Der oberste US-Rechnungshof, GAO, befasste sich eingehend mit der Überprüfung von Penetrationstests aller Waffensysteme des US-Verteidigungsministeriums mit besorgniserregendem Ergebnis. Es war den Testern relativ leicht gefallen, die Kontrolle über viele Systeme zu übernehmen. Der Bericht offenbar auch, dass eine ganze Waffengeneration ohne angemessene Internetsicherheit entworfen und gebaut wurde und derzeit betrieben wird.

Es galt Folgendes zu überprüfen: 1. die Faktoren, die zum gegenwärtigen Stand der Cybersicherheit der US-Waffensysteme beitragen, 2. Schwachstellen in Waffensystemen, die sich noch in der Entwicklung befinden, und 3. Schritte, die das Verteidigungsministerium unternimmt, um Waffensysteme mit hoher Cybersicherheit zu entwickeln. Hintergrund hierfür ist eine Anfrage des Verteidigungsausschusses des Senats, der über die Bewilligung von 1,66 Billionen(!) US-Dollar (=1.660.000.000.000) für die Entwicklung neuer Waffensysteme abstimmen muss.

Vielleicht ist es sogar noch besorgniserregender, dass das Verteidigungsministerium die aufgedeckten und offensichtlichen Schwachstellen überhaupt nicht als Bedrohung anerkennen will. Am schlimmsten steht es um fast alle Waffen, die zwischen 2012 und 2017 getestet wurden. Sie wiesen sehr kritische Cyberschwachstellen auf.

„Mit relativ einfachen Tools und Techniken konnten Tester die Kontrolle über Systeme übernehmen und weitgehend unentdeckt arbeiten, was teilweise auf grundlegende Probleme wie schlechte Passwortverwaltung und unverschlüsselte Kommunikation zurückzuführen ist“,

hieß es im GAO-Bericht. Die Penetrationstests waren seinerzeit von Beamten des Verteidigungsministeriums selbst durchgeführt worden. Darauf sowie auf Interviews mit Beamten verschiedener Unterabteilung des Ministeriums, basierten die Ergebnisse des Berichts.

Die Tester hatten erhebliche Schwachstellen in den Waffensystemen gefunden. Ganz oben auf der Liste: völlig unzureichende Passwortsicherheit oder fehlende Verschlüsselung. Um das zu verdeutlichen: Nur neun Sekunden benötigte ein Tester, um ein Administratorenkennwort für ein Waffensystem zu erraten. Bei manchen Waffensystemen, waren die werkseitig vorgegebenen Standardkennwörter von den Administratoren nicht einmal geändert worden. Und noch schlimmer: Es gelang Testern, ein Waffensystem durch simples Scannen teilweise abzuschalten. Waffen konnten sogar vollständig kontrolliert werden.

„In einem Fall brauchte ein Testteam bestehend aus zwei Personen nur eine Stunde, um einen ersten Zugang zu einem Waffensystem zu erhalten, und einen Tag, um die vollständige Kontrolle über das getestete System zu erlangen“,

heißt es im Bericht.

Den Mitarbeitern des Verteidigungsministeriums ist sogar wochenlang nicht aufgefallen, dass die Tester sich an den Waffensystemen zu schaffen gemacht hatten. Dabei waren die Tester wohl absichtlich nicht einmal besonders vorsichtig. Im Bericht wird auch beschrieben, dass automatisierte Sicherheitssysteme die „Einbrecher“ zwar erkannt hätten, aber die für die Überwachung dieser Systeme zuständigen Mitarbeiter hätten gar nicht verstanden, was die Warnmeldungen eigentlich bedeuteten. Einmal hackte sich das Testteam in das US-Verteidigungsministerium ein und startete es neu – völlig unbemerkt, obwohl es sogar auf unerklärliche Weise abstürzte. Tester hatten auch auf verschiedenen Bildschirmen Pop-up-Meldung aufgespielt mit der witzigen Aufforderung, mehr Münzen einzuwerfen, damit der Betrieb fortgesetzt werden könnte.

Es sei sehr beunruhigend, wie unsicher die US-Waffensysteme tatsächlich sind und dass das US-Verteidigungsministerium glaubt, sie seien ziemlich sicher, hieß es im Bericht. Die Beamten des Verteidigungsministeriums denken, ihre Systeme seien sicher und stempelten einige Testergebnisse als völlig unrealistisch ab, hieß es weiter. Einige Verantwortliche behaupteten sogar, dass ihre Systeme sicher seien und das, obwohl diese Waffensysteme noch keinem Sicherheitstest unterzogen worden waren.

