Mögliche Zugangspunkte via GSM, SAT oder WLAN für Cyberangriffe auf eine Yacht: Damit kann durch Hacker unter anderem die vollständige Steuerung der Yacht übernommen werden.
Foto: MHP

IT-Sicherheit

Cyberangriffe auf Yachten wirksam verhindern

Yachten werden zunehmen zum Ziel von Hackern und Cyberangriffen: Wie lassen sich die Luxusschiffe wirksam gegen Attacken aus dem Netz absichern?

Luxusschiffe und Yachten sind längst ins Visier von Hackern geraten und müssen deshalb gegen Cyberangriffe geschützt werden. Der Himmel färbt sich langsam rot, und majestätisch bewegt sich die luxuriöse Yacht in Richtung Marina. Der Eigner hatte Geschäftsfreunde zu einem Ausflug auf das Mittelmeer eingeladen. Während der Rückfahrt sitzt er mit seinen Gästen im Salon und bereitet die Unterzeichnung eines sehr großen Geschäftsvertrags vor. Plötzlich ändert das Boot seinen Kurs, die Beleuchtung führt ein Eigenleben. Auf der Brücke beginnt hektisches Treiben. Verzweifelt versucht die Bootscrew, das Schiff wieder unter ihre Kontrolle zu bringen. Plötzlich erscheint auf einem der Monitore: „Sie wurden gehackt.“ Die Forderung der Cyberangreifer: „Überweisen Sie uns die geforderte Summe binnen 24 Stunden in Bitcoins, nur dann erhalten sie die Kontrolle über das Schiff zurück. Andernfalls steuern wir das Boot auf ein Riff.“

Hackerangriffe und Erpresserforderungen nehmen zu: Auch Schiffe sind verwundbar

Es liest sich wie ein Science-Fiction-Roman auf hoher See. Tatsächlich kommen Cyberangriffe auch in diesem Bereich vor. Der erste dokumentierte Angriff auf ein privates Boot erfolgte 2013. Studenten der Universität of Texas steuerten mittels GPS-Spoofing eine 80 Millionen Dollar teure Superyacht auf einen manipulierten Kurs, ohne dass die Navigationsgeräte diesen Fehler bemerkten. Auf einer Konferenz in London demonstrierte ein Sicherheitsforscher, dass er in nur 30 Minuten in das WLAN einer Superyacht eindringen konnte. Er nutze hierbei das CCTV-System (Überwachungskamerasystem), über das er, durch die nicht veränderten Werkseinstellungen, direkt zugreifen konnte. Ebenso bekannt wurde ein Angriff auf eine Yacht, bei der die installierten Internetrouter, speziell für Yachten, alle einen fest codierten Administrationsaccount hatten. Angreifer nutzen vor allem den Zugang über das Internet, um auf die Systeme zuzugreifen. Dazu zählen Smart-TVs, die inzwischen eigene Betriebssysteme wie Chromecast oder Android TV von Google, Tizen, Web-OS oder Roku haben. Auch hier gibt es dokumentierte Angriffe, und nicht jeder Hersteller aktualisiert seine Software regelmäßig. Smart-Home-Systeme haben meistens eigene Server, auch diese können als Einfallstor genutzt werden, um darüber an die Endgeräte zu gelangen. Selbst eine regelmäßige Aktualisierung der Passwörter schützt nicht zwingend vor Angriffen. Denn eine Software ist per se nicht fehlerfrei.

Geschätzte 8.400 Fehler in der Programmierarbeit bei einer Yacht

Es wird davon ausgegangen, dass pro einer Millionen Zeilen Softwarecode rund 6.000 Fehler enthalten sind. Sehr gute Programmierteams erreichen auch ein Level zwischen 600-1.000 Fehler pro MLOC (Million Lines of Code). Dabei lassen sich möglichweise fünf Prozent aller Fehler als Schwachstellen nutzen. Das bedeutet, bei einer 2007 abgelieferten 32-Meter-Yacht würden bei einer sehr guten Programmierarbeit rund 8.400 Fehler auftreten, die sich auf ungefähr 420 Schwachstellen auswirken könnten. Doch warum sollte sich ein Eigner oder der Yachtmanager Gedanken darüber machen? Ganz einfach, weil der Eigner und seine Gäste vielversprechende Ziele sind:

  • Das Abhören der Bordkommunikation kann politischen und wirtschaftlichen Mehrwert bieten.
  • Ein Schiff kann als „Waffe“ für Terror gegen die Zivilbevölkerung eingesetzt werden.
  • Eine Yacht selbst hat einen hohen Wert und Cyber-Security-Attacken lassen sich zurzeit nicht versichern.
  • Übernahme des Schiffes und Erpressung könnten remote und ohne Einsatz von Piraten erfolgen.

Cyber-Schutzmaßnahmen für Schiffe und Luxusyachten sind gefordert

Bis zum 1. Januar 2021 müssen Unternehmen den IMO-Richtlinien für das maritime Cyber-Risikomanagement (MSC-FAL.1/Circ.3) zufolge entsprechende Risiken in ihren bestehenden Sicherheitssystemen angemessen berücksichtigen. Passende Konzepte für Reeder und ihre Flotte existieren allerdings noch nicht. Der Verein Hanseatischer Transportversicherer (VHT) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeln Muster-
Sicherheitskonzepte. Das sollen „IT-Grundschutzprofile“ für den Land- und Schiffsbetrieb von Reedereien sein. Darin werden Mindestanforderungen an die IT-Sicherheit definiert, um sich effektiv und effizient gegen die steigende Zahl von Cyberattacken vorzubereiten.

Security by Design ist für die Cybersicherheit von Anfang an zu bedenken

Es dreht sich also alles rund um die elektronische Schiffsarchitektur. Hier lässt sich ein Vergleich mit der Automobilbranche aufstellen. MHP berät bereits viele Automobilhersteller und Zulieferer bei der Umsetzung von bisherigen statischen Entwicklungsprozessen zu einem kontinuierlichen Security-Lifecycle-Management, wie es die neue Richtlinie UNECE WP.29 einfordert und wie diese in der ISO 21434 standardisiert wird. Basierend auf diesen Erfahrungen sind grundsätzliche Regelwerke und ein Konzept für Security by Design flexibel auf die Yachtindustrie zu adaptieren. Als erfahrenes Beratungsteam unterstützt MHP die Yachtmanager, die Designer, Konstrukteure, Eigner, Werften sowie auch deren Zulieferer bei der Definition von Sicherheitszielen und bei der Entwicklung von sicheren Produkten und Lösungen.

Bedrohungsanalyse für Yachten und Maßnahmen gegen Cyberangriffe

Schon bei der Planung einer neuen Yacht kann das Risiko mittels einer „Threat Analyses“ genannten Bedrohungsanalyse eingeschätzt und Maßnahmen ergriffen werden, um erkannte Risiken zu minimieren oder sogar auszuschließen. Mit Zulieferern und der Werft sollten diese Änderungen umgesetzt werden. Mithilfe von Penetrationstests und Funktionsanalysen lassen sich während des Baus einer Yacht die Sicherheitsziele kontinuierlich überprüfen. Bei der Übernahme einer Yacht lassen sich solche Untersuchungen ebenfalls vornehmen, beispielsweise direkt nach dem Kauf. Security ist immer eine Mischung aus dem Trio: Product-Process-People. Neben der technischen Umsetzung sollten bestimmte Prozesse etabliert werden, die sowohl im Regelfall gelten als auch Vorgehensweisen im Ereignisfall. Nur dann lässt sich auf eine eventuelle Attacke an Board professionell reagieren.

Die Crew auf der am Beginn des Artikels erwähnten Yacht hat die Situation erkannt und das Handbuch „Cyber Security Incident Processes“ zur Hilfe genommen. Mithilfe der darin beschriebenen Anweisungen konnten die Systeme vom Netz genommen und neu gestartet werden. Gleichzeitig wurden Forensiker beauftragt, den Angriff zurückzuverfolgen. Am Ende kehrte die Yacht sicher in ihren Heimathafen zurück.