Wie das Magazin Business of Federal Technology in einem Artikel erklärt, hat laut einem am 7. Juli veröffentlichten allgemeinen Bericht des Inspektors das Verteidigungsministerium (hier nachlesen; PDF, 9.4 Mb, öffnet in neuem Fenster) additive Fertigungssysteme nicht ordnungsgemäß vor fremdem Eindringen und Datenmanipulation geschützt. Diese sehen additive Fertigungssysteme, von der industriellen Anlage bis zum Low-Cost-Desktop-3D-Drucker als Werkzeuge und nicht als IT an.
Die Zahl der Anwender von 3D-Druckern und Computern zur Herstellung von dreidimensionalen Produkten steigt rasant an, gerade auch bei Einrichtungen wie der Air Force und nationalen Laboren, um Prototypen, Modelle und Materialien herzustellen. Mittlerweile werden selbst Ersatzteile für militärische Ausrüstung im Feld additiv hergestellt, wie in Beispielen von Feldversuchen mit 3D-Druckern in australischen Outback zu sehen ist (wir berichteten).
Details zum Bericht
Der am 7. Juli veröffentlichte Bericht (am Beitragsanfang verlinkt) zeigt, dass das DOD bei der Sicherung und Verwaltung additiver Fertigungssystem nicht konsistent war, um „unbefugte Änderungen zu verhindern und die Integrität der Konstruktionsdaten zu gewährleisten“. Das Personal sieht die Systeme als Werkzeuge an, die zur Erzeugung von Zulieferteilen eingesetzt werden und weniger als Informationstechnologiesysteme, die Cybersicherheitskontrollen erfordern.
Mit der Kategorisierung als eigenständige Systeme wurde fälschlicherweise davon ausgegangen, dass diese Geräte keine Berechtigung zum Betrieb benötigen. Doch sie waren auch an das DOD-Netzwerk verbunden. Diese falsche Kennzeichnung führte zu Schwachstellen, die das DOD-Netzwerk Cybersicherheitsrisiken aussetzten.
In dem Bericht heißt es weiter, dass die Kompromittierung der AM-Konstruktionsdaten es einem Gegner ermöglichen, die Technologie von DOD neu zu erstellen und zum Vorteil des Gegners zu nutzen. Böswillige Akteure könnten AM-Konstruktionsdaten ändern. Diese Änderungen wiederum könnten sich auf die Endfestigkeit und den Nutzen der 3D-gedruckten Produkte auswirken.
Erste Lösungansätze
Die Ergebnisse kamen, als das Land sich mit einer Flut von Cybersicherheitsangriffen wie SolarWinds und dem Ransomware-Angriff Colonial Pipeline auseinandersetzen musste. Das DOD wollte Bedenken hinsichtlich Cyberangriffen auf seine Verteidigungsunternehmen und der möglichen Auswirkungen auf seine Lieferkette ausräumen.
Eine IG empfahl, additive Fertigungssysteme zusammen mit Cybersicherheitskontrollen in das IT-Systemportfolio von DOD aufzunehmen und Behörden für den Betrieb einzubeziehen. Der CIO des DOD sollte außerdem spezifische Leitlinien herausgeben, um klarzustellen, dass additive Fertigungssysteme Informationssysteme sind, die geschützt werden müssen und das Risiko fortgesetzter Nichteinhaltung zu reduzieren. Der DOD CIO widersprach der Empfehlung. Die IG riet außerdem dazu, auf Windows 10 aufzurüsten oder eine Verzichtserklärung zu erhalten. Über die weiteren Entwicklungen in dem Bereich berichten wir auch zukünftig im 3D-grenzenlos Magazin-Newsletter (jetzt abonnieren).
