Gastbeitrag ( Gastautor werden )

IT-Sicherheitsrisiko Flugzeug

12.12.2018 - 11:38 0 Kommentare

Die Luftfahrt ist aufgrund der Komplexität von Flugzeugsystemen im Hinblick auf Cyberattacken besonders gefährdet, konstatiert IT-Expertin Nitha Suresh und gibt einen Überblick über mögliche Bedrohungsszenarien und skizziert Lösungsansätze.

  - © © Fotolia - David Crockett

© Fotolia /David Crockett

Auch die Luftfahrtbranche ist nicht immun gegen Cyberattacken. In modernen Flugzeugen ist heute eine Vielzahl komplexer technologischer Systeme verbaut. Das Risiko, Opfer einer Cyberattacke zu werden, steigt aber mit deren Komplexität exponentiell. Die schiere Anzahl an Codezeilen allein stellt bereits ein erhöhtes Sicherheitsrisiko dar.

Ein Flugzeug zu hacken, ist daher einfacher, als die meisten Menschen glauben. Um beispielsweise die eigene Position an die Flugsicherung zu übermitteln, sind Flugzeuge auf zahlreiche Transponder angewiesen. Alle Systeme gleichzeitig zu hacken, ist schwierig. Denn beispielsweise On-Board-Funkgeräte und Aircraft Communications Addressing and Reporting Systems, das zum Senden von Nachrichten oder Informationen über das Flugzeug anstelle von Sprachübertragungen verwendet wird, sind sicher. Ein Angreifer mit fundierter Kenntnis des Systems könnte jedoch auch durch Standardoperationen ernsthafte Probleme verursachen. Kleine Ursache - große Wirkung.

Hierzu ein Beispiel aus Deutschland: 2012 verursachte ein GPS-Repeater, der in einem Hangar am Flughafen von Hannover eingesetzt wurde, Pull-Up-Alarme beim Starten und Landen von Flugzeugen. Der Repeater wurde verwendet, um den im Hangar befindlichen Flugzeugen den GPS-Empfang zu ermöglichen. Durch offene Hangar-Tore und eine zu stark eingestellte Sendeleistung kam es zu Störungen des GPS-Signals an Bord der startenden und landenden Flugzeuge.

“Dreamliner“ bietet Millionen an Einfallstoren

Letztlich zeigt dieses Beispiel: Je mehr Codezeilen in einer Anwendung verwendet werden, desto schlechter lässt sich diese auf Schwachstellen prüfen - und umso höher ist das Risiko, dass Schwachstellen von einem erfahrenen Angreifer ausgenutzt werden können. In Fachkreisen geht man davon aus, dass pro 1000 Codezeilen durchschnittlich drei Fehler sowie ein kritischer Security-Fehler vorhanden sind. Die Flugsoftware einer Boeing 787 enthält beispielsweise etwa 14 Millionen Zeilen.

Hinzu kommt, dass Software ständigen Änderungen und Aktualisierungen unterworfen ist. Der Lebenszyklus eines Flugzeugs liegt zwischen 20 und 30 Jahren. In dieser Zeit wird sowohl die Hard- als auch die Software in regelmäßigen Intervallen aktualisiert. Die Software landet meist mit gängigen Datenträgern, wie DVD oder USB-Stick, von einem Maintenance-Laptop aus im Cockpit. Wird hierbei nicht sorgfältig gearbeitet, besteht das Risiko, dass sich neue Schwachstellen einschleichen.

Marktverfügbare Lösung versus Eigenentwicklung

Die Entwicklung moderner Avionik bedient sich immer mehr kommerzieller Standardkomponenten (commercial off-the-shelf, COTS), die Sicherheitsrisiken beinhalten können. Gleichzeitig enthalten viele wichtige Entwicklungsstandards derzeit keine detaillierten Cybersicherheitsrichtlinien. Ein Angreifer könnte theoretisch durch solche Komponenten in das Herz des Systems eindringen - eine Schlüsselüberlegung im Hinblick auf die Sicherheit.

Ursprünglich wurde der Entwicklungsprozess von Avionik-Software soweit wie möglich geheim gehalten. Damit sollte insbesondere ein Schutz vor potenziellen Angreifern erreicht werden. Die sogenannte "Security through obscurity" ist heutzutage ein Auslaufmodell. COTS bedeutet aber auch, dass Softwareanbieter regelmäßig Schlupflöcher schließen müssen, so wie sie es bei jeder anderen offenen Architektur ebenfalls tun würden.

Die Durchführung einer angemessenen Sicherheitsüberprüfung für jeden einzelnen Security Threat ist angesichts der langen Reihe von Hard- und Softwarekomponenten aus verschiedensten Quellen keine einfache Aufgabe. Derzeit sind Schwachstellenanalysen von Drittanbietern im Aviation-Bereich auch keine gängige Praxis. Diese Lücke muss unbedingt geschlossen werden.

Vier Beispiele möglicher Konsequenzen

Wenn eine bislang unentdeckte Schwachstelle von böswilligen Akteuren mit dem notwendigen Fachwissen und der entsprechenden technischen Ausrüstung ausgenutzt wird, kann dies von unerlaubter Informationsgewinnung wie Kreditkartendaten, bis hin zur Störung elektronischer Bordsysteme führen:

  • Dem Sicherheitsforscher Ruben Santamarta gelang es 2016, Schwachstellen im In-Flight-Entertainment-System von Panasonic Avionics auszunutzen und eine SQL-Injection durchzuführen. Entsprechende Systeme sind in den Maschinen von Air France, United, Qatar und Emirates verbaut. Dabei interessierten ihn weniger das Kabinenlicht oder die Anzeige auf den Bildschirmen, sondern die im System hinterlegten Kreditkartendaten. Auf der diesjährigen Black Hat konnte Santamarta zeigen, wie er mit Hilfe von Schwachstellen in der Satellitennavigation vom Boden aus in das W-Lan an Bord über ihm fliegender Maschinen eindringen konnte.
  • Seit 2016 gab es am Flughafen von Manila mehr als 50 Vorfälle von GPS-Beeinträchtigungen. Fehlerhafte Informationen beim Landeanflug auf einen der größten Verkehrsflughäfen der Welt sind das Letzte, was ein Pilot in dieser Situation gebrauchen kann. Die Beeinträchtigungen führten zu mehreren Fehlanflügen. Die Crews waren gezwungen den Anflug abzubrechen und neu zu versuchen. Auch an die Flugsicherung konnte mittels ADS-B oft kein präzises Signal mehr übermittelt werden.
  • 2015 groundete United Airlines alle nationalen Flüge, nachdem man feststellte, dass das Computernetzwerk der Airline gehackt und falsche Flugpläne installiert wurden.
  • 2008 verunglückte Spanair-Flug 5022 beim Start auf den Flughafen Madrid-Barajas. Durch nicht ausgefahrene Aufstiegshilfen ereignete sich ein Strömungsabriss. Im Zuge der Ermittlungen wurde festgestellt, dass ein zentrales Computersystem zur Überwachung technischer Probleme mit Malware infiziert war. Der kompromittierte Computer entdeckte drei technische Probleme nicht, die das Flugzeug davon abgehalten hätten, überhaupt zu starten - wenn sie denn bekannt gewesen wären.

Attacken auf GNSS-Signale

Absichtliche Attacken auf Global Navigation Satellite Systems (GNSS)-Signale (Jamming, Spoofing beziehungsweise Meaconing) stellen ein besonders hohes Gefahrenpotenzial dar, wie das oben erwähnte Beispiel aus Hannover zeigt. Zwar handelte es sich hier lediglich um einen Fehler beziehungsweise eine unbeabsichtigte Störung.

Die Deutsche Flugsicherung (DFS) wirkte aufgrund des Hannover-Vorfalls erfolgreich auf die Bundesnetzagentur ein, die eine Verwaltungsvorschrift zum Umgang mit GNSS-Repeatern schuf. Dank eines gestiegenen Problembewusstseins wiederholte sich ein derartiger Vorfall in Deutschland bislang nicht mehr. Aber: Die Signale eines GNSS-Satelliten sind sehr schwach und deshalb störanfällig - egal ob GPS, Galileo, GLONASS oder BeiDou.

Ein GPS-Satellit sendet beispielsweise mit nur 22 Watt aus 20.200 Kilometern Entfernung. Als Jamming bezeichnet man die absichtliche Störung elektromagnetischer Signale bei GNSS-Frequenzen. Hier wird ein starkes, rauschartiges Störsignal ausgesendet, mit dem Ziel, eine Verschlechterung der Positionierungsgenauigkeit oder einen Ausfall der Positionierung herbeizuführen.

Neben militärischen Störsendern werden auch immer häufiger Personal Protection Devices eingesetzt. Die Verwendung dieser sehr kleinen und leichten Störsender ist zwar in den meisten Staaten verboten, der Besitz jedoch nicht - weshalb sie problemlos über das Internet bestellbar sind. 2015 wurde am Flughafen von Philadelphia ein LKW-Fahrer erwischt, der einen solchen Jammer nutzte, um das Tracking seines Fahrzeuges durch den Arbeitgeber zu verhindern. Dabei störte er allerdings auch Flugzeuge beim Landeanflug.

Gefährlich ist auch das Spoofen, bei dem ein Signal imitiert wird um die berechnete Positions- und Zeitinformation des Empfängers gezielt zu manipulieren. Beim sogenannten Meaconing werden zuvor abgefangene und aufgenommene GNSS-Signale zeitversetzt ausgesendet, um die errechnete Positionslösung von der tatsächlichen Position wegzuschieben.

Denkbare Lösungsansätze

Doch wie kann man das Risiko von solchen Bedrohungen minimieren? Die Branche muss zunächst mögliche Angriffsvektoren verstehen, um diese Herausforderungen zu bewältigen. Es sollte ein gemeinsames Repositorium von Bedrohungen für Hardware und Software geben, die von Entwicklern oder Prüfern entdeckt wurden. Dieses muss von einer Regulierungsbehörde wie der amerikanischen FAA gepflegt werden, und sollte auch über verschiedene Entwicklungsplattformen hinweg verfügbar sein, um Entwicklerteams zu befähigen, ein luftfahrtspezifisches Bedrohungsmodell zu erstellen.

Dabei muss jedes Scheitern auch als Lektion verstanden werden: Bedrohungen und Angriffe sollten umfassend protokolliert und allen Aviation Security-Verantwortlichen zur Verfügung gestellt werden. Beispielsweise könnte eine Organisation wie die Aviation ISAC solche Informationen sammeln und verwalten.

Die dritte Maßnahme könnte als security by design bezeichnet werden: Sicherheitsaspekte sollten bereits in frühe Entwicklungsphasen integriert werden. Software-Architekturteams müssen potenzielle Bedrohungen im Software-Lebenszyklus entsprechend berücksichtigen.

Über die Autorin

Nitha Suresh Nitha Suresh ist Beraterin für Informationssicherheit bei Synopsys in Toronto/Kanada. Sie hat einen Masterabschluss in Informationssicherheit und ist spezialisiert auf Flugzeugdatennetzwerksicherheit und Social Media Intelligence.

Von: Nitha Suresh für airliners.de
( Gastautor werden )
Nachrichten-Newsletter

Keine Nachricht verpassen mit unserem täglichen Newsletter.

Ich habe die Datenschutzbestimmungen zur Kenntnis genommen.

  • Ein intelligentes Turnaround-Management nimmt auch die Vorfeldprozesse in den Fokus. Ansätze zur Optimierung des Turnaround-Managements

    Gastbeitrag Um die Standzeiten von Flugzeugen möglichst niedrig zu halten, braucht es ein intelligentes Turnaround-Managment sagt Lufthansa-Systems-Berater Michael Muzik. Er skizziert bereits erprobte Strategien, die zu Verbesserungen geführt haben.

    Vom 26.11.2018
  • Apple Pay: Genauer Starttermin in Deutschland noch unbekannt. Apple Pay startet ohne Lufthansa

    Unter anderem Easyjet, Etihad und Ryanair sind dabei - beim Deutschlandstart von Apple Pay. Der Lufthansa-Konzern schließt sich jedoch auch auf absehbare Zeit dem Bezahldienst nicht an.

    Vom 14.11.2018
  • Ein Geschäftsreiseflugzeug vom Typ Diamond DA-42 hat Platz für vier Insassen. "Mit uns kann man einfach direkt fliegen"

    Interview Air2E will mit neuen Konzepten den Geschäftsreiseverkehr an Regionalflughäfen revolutionieren. Ein Interview über emissionsfreie Linienflüge mit Flugzeugen für drei bis sechs Passagiere und neue Vertriebsmodelle.

    Vom 21.12.2018

Themen

Es gelten die Forenregeln und Nutzungsbedingungen » mit Unterstützung durch Disqus

Mehr Nachrichten »
Anzeige schalten
Mehr Stellenangebote »
Anzeige schalten »