IT-Security

Moderne Flugbetriebe generieren und benutzen eine Vielzahl an Informationen und Daten. Dazu zählen sensible Besatzungs- und Passagierdaten sowie Navigations- und Betriebsdaten der Flugzeuge, deren Schutz für eine sichere Flugdurchführung unverzichtbar ist. Die Vereinigung Cockpit fordert daher die konsequente Umsetzung einer Sicherheitsstrategie, die alle Anwendungen, Systeme und Kommunikationswege umfasst, denn jedes vernetzte System ist nur so stark, wie sein schwächstes Glied.

Worum es geht

Computersysteme sind seit Jahrzehnten nicht mehr aus Verkehrsflugzeugen wegzudenken. Eine Vielzahl von elektronischen Steuerungs- und Überwachungssystemen an Bord eines Verkehrsflugzeuges trägt maßgeblich zur sicheren Flugdurchführung bei.

Diese Systeme waren bisher zumeist hardwareseitig voneinander getrennt. Die Kommunikation der Systeme untereinander erfolgte über klar definierte Schnittstellen. Wie in anderen Bereichen der Informationstechnologie gehen Hersteller jedoch dazu über, Systeme zu integrieren und enger zu vernetzen, sowohl um neue Anwendungsmöglichkeiten zu schaffen als auch aus wirtschaftlichen Gründen.

Die rasante Entwicklung der letzten Jahre eröffnet neue Möglichkeiten, die nicht ohne Risiko sind: Es ist heutzutage möglich, ganze Flugbetriebe durch schnell und kostengünstig aus der Ferne durchgeführte Hacker-Attacken lahmzulegen. Die bisherigen Attacken waren größtenteils gegen die Bodeninfrastruktur der Airlines gerichtet. Aber auch Attacken auf die Flugsicherungsinfrastruktur oder sogar die Flugzeugsteuerungssysteme selbst sind denkbar!

Eine verzögerte Abfertigung der Flugzeuge durch Angriffe auf die Bodeninfrastruktur ist unangenehm - gefährlich wird es jedoch, wenn in den laufenden Betrieb eines Fluges eingegriffen wird. Die möglichen Angriffsszenarien sind hierbei vielfältig:

  • Einen hohen Aufwand erfordern Angriffe, für die der physische Zugriff auf ein Flugzeug oder eine Flugsicherungseinrichtung notwendig ist. Flugzeugsysteme unterliegen – wie andere Computersysteme auch – einem regelmäßigen Updatezyklus. Systemupdates werden üblicherweise über flugzeuginterne Schnittstellen eingespielt. Diese Schnittstellen sind bei einigen Typen an der Außenseite des Flugzeugsmontiert, sodass ein Zutritt zum Flugzeug nicht zwingend notwendig ist.
  • Deutlich einfacher zu realisieren sind Angriffe auf die drahtlosen Kommunikationswege der Flugzeuge. Dieses Problem existiert bereits seit der Verwendung von Sprechfunkverbindungen, erfährt allerdings mit der teilweise unverschlüsselten Datenübertragung zwischen Bodenstationen und Flugzeug neue Brisanz. Das heute genutzte System zur Datenübertragung (ACARS) verfügt nur über rudimentäre Möglichkeiten der Verschlüsselung. Eine Mehrzahl der Airlines nutzt dabei keinerlei Verschlüsselung. Die Datenübertragung dient etwa der Übermittlung der Flugplandaten vor einem Flug oder als Übertragungsweg für wartungsrelevante Parameter. Auch die Manipulation von bordeigenen Systemen ist über diese Schnittstelle – etwa bei fehlerhaft ausgeführten Sicherheitsschnittstellen im Bordcomputer – vorstellbar.
  • Dieser Kanal wird auch für Informationen und Anweisungen der Flugsicherung in dünn besiedelten Gebieten genutzt (CPDLC). Die Decodierung dieser Sendungen ist einfach möglich und benötigt aufgrund frei zugänglicher Daten im Internet keinen eigenen Empfänger. Eine Manipulation eröffnet die Möglichkeit, Flugzeugen falsche Flugsicherungsanweisungen zu übermitteln.
  • Ein weiteres Risiko stellt die gezielte Manipulation von Navigations- bzw. Positions-bestimmungssystemen dar. Hierbei ist es nicht zwingend notwendig, Bordsysteme zu manipulieren. Bereits realisierbar sind Attacken auf das weltweite NAVSTAR GPS1. Bei diesem System erfolgt die Übertragung der Satellitendaten für zivile Zwecke quasi unverschlüsselt.

Zweierlei Attacken sind dabei grundsätzlich denkbar: Das sog. Jamming eines GPS-Signals hat zur Folge, dass  bestimmte Anflugverfahren an einem Flughafen nicht genutzt werden können. Problematischer ist das „Spoofing“. Dabei werden Satellitensignale gezielt gefälscht und den Piloten so eine falsche Flugzeugposition vorgetäuscht. Bei einem RPAS (Remotely Piloted Aircraft Systems, umgangssprachlich „Drohne“) konnte bereits die Möglichkeit eines kontrollierten Absturzes demonstriert werden.2

Das fordert die Vereinigung Cockpit

Die technologische Entwicklung der elektronischen Systeme in der Luftfahrt ist rasant und erfordert eine kontinuierliche Anpassung und Weiterentwicklung der Abwehrmaßnahmen. Gewisse Praktiken haben sich im Laufe der letzten Jahrzehnte im Bereich der Informationstechnologie etabliert und müssen auch in der Luftfahrt zur Anwendung kommen:

  • Schutz der Flugzeugschnittstellen vor unbefugtem Zugriff Dritter. Dies beinhaltet unter anderem die Sicherung der Flugzeuge bei Bodenereignissen sowie der Datenträger (zum Aufspielen neuer Daten) und die Schulung des Wartungspersonals. Außerdem muss die Integrität der benutzten Datenträger überprüft werden, zum Beispiel durch eine elektronische Signatur nach aktuellem Standard. Datenschnittstellen sollten ferner nicht von außerhalb des Flugzeugs oder in der Passagierkabine zugänglich sein.
  • Klare Systemtrennung. Trotz zunehmender Systemintegration sollte weiterhin darauf geachtet werden, dass bei Ausfall oder Manipulation einer Komponente andere Bestandteile des Systems nicht in Mitleidenschaft gezogen werden. Diese Redundanz dient weniger der Gefahrenabwehr als vielmehr der Minimierung der Auswirkungen solcher Manipulationen. Nicht für die Flugdurchführung notwendige Systeme – wie etwa Buchungssysteme – sollten keine Zugriffsmöglichkeiten auf sicherheitskritische Systeme haben.
  • Vermeidung von Standardsoftware und -hardware. Bei der Erstellung einer Systemarchitektur gewinnen immer mehr so genannte „Commercial off-the-shelf“-Produkte (COTS) an Bedeutung. Diese bezeichnen seriengefertigte Produkte, die in erster Linie im Rahmen der Kostenreduzierung in immer mehr Systemen zum Einsatz kommen. Diese Produkte sind im Regelfall weniger robust entwickelt als speziell für den Einsatzzweck konstruierte Systeme; außerdem sind sie mit Sicherheitsrisiken und -lücken behaftet, die – aufgrund der größeren Verbreitung dieser Produkte und des damit einhergehenden größeren kriminellen Interesses – entdeckt und ausgenutzt werden.
  • Verschlüsselte Datenübertragung. Kommunikationssysteme wie ACARS, ADS-B/-C und TCAS arbeiten heute unzureichend oder überhaupt nicht verschlüsselt. Eine Authentifizierung der Gegenstelle findet ebenfalls nur unzureichend statt.
    Für die Sicherheit eines Systems ist es unerlässlich, die Manipulationsmöglichkeiten zu reduzieren. Die Verschlüsselung von Datenübertragung ist eine wirksame Methode, Einflussmöglichkeiten Unbefugter zu reduzieren. Moderne Verschlüsselungstechnologie basiert auf der Sicherheit des Schlüssels, während die Verschlüsselungsalgorithmen bekannt sind (vgl. Kerckhoffs’ Maxime). Diese Techniken nicht zu verwenden, ist fahrlässig.
    Wir fordern daher den durchgängigen Einsatz dem Stand der Technik entsprechender Verschlüsselungstechnologien für sämtliche Bord-Boden-Datenverbindungen, insbesondere derer, die für Flugsicherungszwecke benutzt werden.
  • Piloten als letzte Verteidigungslinie. Piloten bilden das letzte Glied der Sicherheitskette. Daher muss es den Piloten bei erkannter Manipulation möglich sein, Systeme gezielt abzuschalten oder das Systemverhalten derart zu beeinflussen, dass die Kontrolle über das Flugzeug sichergestellt bleibt.
  • Transparente, ganzheitliche Sicherheitskonzepte. Die aufgeführten Maßnahmen sind nur in ihrer Gesamtheit sinnvoll zu betreiben. Einzelne Maßnahmen bieten keinesfalls den in der Luftfahrt notwendigen Schutz. Sie müssen ständig auf ihre Wirksamkeit überprüft und der aktuellen Entwicklung angepasst werden, um auch in Zukunft eine sichere Flugdurchführung zu garantieren.
    Wir fordern offengelegte Sicherheitskonzepte, sodass diese auch von unabhängiger Stelle verifiziert werden können. So können Schwachstellen frühzeitig identifiziert und Gegenmaßnahmen eingeleitet werden.
    An Stelle punktueller auf Einzelsysteme bezogener Risikoanalysen sollte ein ganzheitliches Sicherheitskonzept für die IT-Systeme in der Luftfahrt stehen.


Anmerkungen
1 “UT Austin Researchers Successfully Spoof an $80 million Yacht at Sea“ news.utexas.edu/2013/07/29/ut-austin-researchers-successfully-spoof-an-80-million-yacht-at-sea
2 “Unmanned aircraft capture and control via GPS spoofing.” / Kerns, A. J.; Shepard, D. P.; Bhatti, J. A.; Humphreys, T. E.