von Robert Klatt •
Das Sicherheitsniveau der untersuchten Standorte war erschreckend niedrig. Es wurden bis zu 28 Jahre alte Sicherheitslücken gefunden.
Laut einer Untersuchung des Generalinspekteurs des US-Verteidigungsministeriums sind in der Sicherheit des US-Raketenabwehrsystems umfangreiche Mängel vorhanden. Untersucht wurden dabei fünf von insgesamt 104 Standorten der Missile Defense Agency (MDA). Trotz der militärischen Wichtigkeit dieses Verteidigungssystems wurde teils eklatante Sicherheitslücken gefunden, die selbst bei normalen Unternehmen völlig inakzeptabel wären. Dazu gehören seit Jahren nicht behobene Sicherheitslücken, fehlende Antiviren- und Intrusion-Detection-Software, fehlende Zwei-Faktor-Authentifizierung und andere kritische Probleme.
Genutzt werden soll das Raketenabwehrsystem eigentlich dafür, um feindliche Kurz-, Lang- und Mittelstreckenraketen in der Luft abzufangen, bevor sie Ziele in den USA erreichen können. Ob dieses seinen Zweck wirklich umsetzen kann ist jedoch aufgrund der festgestellten Software- und Hardwaremängel eher zweifelhaft.
Das wohl kritischste Problem, das die Untersuchung des Generalinspekteurs aufgedeckt hat, waren nicht behobene Sicherheitslücken bei drei von fünf Standorten, die zum Teil seit bereits seit 28 Jahren existieren. Da der Bericht umfassend geschwärzt wurde ist nicht einsehbar welche konkreten Lücken damit gemeint sind und ob die Patches inzwischen bereits installiert wurden.
Problematisch ist auch die mangelhafte Implementierung der Zwei-Faktor-Authentifizierung. Eigentlich soll diese von allen Mitarbeitern genutzt werden, die dafür bei der Einstellung neben einem Nutzernamen und einem Passwort auch eine Chipkarte erhalten. Viele Mitarbeiter haben diese Chipkarte innerhalb der vorgesehenen Frist von zwei Wochen jedoch nicht aktiviert. Sie konnten jedoch trotzdem noch auf das Netzwerk zugreifen. Die Untersuchung hat sogar einen Mitarbeiter gefunden, der seit rund sieben Jahren ohne aktive Zwei-Faktor-Authentifizierung auf das Netzwerk zugreift.
Bei einem der Standorte wurde die Zwei-Faktor-Authentifizierung sogar gar nicht genutzt. Dies macht den Standort extrem anfällig für Phishing- oder Spear-Phishing-Angriffe. Ein anderer Standort hat zudem vollständig auf Antiviren- und Intrusion-Detection-Software verzichtet.
Ebenfalls gefunden wurden Techniken die man eigentlich eher im Heimnetzwerk aber nicht bei einem hochkomplexen Raketenabwehrsystem erwartet. Dazu gehört unteranderem der Datenaustausch zwischen verschiedenen Rechner innerhalb des Netzwerks über unverschlüsselte USB-Sticks. In der Untersuchung erklären dies die verantwortlichen mit alter Hardware, die angeblich keine Verschlüsselung ermöglicht sowie zu geringem Budget, um entsprechend neue Hard- und Software anzuschaffen.
Der Generalinspekteur hat außerdem in zwei Rechenzentrum physische Sicherheitsprobleme wie unverschlossen Serverracks gefunden. Auf Nachfrage erklärte einer der Leiter, dass ihm diese Sicherheitsmaßnahme unbekannt sei. Ebenfalls angreifbar waren die Überwachungskameras an vielen Standorten über die eventuelle Angreifer Informationen über die Sicherheitsmaßnahmen innerhalb der Anlage erhalten könnten, die ihnen den physischen Zugang erleichtern würden. Auch die elektronischen Türsensoren waren zum Teil defekt und zeigten bei geöffneten Türen weiterhin an, dass die Tür geschlossen ist.