Der Hacker als Pirat

Moderne Schiffe wie Supertanker und Luxusjachten sind mit einer Vielzahl an Kommunikations- systemen ausgestattet. Sie beziehen ihren Standort über das GPS (Global Positioning System) und senden Geschwindigkeit, Kurs und Reisezweck über das AIS (Automatic Identification System) und VTS (Vessel Traffic Services) während auf der Brücke der Autopilot das Steuerrad ersetzt.

Internetverbindungen sorgen für Informa tion und Unterhaltung an Bord, dienen aber auch der Kontrolle durch die Reederei, die jeden Vorgang an Bord online überwachen kann. So viel Vernetzung führt zu Risiken, und deshalb lächelt heute niemand mehr über den Film „Tomorrow Never Dies“ von 1997. James Bond jagte damals einen heimtückischen GPS-Sender, der Schiffe durch falsche Angaben ins Verderben manövrierte. Erst recht nicht nach dem Jahr 2017, einem Jahr der merkwürdigen Schiffsunfälle. Im Februar 2017 konnte ein Containerschiff nach einem IT-Problem zehn Stunden nicht auf die eigene Navigation zugreifen. Im selben Monat lief der Lenkwaffenkreuzer „USS Antietam“ vor Tokio auf Grund, drei Monate später kollidierte der Lenkwaffenkreuzer „USS Lake Champlain“ mit einem Fischerboot.

Der Aufklärer „Liman“ der russischen Schwarzmeerflotte sank im April 2017 vor der türkischen Küste nach einer Kollision. Der Vieh-Frachter “Youzarsif H“ mit 8.000 Schafen an Bord soll den russischen Aufklärer gerammt haben. Tote gab es nicht, das Schiff ging aber verloren. Im Sommer traf es die US-Navy. Am 17. Juni 2017 kollidierte der Zerstörer „USS Fitzgerald“ südwestlich von Yokosuka mit dem unter philippinischer Flagge fahrenden Containerschiff „ACX Crystal“. Es wird gemutmaßt, dass der digitale Autopilot des Containerschiffs gehackt worden war. Am 21. August 2017 traf es die „USS John S. McCain“, sie wurde von dem Tanker „Alnic MC“ getroffen. Die US-Schiffe blieben mit knapper Not schwimmfähig, erlitten aber massive Schäden und mussten für viele Monate in die Werft zu einer Generalsanierung. Infolge der Vorfälle starben insgesamt 17 Crewmitglieder. Im Januar 2018 kollidierte der Öltanker „Sanchi“ vor der Küste Chinas mit einem chinesischen Getreidefrachter. Der Tanker geriet in Brand und explodierte schließlich. 32 Besatzungsmitgliedern kamen ums Leben. Zwar waren diesmal beide Schiffe zivil unterwegs, der Vorgang aber trotzdem hochpolitisch, denn der Tanker transportierte Öl vom Iran nach Südkorea. 136.000 Tonnen Kondensat mit einem Marktpreis von 60 Millionen Dollar gingen in Flammen auf.

Besonders auffällig sind die gleichermaßen ungewöhnlichen wie unwahrscheinlichen Schadensverläufe. Die Schiffe touchierten sich nicht etwa, sondern rammten sich, als wären antike Kriegsschiffe mit Rammsporn im Einsatz. Inzwischen spekulieren nicht nur Hacker über die Möglichkeit, dass ein Schadprogramm am Ruder gestanden haben könnte. Das wäre fatal, denn moderne Schiffe werden auf hoher See oft durch den Autopiloten gesteuert. Insider berichten, über Stunden sei keine Wache mehr auf der Brücke präsent. Dies verstieße zwar gegen diverse Vorschriften, aber wo kein Kläger, da kein Richter: Auf hoher See ist kein Staat direkt zuständig und Überprüfungen sind nahezu unmöglich. Gleich zwei Konferenzen beschäftigten sich Ende 2017 und Anfang 2018 mit dem bislang weitgehend unberücksichtigten Thema IT-Sicherheit auf Schiffen. Zum einen die Cyber Defence Conference 2017 der Deutschen Gesellschaft für Wehrtechnik (DWT) im Dezember 2017 in Bonn, zum anderen die Sicherheitskonferenz „IT-Defense“ der Beratungsfirma Cirosec, die im Februar 2018 in München stattfand. Die schwimmenden Computernetzwerke sind angreifbar, denn elektronische Kommunikation kann stets in zwei Richtungen erfolgen: Über Funk und Satellit sind Schiffe mit Seefunkstationen verbunden, aber vor allem mit dem Internet, das über Router direkt mit dem Bordnetzwerk verbunden ist. Ruderanlage und Maschine sind genauso Teil des Netzwerks wie Echolot, Radar und natürlich das GPS. Dessen Signale sind wegen ihrer fragilen Struktur besonders leicht angreifbar. Ein kräftiger Störsender kann sie überdecken. Die Signale können aber auch gefälscht werden, auch wenn dies einen gewissen Aufwand und eine räumliche Nähe zum Schiff bedeutet. Ganz anders sieht es aus, wenn es der Hacker schafft, sich über das Internet Zugriff auf den Bus des Schiffes zu verschaffen.

