Technologie

Die Pentagon-Lieferkette verfehlt die Mindeststandards für die nationale Sicherheit der USA

Jack M. Germain9. Dezember 2022
681 4 Min. Lesezeit
Applications
                                            Die meisten Auftragnehmer, die das Verteidigungsministerium in den letzten fünf Jahren eingestellt hat, haben die erforderlichen Mindeststandards für Cybersicherheit nicht erfüllt, was ein erhebliches Risiko für die nationale Sicherheit der USA darstellt.

Der Managed-Service-Anbieter CyberSheath veröffentlichte am 30. November einen Bericht, aus dem hervorgeht, dass 87 % der Lieferkette des Pentagon grundlegende Mindestanforderungen an die Cybersicherheit nicht erfüllen. Diese Sicherheitslücken setzen beträchtliche Hauptverteidigungsunternehmen und ihre Subunternehmer Cyberangriffen einer Reihe von Bedrohungsakteuren aus, die die nationale Sicherheit der USA gefährden.

Diese Risiken sind seit einiger Zeit bekannt, ohne dass versucht wurde, sie zu beheben. Diese unabhängige Studie der Defense Industrial Base (DIB) ist laut CyberSheath die erste, die zeigt, dass staatliche Auftragnehmer militärische Geheimnisse nicht ordnungsgemäß sichern.

Die DIB ist eine komplexe Lieferkette, die aus 300.000 Haupt- und Subunternehmern besteht. Die Regierung erlaubt diesen zugelassenen Unternehmen, vertrauliche Dateien auszutauschen und sicher zu kommunizieren, um ihre Arbeit zu erledigen.

Verteidigungsunternehmen müssen bald die Anforderungen der Cybersecurity Maturity Model Certification (CMMC) erfüllen, um diese Geheimnisse zu schützen. In der Zwischenzeit warnt der Bericht davor, dass nationalstaatliche Hacker aktiv und gezielt auf diese Auftragnehmer mit ausgeklügelten Cyberangriffskampagnen abzielen.

„Die Vergabe von Aufträgen an staatliche Auftragnehmer ohne vorherige Validierung ihrer Cybersicherheitskontrollen war ein völliger Fehlschlag“, sagte Eric Noonan, CEO von CyberSheath, gegenüber TechNewsWorld.

Rüstungsunternehmen sind seit mehr als fünf Jahren verpflichtet, die Anforderungen an die Einhaltung der Cybersicherheit zu erfüllen. Diese Bedingungen seien in mehr als eine Million Verträge eingebettet, fügte er hinzu.

Gefährliche Details

Der von CyberSheath in Auftrag gegebene Merrill Research Report 2022 ergab, dass 87 % der staatlichen Auftragnehmer eine SPRS-Punktzahl (Supplier Performance Risk System) unter 70 haben. Die Metrik zeigt, wie gut ein Auftragnehmer die Anforderungen der Defense Federal Acquisition Regulation Supplement (DFARS) erfüllt.

Siehe auch  Rolex oder Omega – Welche ist die Lieblingsuhr der Deutschen?

DFARS ist seit 2017 Gesetz und erfordert eine Punktzahl von 110 für die vollständige Einhaltung. Kritiker des Systems haben anekdotisch 70 als „gut genug“ erachtet. Trotzdem kommt die überwältigende Mehrheit der Auftragnehmer immer noch zu kurz.

„Die Ergebnisse des Berichts zeigen eine klare und gegenwärtige Gefahr für unsere nationale Sicherheit“, sagte Eric Noonan. „Wir hören oft von den Gefahren von Lieferketten, die anfällig für Cyberangriffe sind.“

Die DIB ist die Lieferkette des Pentagon, und wir sehen, wie erbärmlich unvorbereitet Auftragnehmer sind, obwohl sie im Fadenkreuz von Bedrohungsakteuren stehen, fuhr er fort.

„Unsere Militärgeheimnisse sind nicht sicher, und es besteht ein dringender Bedarf, den Zustand der Cybersicherheit für diese Gruppe zu verbessern, die oft nicht einmal die grundlegendsten Anforderungen an die Cybersicherheit erfüllt“, warnte Noonan.

Weitere Berichtsergebnisse

Die Umfragedaten stammten von 300 in den USA ansässigen DoD-Auftragnehmern, wobei die Genauigkeit mit einem Konfidenzniveau von 95 % getestet wurde. Die Studie wurde im Juli und August 2022 abgeschlossen, mit CMMC 2.0 am Horizont.

