Sicherheitsprobleme bei der NASA ermöglichten Hackerangriff

Unvollständige Datenbanken, liegengelassene Tickets – ein Report über das IT-Zentrum der NASA zeigt gravierende Schwachstellen.

In Pocket speichern vorlesen Druckansicht 53 Kommentare lesen
IT-Schlampereien bei der NASA ermöglichten Hackerangriff

(Bild: Shutterstock.com / Gorodenkoff)

Lesezeit: 3 Min.
Von
  • Dorothee Wiegand

Nach Sicherheitsproblemen im Jet Propulsion Laboratory (JPL), dem IT-Zentrum der NASA, hat eine Kommission die Sicherheitsvorkehrungen und Arbeitsabläufe geprüft. Die Untersuchungsergebnisse wurden in der vergangenen Woche in einem 43 Seiten starken Report veröffentlicht. Das JPL gehört zum California Institute of Technology. Unter Leitung des IT-Zentrums führt die NASA viele Raumsonden-Projekte durch, aktuell beispielsweise das der Mars-Sonde "Insight". Das JPL arbeitet nicht nur für die NASA, sondern unter anderem auch für das Verteidigungsministerium der Vereinigten Staaten.

Die Verfasser des Berichts nahmen 13 JPL-Systeme genauer unter die Lupe. Dabei stießen sie auf vier Systeme, die in der internen Datenbank ITSDB nicht vollständig dokumentiert waren. Auf Seite zwölf des Berichts heißt es "Wir stellten fest, dass acht von elf Systemadministratoren […] separate Tabellen auf ihren Rechnern pflegen, aus denen sie in regelmäßigen Abständen von Hand Informationen in die ITSDB übertragen. Ein Systemadministrator sagte uns, dass er nicht regelmäßig neue Hardware in die ITSDB einträgt, so wie es Vorschrift ist, weil die Update-Funktion der Datenbank manchmal nicht funktioniert und er es später vergisst, die erforderliche Information nachzutragen." Diese Praxis hatte zur Folge, dass Hardware in das System eingefügt werden konnte, ohne dass die Sicherheitsmitarbeiter davon Kenntnis hatten.

Es war diese Schwachstelle, die im April 2018 erfolgreich ausgenutzt wurde: Ein Hacker erhielt über einen Raspberry Pi, dessen Betrieb nicht autorisiert war, Zugang zum JPL-System. Ohne Prüfung und Genehmigung durch das Büro des Chief Information Officers hätte dieser Raspi keinesfalls im JPL-Netzwerk laufen dürfen, heißt es in dem Bericht. Während des Angriffs fielen dem Hacker 23 Dateien mit einem Umfang von etwa 500 MByte in die Hände.

Auf Seite 15 legt der Report weitere Umstände offen, die den Vorfall erst möglich machten. "JPL versäumte es, eine Software-Schwachstelle wirksam zu bekämpfen, die 2017 zuerst identifiziert wurde und einen Gefahren-Score von zehn hatte." Diese Schwachstelle habe vom Angreifer genutzt werden können, um remote Schadcode auszuführen sowie Daten auf dem Zielsystem zu verschlüsseln, um anschließend Zahlungen für die Entschlüsselung zu erpressen. Zwischen März und April 2018 habe das Büro des Chief Information Officers mit insgesamt 16 Tickets auf dieses Sicherheitsrisiko hingewiesen, aber im September 2018 seien erst drei dieser Tickets geschlossen gewesen. Das Sicherheitsproblem habe zu diesem Zeitpunkt weiter bestanden. Erst im März 2019 seien alle Support-Tickets bearbeitet und die Sicherheitslücke geschlossen gewesen.

Der Vorfall im April 2018 war durchaus nicht der erste erfolgreiche Hackerangriff am JPL gewesen. "In den vergangenen zehn Jahren gab es am JPL etliche schwerwiegende Cybersicherheitsvorfälle, bei denen Hauptkomponenten des IT-Netzwerks kompromittiert wurden", heißt es in der Einleitung des Reports (PDF). So hätten beispielsweise 2011 Angreifer vollen Zugriff auf 18 Server des JPL erhalten, die für zentrale Projekte eingesetzt waren. Die Angreifer konnten damals 87 GByte an Daten erlangen. (dwi)