Eines ihrer Gegenargumente war, dass Tester Zugriffsmöglichkeiten gehabt hatten, die Hacker in einem realen Szenario eher nicht haben würden. Selbst Vertreter der NSA bestätigten im Bericht, dass echte Hacker keinen Beschränkungen unterliegen würden, wie den Testteams auferlegt wurde. Zeit und Geld spielt bei einem echten Angriff keine Rolle. Und wie frustrierend muss es für die internen Tester des Verteidigungsministeriums eigentlich sein: Der eigene Arbeitgeber erkennt diese Ergebnisse nicht an. Schließlich hatte das GAO lediglich die Ergebnisse der internen Testteams des Verteidigungsministeriums überprüft. Ein altbekanntes Phänomen aus der Privatwirtschaft – Vorstände wollen ungern die Wahrheit und den Rat ihrer Ingenieure hören – das sind meistens Rückschläge und würden nur zusätzlich Geld kosten. Die Testteams haben mit den einfachsten oder effektivsten Methoden versucht, Systemzugang zu erhalten. Damit nutzten sie nur einen Bruchteil aller vorhandenen Schwachstellen aus, die Angreifer ausnutzen könnten. Die Tester haben außerdem nicht einmal alle Waffensysteme durchgetestet.

Der oberste US-Rechnungshof kann daher mit guter Gewissheit abschätzen, dass die im Bericht genannten Schwachstellen wahrscheinlich nur einen kleinen Teil der tatsächlichen Risiken in ihren Systemen ausmachen. Außen vorgelassen beim Testen wurden industrielle Steuerungssysteme, von Internet unabhängige Geräte und alle gefälschten Komponenten. Von den vielen erkannten Schwachstellen wurden außerdem nur 20 behoben in dem Testzeitraum, so der Bericht. Das US-Verteidigungsministerium hat kürzlich mehrere Schritte unternommen, um die Cybersicherheit ihrer Waffensysteme zu verbessern. Dazu gehört auch das Implementieren und Überarbeiten von Richtlinien und Leitlinien zur Verbesserung der Cybersicherheit.

SANS Sicherheitsexperten Alan Paller:

„Die beiden gefährlichsten Cyberrisiken für unser Land sind die Schwachstellen in Waffensystemen und das Eindringen in Rechnersysteme, die die USA und ihren Verbündeten unterstützen. Das Risiko für Stromversorgungssysteme ist nun weithin bekannt. Daher ist auch Wahl von Karen Evans als neue Cyber-Königin für Energieversorgung ist die erste positive Maßnahme seit Langem in Bezug auf den Schutz von Stromsystemen. Schwachstellen in Waffensystemen sind genauso gefährlich. Kurz nachdem Admiral Barry McCullough als erster Befehlshaber der 10. Flotte (Cyber Kommando der US-Navy) vereidigt wurde, sagte er zu einer Gruppe bei CSIS: ‚Die USA seien bei kinetischen Waffen dominierend, die andere Seite hat es jedoch auf das Befehlen und die Kontrolle UNSERER Waffensysteme abgesehen.‘ Er schloss: ‚Wir sind um den Faktor 4 auf der falschen Seite der Ausgabekurve. Aufgrund dieser Schwachstellen in unseren Waffensystemen wissen wir nicht, ob die Waffen, die wir abfeuern, das beabsichtigte Ziel überhaupt treffen werden oder eine unserer eigenen Einheiten.‘ Sein CSIS-Briefing fand am 5. April 2010 statt – vor achteinhalb Jahren. Glauben Sie, dass unsere Gegner in diesen acht Jahren Fortschritte gemacht haben? Wir brauchen einen ‚Cyber-Herrscher für Waffensysteme‘ im Verteidigungsministerium mit 4 Sternen und einem ‚Rückgrat aus Stahl‘.“

Siehe auch:

• Fragliche Passwortsicherheit für US-Atomraketen
• Vertraulicher Bericht enthüllt erfolgreiche Hacker-Angriffe auf US-Waffensysteme
• US-amerikanische Waffenprogramme durch Cyber-Angriffe verwundbar
• Südkorea: Alles weg! Militärpläne von Hackern gestohlen
• Behobene IE-Sicherheitslücke gegen Webseite des US-Militärs ausgenutzt
• Hacker greifen Daten von US-Militärs südkoreanischer Herkunft an
• Militärische Apache-Hubschrauber Simulations-Software geklaut
• USA beschuldigt chinesisches Militär der Cyberspionage
• Chinesische Hacker brechen in indische Militärcomputer ein
• 4000 private NATO Smartphones gehackt – steckt Russland dahinter?

Artikel von wired.com, 10.10.2018: US Weapons Systems Are Easy Cyberattack Targets, New Report Finds
Artikel von theregister.co.uk, 10.10.2018: US may have by far the world’s biggest military budget but it’s not showing in security
Artikel von gao.gov, 09.10.2018: Weapon Systems Cybersecurity: DOD Just Beginning to Grapple with Scale of Vulnerabilities

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0