Ungefähr 80 % der DIB-Benutzer überwachten ihre Computersysteme nicht rund um die Uhr und verfügten nicht über Sicherheitsüberwachungsdienste in den USA. Andere Mängel wurden in den folgenden Kategorien festgestellt, die erforderlich sind, um die CMMC-Konformität zu erreichen:

  • 80 % fehlt eine Vulnerability-Management-Lösung
  • 79 % fehlt ein umfassendes Multi-Faktor-Authentifizierungssystem (MFA).
  • 73 % fehlt eine Endpoint Detection and Response (EDR)-Lösung
  • 70 % haben kein Security Information and Event Management (SIEM) implementiert

Diese Sicherheitskontrollen sind vom DIB gesetzlich vorgeschrieben, und da sie nicht erfüllt werden, besteht ein erhebliches Risiko für das Verteidigungsministerium und seine Fähigkeit zur bewaffneten Verteidigung. Abgesehen davon, dass sie weitgehend nicht konform sind, finden es 82 % der Auftragnehmer „mäßig bis extrem schwierig, die staatlichen Vorschriften zur Cybersicherheit zu verstehen.

Verwirrung weit verbreitet unter Auftragnehmern

Dem Bericht zufolge haben sich einige Verteidigungsunternehmen in der gesamten DIB auf die Cybersicherheit konzentriert, nur um durch Hindernisse ins Stocken geraten zu sein.

Siehe auch  Accent Altering Voice Tech zielt darauf ab, Frustration durch Kommunikation zu ersetzen

Als sie gebeten wurden, die Herausforderungen bei der DFARS-Berichterstellung auf einer Skala von eins bis 10 (wobei 10 extrem schwierig ist) zu bewerten, bewerteten etwa 60 % aller Befragten das „Verständnis der Anforderungen“ mit 7 von 10 oder höher. Ganz oben auf der Liste der Herausforderungen standen auch die routinemäßige Dokumentation und Berichterstattung.

Die von den Auftragnehmern aufgeführten Haupthindernisse sind Herausforderungen beim Verständnis der notwendigen Schritte zur Erreichung der Konformität, die Schwierigkeit bei der Umsetzung nachhaltiger CMMC-Richtlinien und -Verfahren sowie die damit verbundenen Gesamtkosten.

Leider stimmten diese Ergebnisse genau mit den Erwartungen von CyberSheath überein, gab Noonan zu. Er stellte fest, dass die Untersuchung bestätigte, dass selbst grundlegende Cybersicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung weitgehend ignoriert wurden.

„Diese Untersuchung, kombiniert mit dem False Claims Act-Fall gegen den Verteidigungsgiganten Aerojet Rocketdyne, zeigt, dass sowohl große als auch kleine Rüstungsunternehmen ihre vertraglichen Verpflichtungen zur Cybersicherheit nicht erfüllen und dass das Verteidigungsministerium systemische Risiken in seiner gesamten Lieferkette hat“, sagte Noonan.

Keine große Überraschung

Noonan glaubt, dass das Verteidigungsministerium seit langem weiß, dass die Verteidigungsindustrie sich nicht mit Cybersicherheit befasst. Die Berichterstattung über scheinbar endlose Verstöße der Nationalstaaten gegen Rüstungsunternehmen, darunter groß angelegte Vorfälle wie die Fälle SolarWinds und False Claims Act, belegen diesen Punkt.

„Ich glaube auch, dass dem Verteidigungsministerium die Geduld ausgegangen ist, nachdem es den Auftragnehmern Jahre gegeben hat, um das Problem anzugehen. Erst jetzt wird das Verteidigungsministerium die Cybersicherheit zu einer Säule der Auftragsakquise machen“, sagte Noonan.

Er wies darauf hin, dass das geplante neue DoD-Prinzip lauten würde: „Keine Cybersicherheit, kein Vertrag“.

Noonan räumte ein, dass einige der Kämpfe, die Auftragnehmer über Schwierigkeiten beim Verständnis und der Erfüllung von Cyber-Anforderungen geäußert haben, berechtigt sind.

Siehe auch  Metaverse könnte bis 2027 ein Geldverdiener für Unternehmen sein

„Es ist ein fairer Punkt, weil einige der Botschaften der Regierung inkonsistent waren. In Wirklichkeit haben sich die Anforderungen jedoch seit etwa 2017 nicht geändert“, sagte er.

