Wenn es um hochtechnisierte und gefährliche Waffensysteme geht, sollte man eigentlich davon ausgehen, dass bei der Sicherheit weder gespart noch geschlampt wird. Doch in den USA scheint es hier einige Baustellen zu geben, wie ein Bericht des US Department of Defense Inspector General (DOD IG) kürzlich enthüllte. Prüfer haben fünf zufällig ausgewählte Stützpunkte für das ballistische Raketenabwehrsystem der US-Streitkräfte inspiziert. Diese sollen eigentlich Nuklearangriffe verhindern, indem sie feindliche Raketen abfangen. Die Untersuchung hat allerdings ergeben, dass sowohl bei der technischen als auch bei der physischen Absicherung der Systeme riesige Sicherheitslücken bestehen, die zum Teil auf die über Jahrzehnte gewachsenen Strukturen, aber auch auf schlichte Schlamperei und eine gewisse Mir-Egal-Einstellung zurückzuführen sind. Der Bericht zeigt, dass es gravierende Mängel bei der Verschlüsselung der Systeme, der Multifaktor-Authentifizierung und beim Schutz vor Computerviren gibt.
Einer der größten Kritikpunkte ist der Umgang mit den Zugangsberechtigungen für kritische Waffen- und Verteidigungssysteme. So existierte zwar eine vorgeschriebene Zwei-Faktor-Authentifizierung, allerdings wurde diese in vielen Fällen nicht durchgesetzt. Neue Mitarbeiter erhielten zu Beginn ihrer Tätigkeit einen Nutzernamen und ein Passwort, welche nach Aktivierung durch eine Zugangskarte ersetzt werden sollten. Nach spätestens zwei Wochen sollten diese Karten aktiviert werden, doch das passierte offenbar nicht immer. Ein Mitarbeiter drückte sich laut Bericht ganze sieben Jahre vor der Aktivierung dieser Zwei-Faktor-Authentifizierung! Bei einer anderen überprüften Basis war das ganze Netzwerk nicht darauf ausgelegt, diese Art der Zugangsberechtigung überhaupt zu unterstützen. Darüber hinaus wurden die Zugangsberechtigungen offenbar recht freigiebig verteilt und die Gründe für die Erteilung nirgendwo festgehalten. So ließ sich im Nachhinein kaum noch feststellen, warum einzelne Mitarbeiter den Zugang zu den Systemen überhaupt benötigten und ob man ihnen diesen vielleicht auch nur für eine begrenzte Zeit gewährt hatte.
Ein weiterer Kritikpunkt besteht im Umgang mit Sicherheitspatches, um bekannte Sicherheitslücken zu schließen. In drei der überprüften Standorte klafften große und vor allem weithin bekannte Sicherheitslücken in den Systemen, die mit einem simplen Patch längst hätten geschlossen sein können. Einige der gefundenen Lücken sind sogar seit den 1990er Jahren bekannt. Und damit nicht genug: In einer Basis existierte nicht einmal ein Basisschutz der Systeme durch ein Antivirenprogramm! Die Begründung für dieses Versäumnis schockiert: Der zuständige Mitarbeiter habe zwar einen Antrag eingereicht, allerdings nie eine Freigabe für die nötigen Schritte erhalten. Offenbar hat er es aber innerhalb eines Jahres wiederum nicht für nötig befunden, nochmal danach zu fragen.
Doch nicht nur die Softwareseite der Sicherheit wird im Bericht kritisiert, sondern auch die physische Sicherheit der Computer und Server. So waren die Server Racks nicht verschlossen und auf Nachfrage erklärten die Verantwortlichen, dass sie sich nicht darüber im Klaren gewesen seien, dass das zum Sicherheitsprotokoll gehöre. Insbesondere in Kombination mit den großen Sicherheitslücken bei der physischen Zugangskontrolle zu diesen Systemen können unverschlossene Server Racks eine große Gefahr darstellen. Der Bericht listet hier mehrere Kritikpunkte auf: von einer unzureichenden Videoüberwachung über defekte Sensoren an Schleusen und Türen bis hin zu absolut desinteressierten Mitarbeitern, die Fremde ohne sichtbare Zugangsberechtigung nicht einmal fragen würden, was sie in den kritischen Bereichen zu suchen hätten.
