Pentagon beschafft IT mit bekannten Schwachstellen

7. August 2019, 12:23
  • e-government
  • vendor
  • supply chain
  • security
image

Ein Kontrollbericht kritisiert das US-Militär auf allen Ebenen für den Einkauf von Druckern, Computern, Kameras und Software.

Ein Kontrollbericht kritisiert das US-Militär auf allen Ebenen für den Einkauf von Druckern, Computern, Kameras und Software.
Trotz nationaler Sicherheitsbedenken hat das US-Verteidigungsministerium Tausende von Computern, Druckern und Sicherheitskameras sowie Netzwerkgeräte gekauft, die bekannte Security-Schwachstellen enthielten. Dies ergab ein Audit, das vom zuständigen Generalinspektorat, der Kontrollbehörde des Verteidigungsministeriums, durchgeführt wurde.
Das Audit, das diese Woche mit geschwärzten Stellen veröffentlicht wurde, zeigt auch, dass die Armee und die Luftwaffe Standard-IT-Ausrüstung von Unternehmen in China gekauft haben, die enge Verbindungen zur Regierung und zum Militär des Landes haben.
Dies während die Beschaffer immer mehr internetfähige Standard-Produkte einkaufen und diese in Militäroperationen auch eingesetzt werden. Ein Beispiel sei der Einsatz von kommerziellen IoT-Geräten im F-35-Kampfflugzeug.
Eigentlich gibt es Vorschriften für die Kontrolle von Standardprodukten und der Supply Chain. Allerdings: "Wir haben Schwächen in der internen Kontrolle identifiziert, wie das Verteidigungsministerium Produkte mit bekannten Schwächen identifiziert, bewertet und damit verbundene Cybersicherheitsrisiken managt."
Ebensowenig werde das Personal über bekannte Cybersicherheits- oder Supply-Chain-Risiken bei Standard-Produkten informiert.
Vier Ebenen hat der Regierungs-Kontrolleur identifiziert:
  1. das Fehlen einer Organisation, welches Cyberrisiken von kommerziellen Standard-Produkten managt
  2. keine Kontrollen, ob unsichere Standard-Produkte beschafft werden oder nicht.

Warnungen der US-Regierung seien teilweise vom Pentagon ignoriert worden, bis im Zuge der Huawei-Verbote auf Beschaffungen von Produkten weiterer Hersteller wie Dahua und Hikvision verzichtet wurde.
Der Kontrollbericht bezieht sich auf 2017 und 2018 verkaufte beziehungsweise eingekaufte am Internet hängende Produkte. Die Kontrolleure kamen zum negativen Urteil, weil die Produkte Credentials oder andere sensible Daten in Plaintext übermitteln sollen, die Ausführung von schädlichem Code erlauben oder das Absaugen von Daten in Echtzeit.
Ein Hersteller wird beschuldigt, vorinstallierte Spyware mit ihren Produkten auszuliefern.
Zu den aus Kontrolleursicht fragwürdigen Geräten gehören Lenovo-Computer, Lexmark-Drucker und GoPro-Sicherheitskameras sowie Kaspersky-Produkte. Total seien Produkte von neun Herstellern kritikwürdig, so die Behörde, ohne weitere Namen zu nennen.
Unklar ist, aus welchen Quellen die Einschätzungen stammen. Nicht geschwärzt sind primär Quellen wie 'New York Times' oder 'Wall Street Journal'.
Zu den abgegebenen Empfehlungen der Kontrolleure herrscht Zwiespalt. Worüber genau, ist unklar, da strittige Antworten auf Empfehlungen geschwärzt sind, aber eine Tabelle zeigt, dass bislang diverse Empfehlungen nicht umgesetzt worden sind oder anders als empfohlen.
Der geschwärzte, freigegebene Bericht kann als PDF heruntergeladen werden. (mag)

Loading

Mehr zum Thema

image

Die Notwendigkeit einer Zero-Trust-Edge-Strategie

Die digitale Transformation hat die Arbeitswelt grundlegend verändert. Neue Technologien erlauben von überall Zugriff auf Geschäftsdaten, was die Angriffsfläche der Unternehmen erheblich vergrössert. Fortinets Zero-Trust-Strategie gewährleistet Unternehmen Sicherheit für Anwender und Geräte.

image

Auch zwei Wochen nach Cyberangriff bleiben Schweizer Sixt-Telefone unerreichbar

Der Autovermieter meldete Anfang Mai, er habe die Sache im Griff. Doch nach wie vor scheinen nicht alle Probleme behoben zu sein.

publiziert am 16.5.2022
image

Cyberangriff auf Luzerner ÖV bleibt ohne grössere Folgen

Die Verkehrsbetriebe sprechen von einem "gezielten Angriff". Der Busverkehr war nicht betroffen, einzig Anzeigetafeln funktionierten nicht wie gewohnt.

publiziert am 16.5.2022
image

Kantonales Wahl-Auszählungssystem im Bug-Bounty-Test

Die Kantone Thurgau und St. Gallen lösen ihr 20 Jahre altes Wahl-Aus­zählungs­system ab. Das neue kommt ebenfalls von Abraxas und wird nun von Hackern geprüft.

publiziert am 16.5.2022