Pentagon beschafft IT mit bekannten Schwachstellen

Ein Kontrollbericht kritisiert das US-Militär auf allen Ebenen für den Einkauf von Druckern, Computern, Kameras und Software.
 
Trotz nationaler Sicherheitsbedenken hat das US-Verteidigungsministerium Tausende von Computern, Druckern und Sicherheitskameras sowie Netzwerkgeräte gekauft, die bekannte Security-Schwachstellen enthielten. Dies ergab ein Audit, das vom zuständigen Generalinspektorat, der Kontrollbehörde des Verteidigungsministeriums, durchgeführt wurde.
 
Das Audit, das diese Woche mit geschwärzten Stellen veröffentlicht wurde, zeigt auch, dass die Armee und die Luftwaffe Standard-IT-Ausrüstung von Unternehmen in China gekauft haben, die enge Verbindungen zur Regierung und zum Militär des Landes haben.
 
Dies während die Beschaffer immer mehr internetfähige Standard-Produkte einkaufen und diese in Militäroperationen auch eingesetzt werden. Ein Beispiel sei der Einsatz von kommerziellen IoT-Geräten im F-35-Kampfflugzeug.
 
Eigentlich gibt es Vorschriften für die Kontrolle von Standardprodukten und der Supply Chain. Allerdings: "Wir haben Schwächen in der internen Kontrolle identifiziert, wie das Verteidigungsministerium Produkte mit bekannten Schwächen identifiziert, bewertet und damit verbundene Cybersicherheitsrisiken managt."
 
Ebensowenig werde das Personal über bekannte Cybersicherheits- oder Supply-Chain-Risiken bei Standard-Produkten informiert.
 
Vier Ebenen hat der Regierungs-Kontrolleur identifiziert:
  1. das Fehlen einer Organisation, welches Cyberrisiken von kommerziellen Standard-Produkten managt
  2. kein proaktives Handeln gegen die Beschaffung von Standard-Hard- und Software mit Cyberrisiken
  3. keine aktuelle schwarze Liste mit fragwürdigen, beziehungsweise als unsicher geltenden Produkten
  4. keine Kontrollen, ob unsichere Standard-Produkte beschafft werden oder nicht.
Warnungen der US-Regierung seien teilweise vom Pentagon ignoriert worden, bis im Zuge der Huawei-Verbote auf Beschaffungen von Produkten weiterer Hersteller wie Dahua und Hikvision verzichtet wurde.
 
Der Kontrollbericht bezieht sich auf 2017 und 2018 verkaufte beziehungsweise eingekaufte am Internet hängende Produkte. Die Kontrolleure kamen zum negativen Urteil, weil die Produkte Credentials oder andere sensible Daten in Plaintext übermitteln sollen, die Ausführung von schädlichem Code erlauben oder das Absaugen von Daten in Echtzeit.
 
Ein Hersteller wird beschuldigt, vorinstallierte Spyware mit ihren Produkten auszuliefern.
 
Zu den aus Kontrolleursicht fragwürdigen Geräten gehören Lenovo-Computer, Lexmark-Drucker und GoPro-Sicherheitskameras sowie Kaspersky-Produkte. Total seien Produkte von neun Herstellern kritikwürdig, so die Behörde, ohne weitere Namen zu nennen.
 
Unklar ist, aus welchen Quellen die Einschätzungen stammen. Nicht geschwärzt sind primär Quellen wie 'New York Times' oder 'Wall Street Journal'.
 
Zu den abgegebenen Empfehlungen der Kontrolleure herrscht Zwiespalt. Worüber genau, ist unklar, da strittige Antworten auf Empfehlungen geschwärzt sind, aber eine Tabelle zeigt, dass bislang diverse Empfehlungen nicht umgesetzt worden sind oder anders als empfohlen.
 
Der geschwärzte, freigegebene Bericht kann als PDF heruntergeladen werden. (mag)