Sicherheitslücken: Schutzloses US-Raketenabwehrsystem

Das US-Raketenabwehrsystem ist nur unzureichend gegen Angriffe geschützt. Fehlende Antiviren-Software, mangelhaft umgesetzte Zwei-Faktor-Authentifizierung und eine seit 28 Jahren offene Sicherheitslücke sind nur einige der Schwachpunkte, die ein Untersuchungsbericht offenlegt.

Artikel veröffentlicht am ,
Ob diese Rakete auch so viele Sicherheitslücken wie das US-Raketenabwehrsystem enthält?
Ob diese Rakete auch so viele Sicherheitslücken wie das US-Raketenabwehrsystem enthält? (Bild: fudowakira0/CC0 1.0)

Eine lange Liste an Mängeln bescheinigt der Generalinspekteur des US-Verteidigungsministeriums dem US-Raketenabwehrsystem. In dem am 10. Dezember veröffentlichten Bericht wurden fünf der 104 Standorte der Missile Defense Agency (MDA) untersucht. Gefunden wurden etliche seit Jahren ungepatchte Sicherheitslücken, nicht umgesetzte Zwei-Faktor-Authentifizierung, fehlende Antiviren- und Intrusion-Detection-Software und vieles mehr.

Stellenmarkt
  1. Leitung IT-Infrastruktur und Basisdienste / Rechenzentrum (d/m/w)
    THD - Technische Hochschule Deggendorf, Deggendorf
  2. UI Softwareentwickler C++/QML (m/w/d)
    Bertrandt Ingenieurbüro GmbH, München
Detailsuche

Das US-Raketenabwehrsystem soll das Territorium der Vereinigten Staaten vor Kurz-, Lang- und Mittelstreckenraketen schützen, indem diese erkannt und von Raketen des Abwehrsystems abgefangen werden. Die Soft- und Hardware, die zum Betrieb und zur Steuerung der Anlagen verwendet werden, dürften einem besonders hohen Angriffsrisiko ausgesetzt sein. Umso erstaunlicher sind die Funde des Generalinspekteurs.

28 Jahre alte Sicherheitslücke

Bei dreien der fünf untersuchten Standorte der Missile Defense Agency wurden etliche, zum Teil seit vielen Jahren bekannte Sicherheitslücken gefunden. Die entsprechenden Patches wurden nicht eingespielt. Die älteste Lücke ist seit 28 Jahren bekannt. Die Seiten des Berichtes wurden stark geschwärzt. Unklar ist, um welche Sicherheitslücken es sich handelt und ob die Administratoren die Patches mittlerweile eingespielt haben.

Neue Mitarbeiter der Missile Defense Agency erhalten neben einem Nutzernamen und einem Passwort eine Chipkarte für die Zwei-Faktor-Authentifizierung, die sie innerhalb von zwei Wochen für ihre Konten aktivieren müssen. Etliche Mitarbeiter aktivierten den zweiten Faktor jedoch nie und konnten dennoch auf das Netzwerk der MDA zugreifen. Ein Mitarbeiter arbeitete bereits sieben Jahre ohne zweiten Faktor.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Einer der untersuchten Standorte unterstützte die Authentifizierung mittels zweitem Faktor erst gar nicht. Die Mitarbeiter sind hierdurch anfällig für Phishing- oder Spear-Phishing-Angriffe. An einem Standort fehlte zudem eine Intrusion-Detection- und Antiviren-Software.

Der Datenaustausch zwischen nicht am Netz betriebenen Rechnern wurde zum Teil mittels unverschlüsselten USB-Sticks durchgeführt. Begründet wurde dies mit alter Hardware, die keine Verschlüsselung unterstütze, sowie mit fehlenden finanziellen Ressourcen, um entsprechende Software zu kaufen.

Die Mängelliste geht weiter

Der Bericht listet auch physische Sicherheitsprobleme auf: In zwei Rechenzentren wurden unverschlossene Racks gefunden, ein entsprechendes Sicherheitsprotokoll war dem Leiter eines der Rechenzentren unbekannt. Lücken im Netz der Überwachungskameras hätten von Angreifern ausgenutzt werden können, um ungesehen in Anlagen oder Gebäude einzudringen. Zudem zeigten die Türsensoren zum Teil offene Türen als geschlossen an. Das Personal hinderte Personen mit unzureichender Berechtigung nicht am Betreten von Top-Secret-Gebäuden.

Die Empfehlungen des Generalinspekteurs lesen sich wie die Grundlagen der IT-Sicherheit, die für eine militärische Einrichtung eigentlich Standard sein sollten: Es sollte Zwei-Faktor-Authentifizierung verwendet und Sicherheitslücken zeitnah geschlossen werden, Daten auf Wechseldatenträgern sollten geschützt und Intrusion-Detection-Systeme implementiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Raumfahrt
Astra startet mit großen Ambitionen Billigraketen in Alaska

Mit 250.000 US-Dollar sollen die Raketen von Astra zum Preis eines Sportwagens hergestellt werden können. Wie will die Firma das schaffen?
Von Frank Wunderlich-Pfeiffer

Raumfahrt: Astra startet mit großen Ambitionen Billigraketen in Alaska
Artikel
  1. Nvidia und Colorful: Das Grafikkartenmuseum eröffnet seine Pforten
    Nvidia und Colorful
    Das Grafikkartenmuseum eröffnet seine Pforten

    Colorful und Nvidia eröffnen bald ein Grafikkarten-Museum. Zu sehen sind Seltenheiten wie die erste Dual-GPU von ATI und die Geforce 256.

  2. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

Kommentarübersicht
Re: JOSHUA.... ist also noch immer nicht gefixt...
mainframe 18. Dez 2018

Im ICE werden auch noch 3,5" Disketten verwendet. Teilweise für Streckenführung und...

Wen überrascht sowas noch?
Airblader 18. Dez 2018

Diese Audits liefern immer und überall die selben Ergebnisse, ob IOT, Wirtschaft...

Re: 28 jahre
Airblader 18. Dez 2018

2018 - 28 = 1990 < 1995.

Re: Und die Russen wissen davon nichts...
blaub4r 18. Dez 2018

Dein Text ist teilweise schwer zu lesen/verstehen.

"Military Class X"
Die Heilige... 18. Dez 2018

Da bekommt das Attribut "nach Militärstandards" einiger Hardwarehersteller gleich eine...

Folgen Sie uns
       
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ • Amazon: PC-Spiele reduziert (u. a. C&C: Remastered Collection 9,99€) [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /