auf ihrer Reise durchs All. Die neusten Daten scheinen einen falschen Standort anzuzeigen.

  3. Agile Softwareentwicklung: Einfach mal so drauflos programmiert?
    Agile Softwareentwicklung
    Einfach mal so drauflos programmiert?

    Ohne Scrum wäre das nicht passiert, heißt es oft, wenn etwas schiefgeht. Dabei ist es umgekehrt: Ohne agiles Arbeiten geht es nicht mehr. Doch es gibt drei fundamentale Missverständnisse.
    Von Frank Heckel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • Samsung schenkt 19% MwSt. • MindStar (u. a. AMD Ryzen 9 5950X 488€) • Cyber Week: Jetzt alle Deals freigeschaltet • LG OLED TV 77" 62% günstiger: 1.749€ • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /