Sicherheitslücken: Schutzloses US-Raketenabwehrsystem

Das US-Raketenabwehrsystem ist nur unzureichend gegen Angriffe geschützt. Fehlende Antiviren-Software, mangelhaft umgesetzte Zwei-Faktor-Authentifizierung und eine seit 28 Jahren offene Sicherheitslücke sind nur einige der Schwachpunkte, die ein Untersuchungsbericht offenlegt.

Artikel veröffentlicht am ,
Ob diese Rakete auch so viele Sicherheitslücken wie das US-Raketenabwehrsystem enthält?
Ob diese Rakete auch so viele Sicherheitslücken wie das US-Raketenabwehrsystem enthält? (Bild: fudowakira0/CC0 1.0)

Eine lange Liste an Mängeln bescheinigt der Generalinspekteur des US-Verteidigungsministeriums dem US-Raketenabwehrsystem. In dem am 10. Dezember veröffentlichten Bericht wurden fünf der 104 Standorte der Missile Defense Agency (MDA) untersucht. Gefunden wurden etliche seit Jahren ungepatchte Sicherheitslücken, nicht umgesetzte Zwei-Faktor-Authentifizierung, fehlende Antiviren- und Intrusion-Detection-Software und vieles mehr.

Stellenmarkt
  1. Information Security Officer (m/w/d)
    DRÄXLMAIER Group, Vilsbiburg bei Landshut
  2. Solution Architect Shopfloor Management (m/w/d)
    DRÄXLMAIER Group, München
Detailsuche

Das US-Raketenabwehrsystem soll das Territorium der Vereinigten Staaten vor Kurz-, Lang- und Mittelstreckenraketen schützen, indem diese erkannt und von Raketen des Abwehrsystems abgefangen werden. Die Soft- und Hardware, die zum Betrieb und zur Steuerung der Anlagen verwendet werden, dürften einem besonders hohen Angriffsrisiko ausgesetzt sein. Umso erstaunlicher sind die Funde des Generalinspekteurs.

28 Jahre alte Sicherheitslücke

Bei dreien der fünf untersuchten Standorte der Missile Defense Agency wurden etliche, zum Teil seit vielen Jahren bekannte Sicherheitslücken gefunden. Die entsprechenden Patches wurden nicht eingespielt. Die älteste Lücke ist seit 28 Jahren bekannt. Die Seiten des Berichtes wurden stark geschwärzt. Unklar ist, um welche Sicherheitslücken es sich handelt und ob die Administratoren die Patches mittlerweile eingespielt haben.

Neue Mitarbeiter der Missile Defense Agency erhalten neben einem Nutzernamen und einem Passwort eine Chipkarte für die Zwei-Faktor-Authentifizierung, die sie innerhalb von zwei Wochen für ihre Konten aktivieren müssen. Etliche Mitarbeiter aktivierten den zweiten Faktor jedoch nie und konnten dennoch auf das Netzwerk der MDA zugreifen. Ein Mitarbeiter arbeitete bereits sieben Jahre ohne zweiten Faktor.

Golem Akademie
  1. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    4. Februar 2022, virtuell
Weitere IT-Trainings

Einer der untersuchten Standorte unterstützte die Authentifizierung mittels zweitem Faktor erst gar nicht. Die Mitarbeiter sind hierdurch anfällig für Phishing- oder Spear-Phishing-Angriffe. An einem Standort fehlte zudem eine Intrusion-Detection- und Antiviren-Software.

Der Datenaustausch zwischen nicht am Netz betriebenen Rechnern wurde zum Teil mittels unverschlüsselten USB-Sticks durchgeführt. Begründet wurde dies mit alter Hardware, die keine Verschlüsselung unterstütze, sowie mit fehlenden finanziellen Ressourcen, um entsprechende Software zu kaufen.

Die Mängelliste geht weiter

Der Bericht listet auch physische Sicherheitsprobleme auf: In zwei Rechenzentren wurden unverschlossene Racks gefunden, ein entsprechendes Sicherheitsprotokoll war dem Leiter eines der Rechenzentren unbekannt. Lücken im Netz der Überwachungskameras hätten von Angreifern ausgenutzt werden können, um ungesehen in Anlagen oder Gebäude einzudringen. Zudem zeigten die Türsensoren zum Teil offene Türen als geschlossen an. Das Personal hinderte Personen mit unzureichender Berechtigung nicht am Betreten von Top-Secret-Gebäuden.

Die Empfehlungen des Generalinspekteurs lesen sich wie die Grundlagen der IT-Sicherheit, die für eine militärische Einrichtung eigentlich Standard sein sollten: Es sollte Zwei-Faktor-Authentifizierung verwendet und Sicherheitslücken zeitnah geschlossen werden, Daten auf Wechseldatenträgern sollten geschützt und Intrusion-Detection-Systeme implementiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


mainframe 18. Dez 2018

Im ICE werden auch noch 3,5" Disketten verwendet. Teilweise für Streckenführung und...

Airblader 18. Dez 2018

Diese Audits liefern immer und überall die selben Ergebnisse, ob IOT, Wirtschaft...

Airblader 18. Dez 2018

2018 - 28 = 1990 < 1995.

blaub4r 18. Dez 2018

Dein Text ist teilweise schwer zu lesen/verstehen.

Die Heilige... 18. Dez 2018

Da bekommt das Attribut "nach Militärstandards" einiger Hardwarehersteller gleich eine...



Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. Rohstoffe: Lithiumkarbonat für über 50 Euro/kg gefährdet Akkupreise
    Rohstoffe
    Lithiumkarbonat für über 50 Euro/kg gefährdet Akkupreise

    Die Lithiumknappheit treibt Kosten für Akkuhersteller in die Höhe und lässt Alternativen attraktiver werden.
    Eine Analyse von Frank Wunderlich-Pfeiffer

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. Wochenrückblick: Zu viele Zertifikate
    Wochenrückblick
    Zu viele Zertifikate

    Golem.de-Wochenrückblick Zu viele Impfzertifikate und zu lange Kündigungsfristen: die Woche im Video.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u.a. HP Omen 25i 165 Hz 184,90€) • MindStar (u.a. Patriot Viper VPN100 1 TB 99€) • HyperX Streamer Starter Set 67€ • WD BLACK P10 Game Drive 5 TB 111€ • Trust GXT 38 35,99€ • RTX 3080 12GB 1.499€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen [Werbung]
    •  /