Fast anderthalb Jahre lang haben Kontrolleure des US Government Accountability Office (GAO) Berichte des Pentagons zur IT-Basis und zur Cybersicherheit von Waffensystemen studiert, die das US-Verteidigungsministerium entwickeln lässt. Dazu kamen Gespräche mit zuständigen Militärs und Verwaltungsmitarbeitern. Das Ergebnis der jetzt veröffentlichten Studie des GAO: Routinemäßig seien Angriffsflächen in den Systemen gefunden worden, die deren Einsatzfähigkeit völlig unterwandert hätten. Befragte Pentagon-Vertreter hätten aber trotzdem geglaubt, dass die Technik sicher sei und einige der Testergebnisse als unrealistisch zurückgewiesen.

Das GAO erfüllt ähnliche Aufgaben wie der Bundesrechnungshof hierzulande. In dem Fall ging es um einen Auftrag des US-Kongresses, ein geplantes Programm zur Beschaffung und Entwicklung neuer Waffensysteme im Wert von rund 1,66 Billionen US-Dollar einzuschätzen. Eigene Tests führten die Prüfer zwar nicht durch, aber auch die ausgewerteten Papiere aus dem Pentagon sprechen eine deutliche Sprache.

Niedrige technische Hürden

Vom Verteidigungsministerium beauftragte Teams aus IT-Sicherheitsexperten gelang es vielfach sehr leicht, eingebaute technische Hürden zu überwinden, die Gegner von einem unautorisierten Zugriff auf die Systeme und damit deren Missbrauch abhalten sollen. In einem Fall hätten zwei der Tester nur eine Stunde gebraucht, um eine Hand in die Tür zu bekommen. Nach einem Tag hätten sie die volle Kontrolle über die Steuerungstechnik der Waffengattung erlangt. Ein System sei von außen übers Internet zwar nicht zu knacken, aber gegen eine Übernahme durch interne Bearbeiter äußerst unzureichend gesichert gewesen.

Ein andermal habe eine Gruppe das Betriebsterminal übernehmen können, legen die Kontrolleure offen. Sie habe in Echtzeit verfolgen können, was auf dem Display angezeigt wurde, und das System manipulieren können. Andere Probe-Angreifer haben es bei dem Jux belassen, die offiziellen Terminalnutzer in einem Pop-up-Fenster aufzufordern, Münzen einzuwerfen, um weiter damit arbeiten zu können.

Einige Systeme stürzten den Prüfern zufolge schon bei einem simplen Port-Scan ab, mit dem Hacker quasi zunächst an der Tür rütteln und schauen, ob sie offen ist. Ein Test habe aus "Sicherheitsbedenken" komplett abgebrochen werden müssen. Schwaches Passwort-Management und fehlende Verschlüsselung hätten sich als "weit verbreitete" Probleme erwiesen. Einmal sei es möglich gewesen, den Administratorzugang binnen neun Sekunden zu erraten. Beim Einbau von Software "von der Stange" seien die Standard-Passwörter nach der Installation oft nicht geändert worden, sodass sich diese über eine Internetsuche rasch gefunden hätten.

Unentdeckte Hacker

Bei einigen der Prüfungen seien die Aktivitäten der Angreifer von der anderen Seite überhaupt nicht registriert worden. Teils seien die Hacker über mehrere Wochen hinweg unentdeckt geblieben. Selbst bewusst "geräuschvolle" Handlungen oder herbeigeführte Systemabstürze hätten keine Reaktionen ausgelöst. Logdateien seien zwar meist geführt, in der Regel aber nicht überprüft worden.

Die Kontrolleure haben so insgesamt starke Bedenken, ob das Pentagon der Herausforderung gewachsen ist, moderne Waffensysteme mit zahlreichen integrierten Chips und Software und Steuerungsmöglichkeiten via Netzwerk angemessen abzusichern. Das Verteidigungsministerium habe erst "spät" begonnen, das Thema Cybersecurity in den Vordergrund zu rücken.

Offen bleibt, was aus der in der Übergangsphase hergestellten "ganzen Generation" an Waffensystemen wird, die offenbar nach wie vor gegen Hackergriffe kaum geschützt ist. Prinzipiell müsste die betroffene Ausrüstung weitgehend überarbeitet und abgedichtet werden. Informationen zu konkreten, möglicherweise betroffenen Gattungen enthält der Bericht aus Sicherheitsgründen nicht. (anw)