• IT-Karriere:
  • Services:

Sicherheitslücken: Schutzloses US-Raketenabwehrsystem

Das US-Raketenabwehrsystem ist nur unzureichend gegen Angriffe geschützt. Fehlende Antiviren-Software, mangelhaft umgesetzte Zwei-Faktor-Authentifizierung und eine seit 28 Jahren offene Sicherheitslücke sind nur einige der Schwachpunkte, die ein Untersuchungsbericht offenlegt.

Artikel veröffentlicht am ,
Ob diese Rakete auch so viele Sicherheitslücken wie das US-Raketenabwehrsystem enthält?
Ob diese Rakete auch so viele Sicherheitslücken wie das US-Raketenabwehrsystem enthält? (Bild: fudowakira0/CC0 1.0)

Eine lange Liste an Mängeln bescheinigt der Generalinspekteur des US-Verteidigungsministeriums dem US-Raketenabwehrsystem. In dem am 10. Dezember veröffentlichten Bericht wurden fünf der 104 Standorte der Missile Defense Agency (MDA) untersucht. Gefunden wurden etliche seit Jahren ungepatchte Sicherheitslücken, nicht umgesetzte Zwei-Faktor-Authentifizierung, fehlende Antiviren- und Intrusion-Detection-Software und vieles mehr.

Stellenmarkt
  1. Psychiatrisches Zentrum Nordbaden, Wiesloch
  2. ACP IT Solutions AG Nord, Hamburg

Das US-Raketenabwehrsystem soll das Territorium der Vereinigten Staaten vor Kurz-, Lang- und Mittelstreckenraketen schützen, indem diese erkannt und von Raketen des Abwehrsystems abgefangen werden. Die Soft- und Hardware, die zum Betrieb und zur Steuerung der Anlagen verwendet werden, dürften einem besonders hohen Angriffsrisiko ausgesetzt sein. Umso erstaunlicher sind die Funde des Generalinspekteurs.

28 Jahre alte Sicherheitslücke

Bei dreien der fünf untersuchten Standorte der Missile Defense Agency wurden etliche, zum Teil seit vielen Jahren bekannte Sicherheitslücken gefunden. Die entsprechenden Patches wurden nicht eingespielt. Die älteste Lücke ist seit 28 Jahren bekannt. Die Seiten des Berichtes wurden stark geschwärzt. Unklar ist, um welche Sicherheitslücken es sich handelt und ob die Administratoren die Patches mittlerweile eingespielt haben.

Neue Mitarbeiter der Missile Defense Agency erhalten neben einem Nutzernamen und einem Passwort eine Chipkarte für die Zwei-Faktor-Authentifizierung, die sie innerhalb von zwei Wochen für ihre Konten aktivieren müssen. Etliche Mitarbeiter aktivierten den zweiten Faktor jedoch nie und konnten dennoch auf das Netzwerk der MDA zugreifen. Ein Mitarbeiter arbeitete bereits sieben Jahre ohne zweiten Faktor.

Einer der untersuchten Standorte unterstützte die Authentifizierung mittels zweitem Faktor erst gar nicht. Die Mitarbeiter sind hierdurch anfällig für Phishing- oder Spear-Phishing-Angriffe. An einem Standort fehlte zudem eine Intrusion-Detection- und Antiviren-Software.

Der Datenaustausch zwischen nicht am Netz betriebenen Rechnern wurde zum Teil mittels unverschlüsselten USB-Sticks durchgeführt. Begründet wurde dies mit alter Hardware, die keine Verschlüsselung unterstütze, sowie mit fehlenden finanziellen Ressourcen, um entsprechende Software zu kaufen.

Die Mängelliste geht weiter

Der Bericht listet auch physische Sicherheitsprobleme auf: In zwei Rechenzentren wurden unverschlossene Racks gefunden, ein entsprechendes Sicherheitsprotokoll war dem Leiter eines der Rechenzentren unbekannt. Lücken im Netz der Überwachungskameras hätten von Angreifern ausgenutzt werden können, um ungesehen in Anlagen oder Gebäude einzudringen. Zudem zeigten die Türsensoren zum Teil offene Türen als geschlossen an. Das Personal hinderte Personen mit unzureichender Berechtigung nicht am Betreten von Top-Secret-Gebäuden.

Die Empfehlungen des Generalinspekteurs lesen sich wie die Grundlagen der IT-Sicherheit, die für eine militärische Einrichtung eigentlich Standard sein sollten: Es sollte Zwei-Faktor-Authentifizierung verwendet und Sicherheitslücken zeitnah geschlossen werden, Daten auf Wechseldatenträgern sollten geschützt und Intrusion-Detection-Systeme implementiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

mainframe 18. Dez 2018

Im ICE werden auch noch 3,5" Disketten verwendet. Teilweise für Streckenführung und...

Airblader 18. Dez 2018

Diese Audits liefern immer und überall die selben Ergebnisse, ob IOT, Wirtschaft...

Airblader 18. Dez 2018

2018 - 28 = 1990 < 1995.

blaub4r 18. Dez 2018

Dein Text ist teilweise schwer zu lesen/verstehen.

Die Heilige... 18. Dez 2018

Da bekommt das Attribut "nach Militärstandards" einiger Hardwarehersteller gleich eine...


Folgen Sie uns
       


Mario Kart Live - Test

In Mario Kart Live fährt ein Klempner durch unser Wohnzimmer.

Mario Kart Live - Test Video aufrufen
Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck


    Corsair K60 RGB Pro im Test: Teuer trotz Viola
    Corsair K60 RGB Pro im Test
    Teuer trotz Viola

    Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
    Ein Test von Tobias Költzsch

    1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
    2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
    3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

    5G: Nokias und Ericssons enge Bindungen zu Chinas Führung
    5G
    Nokias und Ericssons enge Bindungen zu Chinas Führung

    Nokia und Ericsson betreiben viel Forschung und Entwicklung zu 5G in China. Ein enger Partner Ericssons liefert an das chinesische Militär.
    Eine Recherche von Achim Sawall

    1. Quartalsbericht Ericsson mit Topergebnis durch 5G in China
    2. Cradlepoint Ericsson gibt 1,1 Milliarden Dollar für Routerhersteller aus
    3. Neben Huawei Telekom wählt Ericsson als zweiten 5G-Ausrüster

      •  /