US-Raketensysteme: DOD IG-Bericht enthüllt gravierende Sicherheitslücken

US-Raketensysteme: DOD IG-Bericht enthüllt gravierende Sicherheitslücken

ID: 1684874
(PresseBox) - Wenn es um hochtechnisierte und gefährliche Waffensysteme geht, sollte man eigentlich davon ausgehen, dass bei der Sicherheit weder gespart noch geschlampt wird. Doch in den USA scheint es hier einige Baustellen zu geben, wie ein Bericht des US Department of Defense Inspector General (DOD IG) kürzlich enthüllte. Prüfer haben fünf zufällig ausgewählte Stützpunkte für das ballistische Raketenabwehrsystem der US-Streitkräfte inspiziert. Diese sollen eigentlich Nuklearangriffe verhindern, indem sie feindliche Raketen abfangen. Die Untersuchung hat allerdings ergeben, dass sowohl bei der technischen als auch bei der physischen Absicherung der Systeme riesige Sicherheitslücken bestehen, die zum Teil auf die über Jahrzehnte gewachsenen Strukturen, aber auch auf schlichte Schlamperei und eine gewisse Mir-Egal-Einstellung zurückzuführen sind. Der Bericht zeigt, dass es gravierende Mängel bei der Verschlüsselung der Systeme, der Multifaktor-Authentifizierung und beim Schutz vor Computerviren gibt.

Einer der größten Kritikpunkte ist der Umgang mit den Zugangsberechtigungen für kritische Waffen- und Verteidigungssysteme. So existierte zwar eine vorgeschriebene Zwei-Faktor-Authentifizierung, allerdings wurde diese in vielen Fällen nicht durchgesetzt. Neue Mitarbeiter erhielten zu Beginn ihrer Tätigkeit einen Nutzernamen und ein Passwort, welche nach Aktivierung durch eine Zugangskarte ersetzt werden sollten. Nach spätestens zwei Wochen sollten diese Karten aktiviert werden, doch das passierte offenbar nicht immer. Ein Mitarbeiter drückte sich laut Bericht ganze sieben Jahre vor der Aktivierung dieser Zwei-Faktor-Authentifizierung! Bei einer anderen überprüften Basis war das ganze Netzwerk nicht darauf ausgelegt, diese Art der Zugangsberechtigung überhaupt zu unterstützen. Darüber hinaus wurden die Zugangsberechtigungen offenbar recht freigiebig verteilt und die Gründe für die Erteilung nirgendwo festgehalten. So ließ sich im Nachhinein kaum noch feststellen, warum einzelne Mitarbeiter den Zugang zu den Systemen überhaupt benötigten und ob man ihnen diesen vielleicht auch nur für eine begrenzte Zeit gewährt hatte.



Ein weiterer Kritikpunkt besteht im Umgang mit Sicherheitspatches, um bekannte Sicherheitslücken zu schließen. In drei der überprüften Standorte klafften große und vor allem weithin bekannte Sicherheitslücken in den Systemen, die mit einem simplen Patch längst hätten geschlossen sein können. Einige der gefundenen Lücken sind sogar seit den 1990er Jahren bekannt. Und damit nicht genug: In einer Basis existierte nicht einmal ein Basisschutz der Systeme durch ein Antivirenprogramm! Die Begründung für dieses Versäumnis schockiert: Der zuständige Mitarbeiter habe zwar einen Antrag eingereicht, allerdings nie eine Freigabe für die nötigen Schritte erhalten. Offenbar hat er es aber innerhalb eines Jahres wiederum nicht für nötig befunden, nochmal danach zu fragen.

Doch nicht nur die Softwareseite der Sicherheit wird im Bericht kritisiert, sondern auch die physische Sicherheit der Computer und Server. So waren die Server Racks nicht verschlossen und auf Nachfrage erklärten die Verantwortlichen, dass sie sich nicht darüber im Klaren gewesen seien, dass das zum Sicherheitsprotokoll gehöre. Insbesondere in Kombination mit den großen Sicherheitslücken bei der physischen Zugangskontrolle zu diesen Systemen können unverschlossene Server Racks eine große Gefahr darstellen. Der Bericht listet hier mehrere Kritikpunkte auf: von einer unzureichenden Videoüberwachung über defekte Sensoren an Schleusen und Türen bis hin zu absolut desinteressierten Mitarbeitern, die Fremde ohne sichtbare Zugangsberechtigung nicht einmal fragen würden, was sie in den kritischen Bereichen zu suchen hätten.

Zusätzlich zu all diesen Punkten kritisieren die Prüfer, dass in drei Standorten keine oder keine ausreichende Verschlüsselung genutzt wird, wenn Daten physisch übertragen werden, beispielsweise über einen USB-Stick. Die Begründung: Das über Jahrzehnte gewachsene System sei nicht darauf ausgelegt, große Datenmengen sinnvoll zu verschlüsseln. An einem der Standorte hieß es auch hier wieder: ?Wir wussten gar nicht, dass man das tun soll.? All diese Befunde aus dem Prüfbericht lassen nicht unbedingt ein gutes Gefühl aufkommen, vor allem wenn man an die Kraft der amerikanischen Waffensysteme denkt. Hier muss schleunigst nachgebessert werden, sowohl auf Software- als auch personeller Seite. Einen derart fahrlässigen Umgang mit der Cybersicherheit könnten sich Unternehmen in der freien Wirtschaft überhaupt nicht leisten.

