Letztes Jahr wurden Satellitendaten der US-amerikanischen National Oceanic and Atmospheric Administration (NOAA) von einem persönlichen Rechner gestohlen. Laut einem Bericht konnte die Behörde den Vorfall allerdings nicht untersuchen, da der betroffene Mitarbeiter die Herausgabe des PCs verweigerte.

Dies stellt dem Bericht zufolge eines von vielen „signifikanten Sicherheitsdefiziten“ bei der NOAA dar. Andere Schwachstellen beinhalten unautorisierte Nutzung von Smartphones in Schlüsselsystemen und tausende Schwachstellen in Software.

NOAA gehört zum US-amerikanischen Handelsministerium. Der im Juli veröffentlichte Bericht bezieht sich hauptsächlich auf Sicherheitsprobleme in Bezug auf die IT beim National Environmental Satellite, Data and Information Service (NESDIS).

Bei dem Vorfall in 2013

„sendete ein Angreifer Daten des NESDIS-Systems an eine verdächtige externe IP-Adresse über eine Remote-Verbindung zu einem PC“,

so Allen Crawley in dem Bericht.

NOAA fand heraus, dass der PC sehr wahrscheinlich mit einer Malware infiziert war. Weitere Untersuchungen konnte die Behörde allerdings nicht anstellen, da

„der Besitzer des Computers die Herausgabe verweigerte. Obwohl er ein Beschäftigter des NESDIS war, gestattete er die Durchführung forensischer Aktivitäten auf dem Rechner nicht.“

Die Schlussfolgerung des Berichts: Generell sei es keine gute Idee, Mitarbeitern den Zugang zu den NOAA-Systemen über persönliche Geräte zu gestatten. Der Vorfall betraf dem Bericht zufolge allerdings kein sehr kritisches System.

Schwachstellen in Bezug auf derartige Systeme werden in dem Bericht ebenfalls untersucht. In Abhängigkeit der Systeme wurden auf 36 bis 48 Prozent der Systeme unautorisierte Zugriffe von Smartphones und USB-Sticks registriert.

Auch durch die chinesische Regierung unterstützte Hacker hatten im letzten Jahr US-amerikanische Satelliten zur Beobachtung der Erde im Visier.

Crawley:

„Da es nur eines einzigen infizierten mobilen Gerätes bedarf, um Malware zu verbreiten und Angreifern Zugang zu gewähren, stellt dies ein erhöhtes Risiko für die NESDIS-Systeme dar.“

Hinzukommt, dass die Air Force und NOAA einige Systeme gemeinsam nutzen. Dadurch fühlte sich jahrelang weder die eine noch die andere Behörde für deren Sicherheit verantwortlich. Gerade in Bezug auf militärisch genutzte Satelliten ist dies jedoch von höchster Relevanz. Auch zu geringe Budgets kommen erschwerend hinzu.

NOAA

„hat erklärt, dass es bei unzureichenden Budgets korrigierende Tätigkeiten unterlassen und die damit verbundenen Risiken akzeptieren wird“,

so Crawley weiter. Seitens der Air Force werden erste Schritte wohl erst nach einem Update der Technologie im Jahr 2016 erwartet.

Sieh auch: Bericht der US-Handelsministeriums.

Artikel von nextgov.com, 28.07.2014: Hacker Breached NOAA Satellite Data from Contractor’s PC