Pentagon beschafft IT mit bekannten Schwachstellen

7. August 2019, 12:23
  • e-government
  • vendor
  • supply chain
  • security
image

Ein Kontrollbericht kritisiert das US-Militär auf allen Ebenen für den Einkauf von Druckern, Computern, Kameras und Software.

Ein Kontrollbericht kritisiert das US-Militär auf allen Ebenen für den Einkauf von Druckern, Computern, Kameras und Software.
Trotz nationaler Sicherheitsbedenken hat das US-Verteidigungsministerium Tausende von Computern, Druckern und Sicherheitskameras sowie Netzwerkgeräte gekauft, die bekannte Security-Schwachstellen enthielten. Dies ergab ein Audit, das vom zuständigen Generalinspektorat, der Kontrollbehörde des Verteidigungsministeriums, durchgeführt wurde.
Das Audit, das diese Woche mit geschwärzten Stellen veröffentlicht wurde, zeigt auch, dass die Armee und die Luftwaffe Standard-IT-Ausrüstung von Unternehmen in China gekauft haben, die enge Verbindungen zur Regierung und zum Militär des Landes haben.
Dies während die Beschaffer immer mehr internetfähige Standard-Produkte einkaufen und diese in Militäroperationen auch eingesetzt werden. Ein Beispiel sei der Einsatz von kommerziellen IoT-Geräten im F-35-Kampfflugzeug.
Eigentlich gibt es Vorschriften für die Kontrolle von Standardprodukten und der Supply Chain. Allerdings: "Wir haben Schwächen in der internen Kontrolle identifiziert, wie das Verteidigungsministerium Produkte mit bekannten Schwächen identifiziert, bewertet und damit verbundene Cybersicherheitsrisiken managt."
Ebensowenig werde das Personal über bekannte Cybersicherheits- oder Supply-Chain-Risiken bei Standard-Produkten informiert.
Vier Ebenen hat der Regierungs-Kontrolleur identifiziert:
  1. das Fehlen einer Organisation, welches Cyberrisiken von kommerziellen Standard-Produkten managt
  2. keine Kontrollen, ob unsichere Standard-Produkte beschafft werden oder nicht.

Warnungen der US-Regierung seien teilweise vom Pentagon ignoriert worden, bis im Zuge der Huawei-Verbote auf Beschaffungen von Produkten weiterer Hersteller wie Dahua und Hikvision verzichtet wurde.
Der Kontrollbericht bezieht sich auf 2017 und 2018 verkaufte beziehungsweise eingekaufte am Internet hängende Produkte. Die Kontrolleure kamen zum negativen Urteil, weil die Produkte Credentials oder andere sensible Daten in Plaintext übermitteln sollen, die Ausführung von schädlichem Code erlauben oder das Absaugen von Daten in Echtzeit.
Ein Hersteller wird beschuldigt, vorinstallierte Spyware mit ihren Produkten auszuliefern.
Zu den aus Kontrolleursicht fragwürdigen Geräten gehören Lenovo-Computer, Lexmark-Drucker und GoPro-Sicherheitskameras sowie Kaspersky-Produkte. Total seien Produkte von neun Herstellern kritikwürdig, so die Behörde, ohne weitere Namen zu nennen.
Unklar ist, aus welchen Quellen die Einschätzungen stammen. Nicht geschwärzt sind primär Quellen wie 'New York Times' oder 'Wall Street Journal'.
Zu den abgegebenen Empfehlungen der Kontrolleure herrscht Zwiespalt. Worüber genau, ist unklar, da strittige Antworten auf Empfehlungen geschwärzt sind, aber eine Tabelle zeigt, dass bislang diverse Empfehlungen nicht umgesetzt worden sind oder anders als empfohlen.
Der geschwärzte, freigegebene Bericht kann als PDF heruntergeladen werden. (mag)

Loading

Mehr zum Thema

image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

Datenschutzbedenken wegen M365: Microsoft wehrt sich heftig

In Deutschland, Frankreich und der Schweiz stehen M365-Anwendungen in der Kritik der Datenschützer. Microsoft erklärt, die Bedenken seien "dogmatischer Selbstzweck".

publiziert am 30.11.2022
image

E-Mails, SMS & Co.: EU will einfacher an digitale Daten kommen

Ermittler in der EU sollen zur Verfolgung schwerer Straftaten einfacher und schneller Zugang zu elektronischen Beweismitteln bekommen – unabhängig davon, ob sie verschlüsselt sind.

publiziert am 30.11.2022 2
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022