Mit ihrem Cyber Security Center schützt die 8com die digitalen Infrastrukturen ihrer Kunden effektiv vor Cyber-Angriffen. Es beinhaltet nicht nur ein Security Information and Event Management (SIEM), ein Vulnerability Management sowie professionelle Penetrationstests, sondern auch den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management gehören ebenfalls zum Angebot.

Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 14 Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:

Mit ihrem Cyber Security Center schützt die 8com die digitalen Infrastrukturen ihrer Kunden effektiv vor Cyber-Angriffen. Es beinhaltet nicht nur ein Security Information and Event Management (SIEM), ein Vulnerability Management sowie professionelle Penetrationstests, sondern auch den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management gehören ebenfalls zum Angebot.Die 8com GmbH&Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 14 Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.



drucken  als PDF  Reservix-Tickets jetzt auch für  Veranstaltungen in der Elbphilharmonie abtis als Top-Arbeitgeber im Mittelstand 2019 und familienfreundliches Unternehmen ausgezeichnet
Bereitgestellt von Benutzer: PresseBox
Datum: 08.01.2019 - 09:02 Uhr
Sprache: Deutsch
News-ID 1684874
Anzahl Zeichen: 5735

Kontakt-Informationen:
Stadt:

Neustadt an der Weinstraße



Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 289 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"US-Raketensysteme: DOD IG-Bericht enthüllt gravierende Sicherheitslücken"
steht unter der journalistisch-redaktionellen Verantwortung von

8com GmbH&Co. KG (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Schwachstellen im digitalen Tresor: Sicherheitsforscher entlarven Risiken bei Passwortmanagern ...
Wann immer man ein neues Passwort anlegen muss, steht man vor einer schwierigen Entscheidung: Etwas nehmen, das man sich auch merken kann oder ein sicheres Passwort generieren lassen, das man sich wahrscheinlich nicht merken kann. Abhilfe versprechen cloud-basierte Passwortmanager. Sie gelten gemein

Kritische Sicherheitslücke im Microsoft Configuration Manager: CISA warnt vor aktiver Ausnutzung ...
Die US-Cybersicherheitsbehörde CISA hat eine Warnung bezüglich einer kritischen Schwachstelle im Microsoft Configuration Manager (ehemals SCCM) herausgegeben. Diese als CVE-2024-43468 identifizierte Sicherheitslücke ermöglicht es Angreifern, durch das Einschleusen von bösartigen SQL-Befehlen au

Der Preis der Bequemlichkeit: Musikstreaming zwischen Massenmarkt und dem Ruf nach finanzieller Fairness ...
Die Art und Weise, wie die Gesellschaft Musik konsumiert, hat sich in der letzten Dekade radikal gewandelt. Was früher mühsam auf CDs gesammelt oder aus dem Radio aufgenommen wurde, steht heute per Knopfdruck in millionenfacher Ausführung zur Verfügung. Doch während die Nutzer von der grenzenlo


Weitere Mitteilungen von 8com GmbH&Co. KG


Reservix-Tickets jetzt auch für Veranstaltungen in der Elbphilharmonie ...
Sie ist das kulturelle Flaggschiff Hamburgs, ein architektonisches Juwel, ein einzigartiges Konzerthaus: die Elb-philharmonie in Hamburg. Ab sofort können Veranstalter für Veranstaltungen in der Elbphilharmonie Reservix nutzen. ?Wir freuen uns, dass mit Reservix ein weiteres etabliertes Ticketings

TP-Link auf der CES 2019: Alles wird Mesh / Netzwerkspezialist TP-Link präsentiert "OneMesh" und Deco X10 mit Wi-Fi 6-Unterstützung (FOTO) ...
TP-Link, weltweit führender Hersteller von Netzwerkprodukten, präsentiert auf der Consumer Electronics Show (CES) in Las Vegas mit OneMesh eine Firmware-basierte Lösung, die auch ältere Netzwerkprodukte des Herstellers "mesh-fähig" macht. Dadurch können Nutzer ihre bestehende

Mit der HDMI 2.1-Spezifikation versehene Produkte nehmen angesichts neuen Ankündigungen auf der CES 2019 weiter zu ...
Die HDMI 2.1-Spezifikation wurde im November 2017 veröffentlicht. Hersteller verschiedener Produkte, darunter Halbleiter, Fernseher, AVRs, Soundbars und Spielekonsolen, haben Ankündigungen zu kommenden Veröffentlichungen angekündigt, die die Spezifikation unterstützen. HDMI® Licensing Admi

Stratodesk und ThinPrint kündigen gemeinsame Workspace Hub- und Druckmanagement-Lösung für Unternehmen an ...
(BERLIN/SAN FRANCISCO, 7. Januar 2019) Eine Zusammenarbeit zwischen ThinPrint und Stratodesk macht das Drucken am VDI-Arbeitsplatz so einfach wie noch nie zuvor. Der ThinPrint Hub bringt erweiterte Druckfunktionen für den Citrix Ready Workspace Hub. Der ThinPrint Hub kann nun zusätzlich zu bestehe


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z