Was kommt als nächstes

Vielleicht wird das Verteidigungsministerium gegenüber Auftragnehmern eine härtere Politik verfolgen. Wenn Auftragnehmer die gesetzlichen Anforderungen im Jahr 2017 erfüllen würden, wäre die gesamte Lieferkette heute in einer viel besseren Position. Trotz einiger Kommunikationsprobleme war das DoD unglaublich konsequent in Bezug auf die Anforderungen für die Cybersicherheit von Verteidigungsunternehmen, fügte Noonan hinzu.

Die aktuelle Forschung befindet sich nun auf einem Berg von Beweisen, die belegen, dass staatliche Auftragnehmer viel zu tun haben, um die Cybersicherheit zu verbessern. Es ist klar, dass die Arbeit nicht ohne Durchsetzung durch die Bundesregierung durchgeführt wird.

„Vertrauen ohne Verifizierung ist fehlgeschlagen, und jetzt scheint das DoD sich zu bewegen, um die Verifizierung durchzusetzen“, sagte er.

DoD-Antwort steht noch aus

TechNewsWorld hat dem Verteidigungsministerium schriftliche Fragen zur Kritik an der Lieferkette im CyberSheath-Bericht gestellt. Ein Sprecher von CYBER/IT/DOD CIO des Verteidigungsministeriums antwortete und erklärte, dass es einige Tage dauern würde, sich mit den Problemen zu befassen. Wir werden diese Geschichte mit jeder Antwort aktualisieren, die wir erhalten.

Bild & Quelle: TechNewsWorld

Jack M. Germain9. Dezember 2022
681 4 Min. Lesezeit

Ähnliche Artikel

Ergebnisse der Umfrage unter älteren Menschen im Bezirk Mitte (LISA II) veröffentlicht

Mehr Sicherheit und Sichtbarkeit für Radfahrer: Die Amrumer Straße erhält Radfahrstreifen

15. Juni 2022
Erkennen Sie gefälschte Nachrichten - meredo nimmt am Safer Internet Day 2021 teil

Aufruf zur Beteiligung: Barrierefreiheit und Sicherheit an Kreuzungen

20. Januar 2023
Neuer Gleichstellungsbeauftragter im Bezirksamt Reinickendorf

Spaziergang zum Thema „Sicherheit und Ordnung am Flughafensee“

18. Februar 2022

Für die öffentliche Sicherheit und Ordnung im Einsatz

16. November 2022
© 2023, Alle Rechte vorbehalten  | Impressum | Datenschutz

Unterstützt von Mein Stuttgart | Kryptonews Deutschland | Mein Leipzig | Der Markt | Institut der Gesundheit | Krypto News Österreich | Crypto News Daily | Eine Reise | Daniel Wom | Wom Webdesign UG
Mein-Berlin.net ist ein privates Projekt von Daniel Wom und wird weder kommerziell, noch durch das Land Berlin betrieben. Obwohl die meisten Beiträge autorisiert zur Veröffentlichung durch die Bezirke der Stadt Berlin zur Verfügung gestellt werden, ist das Land Berlin nicht an deren weiteren Bearbeitung nach der Übertragung beteiligt. Bis zur endgültigen Veröffentlichung der Website als non-kommerzielles Geschenk an die Berliner, gilt diese Website als privates Eigentum und sowohl Design, als auch Codes unterliegen dem Copyright des Erstellers Daniel Wom. Von einer Kopie der Codes wird dringend abgeraten, da hier neue Algorithmen, Werbeformen, Automatismen und mehr getestet werden und unter Umständen Fehler übertragen werden können, sowie ungepflegte Serversysteme beschädigen können. Eine Kopie unseres Projektes zum finanziellen Vorteil ist also keine Gute Idee.
TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste
Schaltfläche "Zurück zum Anfang"
Schließen

Adblock erkannt!

Adblocker speichern und verwenden Ihre personenbezogenen Daten und verkaufen diese u.U. an Dritte weiter. Schalten Sie in Ihrem und unserem Interesse den Adblocker aus. Keine Angst, wir verwenden keine Popups oder Umleitungen. Ein paar kleine, unauffällige Banner finanzieren uns einen Kaffee. Sonst gibt's hier keine Werbung.
Webdesign Agentur Daniel Wom hat 5,00 von 5 Sternen 58 Bewertungen auf ProvenExpert.com