Categories: Sicherheit

Hack the Pentagon: Teilnehmer finden 138 Schwachstellen

Wie US-Verteidigungsminister Ashton Carter jetzt offiziell bekannt gegeben hat, reichten beim Wettbewerb “Hack the Pentagon” über 250 der 1400 eingeladenen Teilnehmern Berichte über Sicherheitslücken ein. 138 Anfälligkeiten erwiesen sich als “legitim, einzigartig und qualifiziert für eine Prämie”. Carter teilte zudem mit, dass alle Sicherheitslücken in Zusammenarbeit mit dem Unternehmen HackerOne aus dem Silicon Valley inzwischen geschlossen wurden.

US-Verteidigungsminister Ashton Carter gibt die Ergebnisse des Wettbewerbs “Hack the Pentagon” bekannt (Bild: DoD).

Bei dem zwischen dem 18. April und dem 12. Mai veranstalteten Hackerwettbewerb handelte es sich um ein Pilotprogramm. Es kostete insgesamt 150.000 Dollar. “Das ist keine kleine Summe”, sagte Carter. “Aber wenn wir die übliche Verfahrensweise gewählt und eine Firma von außerhalb mit einer Sicherheitsüberprüfung und der Evaluierung von Schwachstellen beauftragt hätten, hätte uns das weit über eine Million Dollar gekostet.” Die Ausszahlungsbeträge des Wettbewerbs reichten von etwa 100 Dollar bis zu 15.000 Dollar für einen Teilnehmer mit mehreren Einreichungen.

Das Pilotprogramm galt nur öffentlich zugänglichen Websites wie Defense.gov und Dodlive.mil, nicht aber einsatzkritischen Systemen. “Obwohl es nur um eine Anzahl von öffentlichen Websites ging, können wir sehr viel daraus lernen”, sagte Chris Lynch, Direktor des Defense Digital Service, der das Programm durchgeführt hatte.

Carter erklärte das 150.000 Dollar teure Programm zu einer kostengünstigen Methode, um die Mitarbeiter, die mit der Verteidigung der Computernetzwerke betraut sind, zu unterstützen. Ihm zufolge investiere die Behörde aggressiv in Innovation inklusive Menschen, Methoden und Technologien. All diese Elemente habe der Hackerwettbewerb “mit beträchtlichem Erfolg” kombiniert.

Sein Ministerium habe darüber hinaus “stärkere Brücken zu innovativen Bürgern gebaut, die etwas bewirken wollen für unseren Verteidigungsauftrag”. Um Sicherheitslücken in den Netzwerken und Systemen des Verteidigungsministeriums zu melden, muss es laut Carter einen gangbaren Weg für ethische Hacker und Sicherheitsforscher geben. Dafür wolle die Behörde eine zentrale Anlaufstelle schaffen.

Darüber hinaus kündigte Carter eine Ausweitung des Bug-Prämienprogramms auf andere Bereiche des Ministeriums an. So sollen alle Abteilungen überprüfen, wo entsprechende Programme möglich sind. Auch für Auftragnehmer, die mit Systemen des Ministeriums arbeiten, sind Anreize geplant für “innovative Herangehensweisen an Tests der Cybersicherheit”.

Wie auch andere US-Regierungsbehörden ist auch das Verteidigungsministerium immer wieder Hackerangriffen ausgesetzt. So soll es beispielsweise russischen Hackern im August 2015 gelungen sein, ein E-Mail-System des Pentagon zu knacken. Die Ermittler verfolgten Berichten zufolge den Spearphishing-Angriff nach Russland zurück, jedoch fehlten Beweise für eine direkte Beteiligung der Regierung in Moskau. Das betroffene E-Mail-System wurde erst einmal abgeschaltet.

[Mit Material von Bernd Kling, ZDNet.de]

Anja Schmoll-Trautmann

Anja Schmoll-Trautmann berichtet seit 2001 vorrangig für ZDNet.de über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Seit 2012 beschäftigt sie sich auch für silicon.de immer wieder mit Business-Hardware, Digitalisierung und Markttrends.

Recent Posts

Fehlende Subventionen: Intel verschiebt Baubeginn seiner Chipfabrik in Ohio

Der US-Kongress streitet weiterhin über Details eines 52 Milliarden Dollar schweren Subventionspakets. Am Zeitplan für…

1 Tag ago

Microsoft informiert Nutzer von Windows 8.1 über nahendes Support-Ende

Ab Juli blendet das OS Benachrichtigungen ein. Der Support endet am 10. Januar 2023. Windows…

1 Tag ago

Graphcore und Aleph Alpha entwickeln gemeinsam multimodale KI-Modelle

Graphcore will bis 2024 den weltweit ersten ultraintelligenten KI-Computer bereitstellen.

2 Tagen ago

Apple führt mit iOS 16 Alternative zu CAPTCHA-Tests ein

Die sogenannten Private Access Tokens nutzen bereits auf einem Gerät vorhandene Daten. An der Entwicklung…

2 Tagen ago

Öffentliche und private Investitionen in Quantentechnologien steigen

McKinsey: Erste Profiteure der rasanten QT-Entwicklung sind voraussichtlich die Pharma-, Chemie-, Automobil- und Finanzindustrie.

2 Tagen ago

Was uns die Physik über datengetriebenes Marketing verrät

Datengetriebene Technologien wie Predictive Analytics eröffnen im digitalen Marketing neue Möglichkeiten, sagt PwC-Marketing-Experte Mathias Elsässer…

2 Tagen ago