Zusätzlich zu all diesen Punkten kritisieren die Prüfer, dass in drei Standorten keine oder keine ausreichende Verschlüsselung genutzt wird, wenn Daten physisch übertragen werden, beispielsweise über einen USB-Stick. Die Begründung: Das über Jahrzehnte gewachsene System sei nicht darauf ausgelegt, große Datenmengen sinnvoll zu verschlüsseln. An einem der Standorte hieß es auch hier wieder: „Wir wussten gar nicht, dass man das tun soll.“ All diese Befunde aus dem Prüfbericht lassen nicht unbedingt ein gutes Gefühl aufkommen, vor allem wenn man an die Kraft der amerikanischen Waffensysteme denkt. Hier muss schleunigst nachgebessert werden, sowohl auf Software- als auch personeller Seite. Einen derart fahrlässigen Umgang mit der Cybersicherheit könnten sich Unternehmen in der freien Wirtschaft überhaupt nicht leisten.
Einer der größten Kritikpunkte ist der Umgang mit den Zugangsberechtigungen für kritische Waffen- und Verteidigungssysteme. So existierte zwar eine vorgeschriebene Zwei-Faktor-Authentifizierung, allerdings wurde diese in vielen Fällen nicht durchgesetzt. Neue Mitarbeiter erhielten zu Beginn ihrer Tätigkeit einen Nutzernamen und ein Passwort, welche nach Aktivierung durch eine Zugangskarte ersetzt werden sollten. Nach spätestens zwei Wochen sollten diese Karten aktiviert werden, doch das passierte offenbar nicht immer. Ein Mitarbeiter drückte sich laut Bericht ganze sieben Jahre vor der Aktivierung dieser Zwei-Faktor-Authentifizierung! Bei einer anderen überprüften Basis war das ganze Netzwerk nicht darauf ausgelegt, diese Art der Zugangsberechtigung überhaupt zu unterstützen. Darüber hinaus wurden die Zugangsberechtigungen offenbar recht freigiebig verteilt und die Gründe für die Erteilung nirgendwo festgehalten. So ließ sich im Nachhinein kaum noch feststellen, warum einzelne Mitarbeiter den Zugang zu den Systemen überhaupt benötigten und ob man ihnen diesen vielleicht auch nur für eine begrenzte Zeit gewährt hatte.
Ein weiterer Kritikpunkt besteht im Umgang mit Sicherheitspatches, um bekannte Sicherheitslücken zu schließen. In drei der überprüften Standorte klafften große und vor allem weithin bekannte Sicherheitslücken in den Systemen, die mit einem simplen Patch längst hätten geschlossen sein können. Einige der gefundenen Lücken sind sogar seit den 1990er Jahren bekannt. Und damit nicht genug: In einer Basis existierte nicht einmal ein Basisschutz der Systeme durch ein Antivirenprogramm! Die Begründung für dieses Versäumnis schockiert: Der zuständige Mitarbeiter habe zwar einen Antrag eingereicht, allerdings nie eine Freigabe für die nötigen Schritte erhalten. Offenbar hat er es aber innerhalb eines Jahres wiederum nicht für nötig befunden, nochmal danach zu fragen.
Doch nicht nur die Softwareseite der Sicherheit wird im Bericht kritisiert, sondern auch die physische Sicherheit der Computer und Server. So waren die Server Racks nicht verschlossen und auf Nachfrage erklärten die Verantwortlichen, dass sie sich nicht darüber im Klaren gewesen seien, dass das zum Sicherheitsprotokoll gehöre. Insbesondere in Kombination mit den großen Sicherheitslücken bei der physischen Zugangskontrolle zu diesen Systemen können unverschlossene Server Racks eine große Gefahr darstellen. Der Bericht listet hier mehrere Kritikpunkte auf: von einer unzureichenden Videoüberwachung über defekte Sensoren an Schleusen und Türen bis hin zu absolut desinteressierten Mitarbeitern, die Fremde ohne sichtbare Zugangsberechtigung nicht einmal fragen würden, was sie in den kritischen Bereichen zu suchen hätten.
Zusätzlich zu all diesen Punkten kritisieren die Prüfer, dass in drei Standorten keine oder keine ausreichende Verschlüsselung genutzt wird, wenn Daten physisch übertragen werden, beispielsweise über einen USB-Stick. Die Begründung: Das über Jahrzehnte gewachsene System sei nicht darauf ausgelegt, große Datenmengen sinnvoll zu verschlüsseln. An einem der Standorte hieß es auch hier wieder: „Wir wussten gar nicht, dass man das tun soll.“ All diese Befunde aus dem Prüfbericht lassen nicht unbedingt ein gutes Gefühl aufkommen, vor allem wenn man an die Kraft der amerikanischen Waffensysteme denkt. Hier muss schleunigst nachgebessert werden, sowohl auf Software- als auch personeller Seite. Einen derart fahrlässigen Umgang mit der Cybersicherheit könnten sich Unternehmen in der freien Wirtschaft überhaupt nicht leisten.
