US-Raketensystem ist unverschlüsselt und nicht vor Viren geschützt

Keine Verschlüsselung, keine Antivirenprogramme, keine Multifaktor-Authentifizierungsmechanismen und 28 Jahre alte Sicherheitslücken. Das sind nur ein Teil der Cybersicherheits-Probleme, die im Rahmen einer Prüfung des US-amerikanischen Systems für ballistische Raketen aufgetaucht sind, wie Zdnet berichtet. Der entsprechende Sicherheitsreport wurde demnach am Freitag vom US Department of Defense Inspector General (DOD IG) veröffentlicht.

Prüfer hätten demnach fünf zufällig ausgewählte Standorte inspiziert, an denen die Missile Defense Agency (MDA) ballistische Raketen stationiert hat. Im Rahmen des Programms soll ein Nuklearangriff auf US-amerikanisches Territorium verhindert werden, indem feindliche Raketen abgefangen werden.

Multifaktor vorgesehen

Eigentlich hat die MDA ein Zweifaktor-System im Einsatz. Neue Mitarbeiter erhalten neben Benutzername und Passwort noch eine Common Access Card (CAC), die sie für ihre Konten aktivieren und anschließend als Multifaktor-Element nutzen. Mitarbeiter haben eigentlich die Vorgabe, mindestens zwei Wochen nach Dienstantritt das Zweifaktor-System zu aktivieren bzw. zu nutzen.

In dem nun veröffentlichten Sicherheitsbericht heißt es jedoch, dass viele Mitarbeiter die Mehrfachauthentifizierung für ihre Konten einfach nicht aktiviert haben und sich weiterhin nur mit Benutzernamen und Passwort einloggen. Ein Nutzer war demnach besonders hartnäckig und hat sieben Jahre lang so auf die sensiblen Daten zugegriffen. Ein Standort war überhaupt nicht für den Einsatz von Zweifaktor-Authentifizierung konfiguriert, wie es heißt.

Keine Patches

Der Bericht stellt noch weitere gravierende Probleme fest. So haben IT-Administratoren an drei der fünf kontrollierten Standorte keine Sicherheitspatches angewendet. Die Systeme waren noch für Schwachstellen anfällig, die bereits in den 90er Jahren entdeckt und geschlossen wurden. Der Bericht ist an diesen Stellen noch massiv geschwärzt worden, was darauf hindeutet, dass IT-Personal bis heute noch daran arbeitet, die entsprechenden Lücken zu schließen.

Physische Sicherheitsprobleme

Abgesehen von Softwarelücken fanden die Ermittler auch noch physische Risiken. An zwei Standorten waren etwa die Serverräume unverschlossen und leicht zugänglich. Jeder Angreifer, Gast oder Besucher der Einrichtung hätte problemlos schadhafte Geräte an die Computer anschließen können. Angesprochen auf die Problematik sagte ein Manager, dass er dieses Sicherheitsprotokoll nicht kannte.

Kritisiert wurde weiters, dass Angestellte keine Verschlüsselung verwendeten, wenn sie Daten per externer Speichermedien übertragen. Außerdem haben Administratoren an einem Standort kein System zur Erkennung und Verhinderung von Eindringlingen bzw. Schadsoftware.

104 Standorte

Die MDA hat 104 Standorte, zehn weitere sollen noch errichtet werden. Der DOD-IG-Bericht schließt mit einer Reihe an Empfehlungen, die jetzt überprüft und umgesetzt werden sollen.