X

High End-Hacker? - IT der US-Raketenwaffe hält nichtmal Phishing stand

In Filmen und Serien tauchen immer wieder einmal talentierte Hacker auf, die es mit einiger Anstrengung schaffen, die Sicherheits-Systeme der IT-Infrastruktur beim Militär zu überwinden. In der Praxis genügen allerdings mittelmäßige Fähigkeiten, um in sensible Systeme einzudringen, wie ein Security-Audit zu Tage förderte.
Public Domain
17.12.2018  11:21 Uhr
IT-Sicherheit beim US-Militär Kein Kreuzchen wäre gut

Der Bericht des Generalinspektors des US-Verteidigungsministeriums lässt kaum ein gutes Haar an den IT-Verantwortlichen der Waffengattungen, die mit ballistischen Raketen arbeiten. Hier seien die Netzwerke völlig ungenügend vor fremden Zugriffen geschützt, der Schutz von Informationen durch Verschlüsselung ist unzureichend und es gibt noch immer Sicherheitslücken, für die teilweise sogar schon vor 28 Jahren Patches bereitgestellt wurden.

Viele mögliche Probleme ließen sich bei der Infrastruktur der Raketensysteme vermeiden, wenn zumindest der vorgeschriebene Zugangsschutz umgesetzt würde. Das betrifft insbesondere eine Zwei-Wege-Authentifizierung. Die Richtlinien sehen vor, dass die Nutzer sich sowohl mit ihrem Passwort als auch einer persönlichen ID-Karte beim System ausweisen müssen, um Zugang zu bekommen. In vielen Fällen wurde ein Faktor allerdings nie scharf geschaltet und es genügt das Passwort, um loszulegen - und das bekommt ein Angreifer im Zweifel per Phishing. An einem Standort ist sogar noch nie eine Zwei-Wege-Authentifizierung installiert worden.

Nicht viel besser sieht es in den Datenzentren aus. Die Vorschriften besagen hier beispielsweise, dass ein physischer Schutz gewährleistet sein muss. Sprich: Die Server sollen hinter einer abgeschlossenen Tür arbeiten. In der Praxis steht die Tür aber meist offen und die zuständigen Admins erklärten bei der Überprüfung, dass ja ohnehin keine unbefugten Personen ins Datenzentrum gelassen werden. Dass es aber beispielsweise durchaus regelmäßige Führungen mit Besuchern gibt, hatte man dabei nicht im Bewusstsein. Es wäre also ein leichtes, als interessierter Bürger mal so ein Datenzentrum anzuschauen und dabei kurzerhand einen USB-Stick mit Malware an einen Server zu stecken.

Krypto wäre toll

Eine weitere Vorschrift, bei der sich irgendwann einmal jemand etwas gedacht hat, berührt Systeme, die aus gutem Grund an überhaupt kein Netzwerk angeschlossen sind und somit durch Isolation vor Spionage und Angriffen geschützt werden sollen. Hier sollen Datenträger, mit denen Informationen von einem zum nächsten System überbracht werden, stets verschlüsselt sein. Das ist in der Praxis aber nur selten der Fall.

Weiterhin wurden bei den Prüfungen mehrfach keine Aufzeichnungen gefunden, zu welchem Zweck einzelne Nutzer bestimmte Rechte überhaupt bekommen haben. Teils waren auch die Sensoren seit längerer Zeit defekt, die Anzeigen, ob Türen geöffnet oder geschlossen sind und Überwachungskameras deckten auch nur Bruchteile eines Geländes ab. Die Schlussfolgerung aus dem Zustand ist dabei ziemlich simpel: Im Ernstfall dürfte ein Feind sicherlich erst einmal elektronische Angriffe gegen wichtige Waffensysteme fahren - und das würde bedeuten, dass das Militär wohl nur noch auf einen Teil seiner ballistischen Raketen zugreifen könnte.

Siehe auch: Nächster Hack lässt Daten des US-Militärs in großem Stil abfließen
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture