IT-Security

IT-Security

Die moderne Verkehrsfliegerei ist seit Jahren auf Optimierung ihrer Strukturen bedacht. Dabei sind moderne IT-Systeme treibende Kraft einer rasanten technologischen Entwicklung. Gleichzeitig ist aber nicht nur das System Flugzeug sondern der gesamte zivile Luftverkehr strukturell durch sehr lange Produktlebenszyklen gekennzeichnet: Der Einführung neuer Systeme gehen jahrelange Planungs- und Testphasen voraus, eingeführte Systeme haben nicht selten eine Lebensdauer von mehreren Jahrzehnten.

Worum es geht

Immer häufiger findet eine Vernetzung der Systeme untereinander statt. Nicht nur in den Flugzeugen werden Systeme hardwareseitig zusammengeführt, um neue Anwendungsmöglichkeiten zu schaffen, auch Bodensysteme haben inzwischen großen Einfluss auf die eigentliche Flugdurchführung. Als Beispiele seien hier die Flugweg-optimierung oder Verkehrsflussoptimierung seitens der Flugsicherung genannt.

Die rasante Entwicklung der letzten Jahre eröffnet neue Möglichkeiten, die nicht ohne Risiko sind: Es ist heutzutage möglich, durch schnell und kostengünstig aus der Ferne durchgeführte Hacker-Attacken, ganze Flugbetriebe lahmzulegen. Die bisherigen Attacken waren größtenteils gegen die Bodeninfrastruktur der Airlines gerichtet. Aber auch Attacken auf die Flugsicherungsinfrastruktur oder sogar die Flugzeugsteuerungssysteme selbst sind denkbar!

Die möglichen Angriffsszenarien sind hierbei vielfältig: Angriffe, die physischen Zugriff auf ein Flugzeug erfordern, setzen zunächst ein Vordringen des Angreifers zu seinem Angriffsziel voraus: Bei dieser Art von Angriff nutzt der Hacker Flugzeugschnittstellen, etwa für Telemetrie vorgesehene Netzwerkanschlüsse im Cockpit oder der Außenseite des Flugzeugs, um Daten zu manipulieren. Ungleich einfacher wird diese Art von Angriff, wenn Schnittstellen in der Flugzeugkabine frei zugänglich sind. Sind die zugänglichen Systeme unzureichend von anderen getrennt, wäre es möglich während eines Fluges direkten Einfluss auf wichtige Systeme, etwa die Flugzeugsteuerung, zu nehmen. Aber auch einfachere Angriffe, beispielsweise eine Manipulation der Flugwegdarstellung im Bordunterhaltungssystem oder das Einspielen falscher Passagieransagen, können eine sichere Flugdurchführung gefährden.

Angriffe auf die drahtlosen Kommunikationswege der Flugzeuge können aus der Ferne ausgeführt werden und sind aufgrund des geringeren Risikos, entdeckt zu werden, für Hacker von großem Interesse. Die Datenübertragung moderner Flugzeuge erfolgt auf vielen Wegen ohne jegliche Verschlüsselung bzw. Authentifikation. So übermittelte schützenswerte Daten kann ein Angreifer unerkannt abgreifen. Es sind bereits Fälle bekannt, bei denen Datensätze der verwendeten Kreditkarten aus dem Bordverkauf erbeutet wurden.

Kritischer ist jedoch das gezielte Verfälschen der übermittelten Daten. Flugbetriebe nutzen diese Kommunikationswege zum Übermitteln von Flugplan- und Wetterdaten oder auch für Wartungszwecke. Angreifer könnten gezielt Nachrichten an Flugzeuge senden, die, eine Flugsicherungsanweisung vorgebend, die freigegebene Flugroute ändern oder eine Flughafenschließung vortäuschen.

Auch derzeitige Navigations- und Positionsbestimmungssysteme basieren auf unverschlüsselter und nicht authentifizierter Datenübertragung. Einem Hacker ist es verhältnismäßig einfach möglich, die vom Flugzeug ermittelte Position zu manipulieren und so indirekt den Flugweg zu beeinflussen oder bestimmte Anflugverfahren durch gezieltes Stören der Übertragung zu blockieren. Erfolgreich demonstriert wurden bereits Angriffe auf GPS-gestützte Navigationsanlagen in der Seefahrt und kontrollierte Abstürze einfacher „Drohnen“.

Das fordert die Vereinigung Cockpit

Die Vereinigung Cockpit (VC) fordert eine ganzheitliche Sicherheitsstrategie für das System Luftverkehr. Das Absichern einzelner Komponenten bewirkt lediglich eine Konzentration auf andere Angriffsvektoren, nicht notwendigerweise aber eine Erhöhung der Sicherheit.

  • Schutz der Flugzeugschnittstellen vor unbefugtem Zugriff Dritter: Dies beinhaltet unter anderem die Sicherung der Flugzeuge bei Bodenereignissen sowie der Datenträger (zum Aufspielen neuer Daten) und die Schulung des Wartungspersonals. Jeglicher ausführbarer Code und Nutzdaten müssen nach aktuellem technischen Stand kryptographisch signiert sein. Alle Schnittstellen, außerhalb und innerhalb der Flugzeugkabine, müssen gegen Zugriff Unbefugter geschützt werden.
  • Klare Systemtrennung: Die verschiedenen Systeme dürfen untereinander nur über fest definierte Schnittstellen kommunizieren: Dabei ist darauf zu achten, dass Systeme gegen unerwartete Zustände geschützt sind und im Falle eines Ausfalls eines anderen Systems nicht in Mitleidenschaft gezogen werden. Nicht für die Flugdurchführung notwendige Systeme, wie etwa Unterhaltungssysteme, dürfen keine schreibende Zugriffsmöglichkeit auf sicherheitskritische Systeme haben. Nur die physische Trennung der Systeme stellt sicher, dass unbefugter Zugriff anderer Systeme verhindert wird.
  • Piloten als letzte Verteidigungslinie: Piloten bilden das letzte Glied der Sicherheitskette. Das Erkennen von Hackerangriffen und die richtige Reaktion sollte Teil der Pilotenausbildung sein. Es muss den Piloten bei erkannter Manipulation jederzeit möglich sein, Systeme gezielt abzuschalten oder das Systemverhalten derart zu beeinflussen, dass die Kontrolle über das Flugzeug sichergestellt bleibt.
  • Gesicherte Datenübertragung: Kommunikationssysteme wie ACARS, ADS-B/-C und TCAS arbeiten heute unzureichend oder überhaupt nicht verschlüsselt. Eine Authentifikation der Gegenstelle findet ebenfalls nur unzureichend statt. Jeglicher Datenverkehr soll derart erfolgen, sodass die Vertraulichkeit (Dritte können den Nachrichteninhalt nicht einsehen), Integrität (Manipulation von Nachrichten wird verhindert oder zumindest erkannt) und Authentizität (die Echtheit des Absenders wird bestätigt) der Kommunikation gewährleistet ist.
  • Verbindliches Meldesystem bei Erkennen von Angriffen: Ein seit Jahren etabliertes System zur Meldung sicherheitsrelevanter Vorfälle im Flugverkehr hat im Laufe der Zeit dazu beigetragen, die Sicherheit zu erhöhen. Die VC fordert ein ähnliches System auch für Vorfälle und Angriffe auf die IT-Systeme und Infrastruktur im Luftverkehr. Ein verbindliches Meldesystem ermöglicht ein Erkennen durchgeführter Angriffe und ein schnelles Schließen bekannter Sicherheitslücken.
  • Transparente, ganzheitliche Sicherheitskonzepte: Das System Luftverkehr muss sich regelmäßig einer ganzheitlichen Betrachtung seiner Sicherheit unterziehen. Im Hinblick auf die Lebenszyklen einzelner Produkte bedarf es eines Konzepts, das die Sicherheit und Kompatibilität einzelner Produkte jederzeit sicherstellt (Life-Cycle-Management). Dies beinhaltet Updatestrategien und vor allem die regelmäßige und unabhängige Überprüfung der Sicherheit (Penetration-Testing).

Die VC fordert offengelegte Sicherheitskonzepte, die von unabhängiger Stelle verifiziert und zertifiziert werden. Nur so können Schwachstellen frühzeitig identifiziert und Gegenmaßnahmen eingeleitet werden.
An Stelle punktueller, auf Einzelsysteme bezogener, Risikoanalysen sollte ein ganzheitliches Sicherheitskonzept für die IT-Systeme in der Luftfahrt stehen.