Abo
  • Services:

Sicherheitslücken: Schutzloses US-Raketenabwehrsystem

Das US-Raketenabwehrsystem ist nur unzureichend gegen Angriffe geschützt. Fehlende Antiviren-Software, mangelhaft umgesetzte Zwei-Faktor-Authentifizierung und eine seit 28 Jahren offene Sicherheitslücke sind nur einige der Schwachpunkte, die ein Untersuchungsbericht offenlegt.

Artikel veröffentlicht am ,
Ob diese Rakete auch so viele Sicherheitslücken wie das US-Raketenabwehrsystem enthält?
Ob diese Rakete auch so viele Sicherheitslücken wie das US-Raketenabwehrsystem enthält? (Bild: fudowakira0/CC0 1.0)

Eine lange Liste an Mängeln bescheinigt der Generalinspekteur des US-Verteidigungsministeriums dem US-Raketenabwehrsystem. In dem am 10. Dezember veröffentlichten Bericht wurden fünf der 104 Standorte der Missile Defense Agency (MDA) untersucht. Gefunden wurden etliche seit Jahren ungepatchte Sicherheitslücken, nicht umgesetzte Zwei-Faktor-Authentifizierung, fehlende Antiviren- und Intrusion-Detection-Software und vieles mehr.

Stellenmarkt
  1. Bosch Gruppe, Abstatt
  2. RI-Solution GmbH, Auerbach

Das US-Raketenabwehrsystem soll das Territorium der Vereinigten Staaten vor Kurz-, Lang- und Mittelstreckenraketen schützen, indem diese erkannt und von Raketen des Abwehrsystems abgefangen werden. Die Soft- und Hardware, die zum Betrieb und zur Steuerung der Anlagen verwendet werden, dürften einem besonders hohen Angriffsrisiko ausgesetzt sein. Umso erstaunlicher sind die Funde des Generalinspekteurs.

28 Jahre alte Sicherheitslücke

Bei dreien der fünf untersuchten Standorte der Missile Defense Agency wurden etliche, zum Teil seit vielen Jahren bekannte Sicherheitslücken gefunden. Die entsprechenden Patches wurden nicht eingespielt. Die älteste Lücke ist seit 28 Jahren bekannt. Die Seiten des Berichtes wurden stark geschwärzt. Unklar ist, um welche Sicherheitslücken es sich handelt und ob die Administratoren die Patches mittlerweile eingespielt haben.

Neue Mitarbeiter der Missile Defense Agency erhalten neben einem Nutzernamen und einem Passwort eine Chipkarte für die Zwei-Faktor-Authentifizierung, die sie innerhalb von zwei Wochen für ihre Konten aktivieren müssen. Etliche Mitarbeiter aktivierten den zweiten Faktor jedoch nie und konnten dennoch auf das Netzwerk der MDA zugreifen. Ein Mitarbeiter arbeitete bereits sieben Jahre ohne zweiten Faktor.

Einer der untersuchten Standorte unterstützte die Authentifizierung mittels zweitem Faktor erst gar nicht. Die Mitarbeiter sind hierdurch anfällig für Phishing- oder Spear-Phishing-Angriffe. An einem Standort fehlte zudem eine Intrusion-Detection- und Antiviren-Software.

Der Datenaustausch zwischen nicht am Netz betriebenen Rechnern wurde zum Teil mittels unverschlüsselten USB-Sticks durchgeführt. Begründet wurde dies mit alter Hardware, die keine Verschlüsselung unterstütze, sowie mit fehlenden finanziellen Ressourcen, um entsprechende Software zu kaufen.

Die Mängelliste geht weiter

Der Bericht listet auch physische Sicherheitsprobleme auf: In zwei Rechenzentren wurden unverschlossene Racks gefunden, ein entsprechendes Sicherheitsprotokoll war dem Leiter eines der Rechenzentren unbekannt. Lücken im Netz der Überwachungskameras hätten von Angreifern ausgenutzt werden können, um ungesehen in Anlagen oder Gebäude einzudringen. Zudem zeigten die Türsensoren zum Teil offene Türen als geschlossen an. Das Personal hinderte Personen mit unzureichender Berechtigung nicht am Betreten von Top-Secret-Gebäuden.

Die Empfehlungen des Generalinspekteurs lesen sich wie die Grundlagen der IT-Sicherheit, die für eine militärische Einrichtung eigentlich Standard sein sollten: Es sollte Zwei-Faktor-Authentifizierung verwendet und Sicherheitslücken zeitnah geschlossen werden, Daten auf Wechseldatenträgern sollten geschützt und Intrusion-Detection-Systeme implementiert werden.



Anzeige
Spiele-Angebote
  1. 3,89€
  2. 32,99€
  3. (-8%) 54,99€
  4. 18,49€

mainframe 18. Dez 2018

Im ICE werden auch noch 3,5" Disketten verwendet. Teilweise für Streckenführung und...

Airblader 18. Dez 2018

Diese Audits liefern immer und überall die selben Ergebnisse, ob IOT, Wirtschaft...

Airblader 18. Dez 2018

2018 - 28 = 1990 < 1995.

blaub4r 18. Dez 2018

Dein Text ist teilweise schwer zu lesen/verstehen.

Die Heilige... 18. Dez 2018

Da bekommt das Attribut "nach Militärstandards" einiger Hardwarehersteller gleich eine...


Folgen Sie uns
       


Raytracing in Metro Exodus im Test

Wir schauen uns Raytracing in Metro Exodus genauer an.

Raytracing in Metro Exodus im Test Video aufrufen
Windenergie: Mister Windkraft will die Welt vor dem Klimakollaps retten
Windenergie
Mister Windkraft will die Welt vor dem Klimakollaps retten

Fast 200 Windkraft-Patente tragen den Namen von Henrik Stiesdal. Nachdem er bei Siemens als Technikchef ausgestiegen ist, will der Däne nun die Stromerzeugung auf See revolutionieren.
Ein Bericht von Daniel Hautmann

  1. Offshore-Windparks Neue Windräder sollen mehr Strom liefern
  2. Fistuca Der Wasserhammer hämmert leise
  3. Windenergie Wie umweltfreundlich sind Offshore-Windparks?

Trüberbrook im Test: Provinzielles Abenteuer
Trüberbrook im Test
Provinzielles Abenteuer

Neuartiges Produktionsverfahren, prominente Sprecher: Das bereits vor seiner Veröffentlichung für den Deutschen Computerspielpreis nominierte Adventure Trüberbrook bietet trotz solcher Auffälligkeiten nur ein allzu braves Abenteuer in der deutschen Provinz der 60er Jahre.
Von Peter Steinlechner

  1. Quellcode Al Lowe verkauft Disketten mit Larry 1 auf Ebay
  2. Wet Dreams Don't Dry im Test Leisure Suit Larry im Land der Hipster
  3. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller

Operation 13: Anonymous wird wieder aktiv
Operation 13
Anonymous wird wieder aktiv

Mehrere Jahre wirkte es, als sei das dezentrale Kollektiv Anonymous in Deutschland eingeschlafen. Doch es bewegt sich etwas, die Aktivisten machen gegen Artikel 13 mobil - auf der Straße wie im Internet.
Von Anna Biselli


      •  /