Abo
  • IT-Karriere:

Sicherheitslücken: Schutzloses US-Raketenabwehrsystem

Das US-Raketenabwehrsystem ist nur unzureichend gegen Angriffe geschützt. Fehlende Antiviren-Software, mangelhaft umgesetzte Zwei-Faktor-Authentifizierung und eine seit 28 Jahren offene Sicherheitslücke sind nur einige der Schwachpunkte, die ein Untersuchungsbericht offenlegt.

Artikel veröffentlicht am ,
Ob diese Rakete auch so viele Sicherheitslücken wie das US-Raketenabwehrsystem enthält?
Ob diese Rakete auch so viele Sicherheitslücken wie das US-Raketenabwehrsystem enthält? (Bild: fudowakira0/CC0 1.0)

Eine lange Liste an Mängeln bescheinigt der Generalinspekteur des US-Verteidigungsministeriums dem US-Raketenabwehrsystem. In dem am 10. Dezember veröffentlichten Bericht wurden fünf der 104 Standorte der Missile Defense Agency (MDA) untersucht. Gefunden wurden etliche seit Jahren ungepatchte Sicherheitslücken, nicht umgesetzte Zwei-Faktor-Authentifizierung, fehlende Antiviren- und Intrusion-Detection-Software und vieles mehr.

Stellenmarkt
  1. S. Siedle & Söhne Telefon- und Telegrafenwerke OHG, Furtwangen im Schwarzwald
  2. Technische Universität Darmstadt, Darmstadt

Das US-Raketenabwehrsystem soll das Territorium der Vereinigten Staaten vor Kurz-, Lang- und Mittelstreckenraketen schützen, indem diese erkannt und von Raketen des Abwehrsystems abgefangen werden. Die Soft- und Hardware, die zum Betrieb und zur Steuerung der Anlagen verwendet werden, dürften einem besonders hohen Angriffsrisiko ausgesetzt sein. Umso erstaunlicher sind die Funde des Generalinspekteurs.

28 Jahre alte Sicherheitslücke

Bei dreien der fünf untersuchten Standorte der Missile Defense Agency wurden etliche, zum Teil seit vielen Jahren bekannte Sicherheitslücken gefunden. Die entsprechenden Patches wurden nicht eingespielt. Die älteste Lücke ist seit 28 Jahren bekannt. Die Seiten des Berichtes wurden stark geschwärzt. Unklar ist, um welche Sicherheitslücken es sich handelt und ob die Administratoren die Patches mittlerweile eingespielt haben.

Neue Mitarbeiter der Missile Defense Agency erhalten neben einem Nutzernamen und einem Passwort eine Chipkarte für die Zwei-Faktor-Authentifizierung, die sie innerhalb von zwei Wochen für ihre Konten aktivieren müssen. Etliche Mitarbeiter aktivierten den zweiten Faktor jedoch nie und konnten dennoch auf das Netzwerk der MDA zugreifen. Ein Mitarbeiter arbeitete bereits sieben Jahre ohne zweiten Faktor.

Einer der untersuchten Standorte unterstützte die Authentifizierung mittels zweitem Faktor erst gar nicht. Die Mitarbeiter sind hierdurch anfällig für Phishing- oder Spear-Phishing-Angriffe. An einem Standort fehlte zudem eine Intrusion-Detection- und Antiviren-Software.

Der Datenaustausch zwischen nicht am Netz betriebenen Rechnern wurde zum Teil mittels unverschlüsselten USB-Sticks durchgeführt. Begründet wurde dies mit alter Hardware, die keine Verschlüsselung unterstütze, sowie mit fehlenden finanziellen Ressourcen, um entsprechende Software zu kaufen.

Die Mängelliste geht weiter

Der Bericht listet auch physische Sicherheitsprobleme auf: In zwei Rechenzentren wurden unverschlossene Racks gefunden, ein entsprechendes Sicherheitsprotokoll war dem Leiter eines der Rechenzentren unbekannt. Lücken im Netz der Überwachungskameras hätten von Angreifern ausgenutzt werden können, um ungesehen in Anlagen oder Gebäude einzudringen. Zudem zeigten die Türsensoren zum Teil offene Türen als geschlossen an. Das Personal hinderte Personen mit unzureichender Berechtigung nicht am Betreten von Top-Secret-Gebäuden.

Die Empfehlungen des Generalinspekteurs lesen sich wie die Grundlagen der IT-Sicherheit, die für eine militärische Einrichtung eigentlich Standard sein sollten: Es sollte Zwei-Faktor-Authentifizierung verwendet und Sicherheitslücken zeitnah geschlossen werden, Daten auf Wechseldatenträgern sollten geschützt und Intrusion-Detection-Systeme implementiert werden.



Anzeige
Hardware-Angebote
  1. 199,90€
  2. mit Gutschein: NBBGRATISH10

mainframe 18. Dez 2018

Im ICE werden auch noch 3,5" Disketten verwendet. Teilweise für Streckenführung und...

Airblader 18. Dez 2018

Diese Audits liefern immer und überall die selben Ergebnisse, ob IOT, Wirtschaft...

Airblader 18. Dez 2018

2018 - 28 = 1990 < 1995.

blaub4r 18. Dez 2018

Dein Text ist teilweise schwer zu lesen/verstehen.

Die Heilige... 18. Dez 2018

Da bekommt das Attribut "nach Militärstandards" einiger Hardwarehersteller gleich eine...


Folgen Sie uns
       


Linux für Gaming installieren - Tutorial

Die Linux-Distribution Manjaro eignet sich gut für Spiele - wir erklären im Video wie man sie installiert.

Linux für Gaming installieren - Tutorial Video aufrufen
Disintegration angespielt: Fast wie ein Master Chief mit Privatarmee
Disintegration angespielt
Fast wie ein Master Chief mit Privatarmee

Gamescom 2019 Ein dick gepanzerter Held auf dem Schwebegleiter plus bis zu vier Fußsoldaten, denen man Befehle erteilen kann: Das ist die Idee hinter Disintegration. Golem.de hat das Actionspiel ausprobiert.
Von Peter Steinlechner

  1. Omen HP erweitert das Command Center um Spiele-Coaching
  2. Games Spielentwickler bangen weiter um Millionenförderung
  3. Gamescom Opening Night Hubschrauber, Historie plus Tag und Nacht für Anno 1800

Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


    Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
    Indiegames-Rundschau
    Epische ASCII-Abenteuer und erlebnishungrige Astronauten

    In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
    Von Rainer Sigl

    1. Indiegames-Rundschau Von Bananen und Astronauten
    2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
    3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

      •  /