Der dort verwendete NMEA-Bus ist nichts weiter als das maritime Pendant zum CAN- Bus der Automobilindustrie, und dieser ist zu Recht in Verruf geraten. 2013 und 2014 zeigten die Auto-Hacker Charlie Miller und Chris Valasek, wie sie sich über Entertainmentzugänge auf den CAN-Bus vorarbeiten konnten. Schließlich übernahmen sie die Kontrolle über fremde Autos, konnten Licht ein und ausschalten, aber auch die Lenkung übernehmen. Sie fuhren das Fahrzeug vor laufenden Kameras auf einem Testgelände in den Graben. Möglich machte dies damals eine zweckentfremdete Einparkhilfe. Einparkhilfen gibt es auf Schiffen zwar nicht, dafür aber Autopiloten, die den Kurs über die Weltmeere halten sowie Internetanschlüsse für Telefon, Entertainment und Computer. Die Folgen wären fatal, sollte es einen Weg von außen hinein in ein solches Netzwerk geben. Doch genau diesen Weg hat der deutsche Sicherheitsexperte Stephan Gerling gefunden. In München referierte er auf der Sicherheitskonferenz IT-Defense über die Sicherheitsprobleme an Bord moderner Yachten. Der Sicherheitsspezialist der Rosen Gruppe, einem Unternehmen, das unter anderem auf den Einsatz komplexer technischer Anlagen spezialisiert ist, brachte für einen Bekannten dessen Yacht auf den aktuellen Stand der IT und kontrollierte anschließend mit dem branchenüblichen Tool „Wireshark“ den Netzwerkverkehr. Dabei stieß er auf eine ganze Reihe von Sicherheitslücken.

Bei dem verwendeten Schiffsrouter gelang es Stephan Gerling, aus dem ungeschützt übertragenen Datenverkehr die Zugriffscodes für den Router zu ermitteln und dieses dann anzugreifen. Das weitverbreitete Gerät erwies sich als schlecht geschützt. So war es ihm möglich, den Source Code des verwendeten Routers auszulesen und zu dekompilieren. Mit den vorhandenen Informationen gelang es ihm, eine Art Generalschlüssel für alle Router dieses Typs zu erzeugen: „Das Hauptproblem des Yacht-Routers war, dass in der Konfiguration Nutzername und Passwort im Source Code fest verankert waren und nicht durch den Betreiber geändert werden konnten“, erklärte Stephan Gerling. Dies stelle eine enorme Gefahrenquelle dar, die inzwischen teilweise, aber noch nicht vollständig behoben sei. Denn der Hersteller lieferte inzwischen eine neue Firmware aus. Alle Router mit alter Software hätte Gerling nach eigener Aussage mit Suchwerkzeugen wie „Shodan“ finden und übernehmen können. Dieses Passwort ist für alle Router, die mit dieser Software ausgestattet sind, dasselbe:„Wer sich den Source Code näher ansieht, erhält Zugriff auf alle Schiffe, die mit diesem System ausgestattet sind, sofern sie mit dem Internet verbunden sind“, erläuterte Stephan Gerling. Über Standort und Typ der betreffenden Schiffe geben zahlreiche Seiten im Internet bereitwillig Auskunft. Mit diesem Wissen hätte jeder die Möglichkeit, auf fremden Schiffen massive Schäden anzurichten. Dazu müsste er allerdings vom Router auf den Bus des Schiffes zugreifen. Dies ist theoretisch möglich, Gerling verzichtete aber auf praktische Experimente mit einem realen, etliche Millionen Euro teuren Schiff. Kein Eigner oder Reeder und schon gar keine Versicherung würde einem solchen Experiment zustimmen.

Vielleicht opfert die Bundesmarine aber ein Schiff für solche Experimente. Auf der Bonner Konferenz wies Brigadegeneral Christian Leitges auf die Notwendigkeit hin, sich gegen die Gefahren aus dem Cyberraum zu schützen. Er zeigte am Beispiel des künftigen Mehrzweckkampfschiffes (MKS) 180, wie wichtig die Cyber-Resilienz bei komplexen Plattformen ist. Ein bedeutendes Risiko sei die Gefahr durch Einspeisen von Schad-Software über Radar, so Leitges. Diese Sonderform des Angriffs wurde bislang nicht öffentlich diskutiert, reiht sich aber in eine lange Liste von Angriffsvektoren ein. Inzwischen hat sich die Erkenntnis durchgesetzt, dass die maritime IT-Security noch ganz am Anfang steht. So bieten die Reeder ihren Besatzungen ein freies WLAN überall auf dem Schiff.

Das ist in den Weiten des Atlantiks auch unproblematisch, wenngleich das WLAN auf See viele Kilometer Reichweite aufweisen kann. Im Hafen wird ein Funknetzwerk ohne Passwort, Verschlüsselung und Authentifizierung zu einer Gefahr, nicht nur für das Schiff, sondern auch für die IT der Reederei, mit der das Schiff ja ständig verbunden ist. „Die Reeder sind inzwischen auf das Thema aufmerksam geworden“, erläuterte der Sprecher des Verbandes Deutscher Reeder Christof Schwaner. Ganz allgemein ist allen Beteiligten klar, das massiver Nachholbedarf besteht, ähnlich wie in vielen Produktionsstraßen, die oft bis heute ganz ohne IT-Schutz operieren. Auslöser des Umdenkens war allerdings kein Hacker-Angriff auf ein Schiff, sondern umgekehrt, der Zusammenbruch der IT bei einer der weltweit größten Reedereien mit einem dreistelligen Millionenschaden. Mehrere Wochen hielt ein Erpressungstrojaner den dänischen Mega-Konzern Maersk in Atem. Seit Juli 2017 verteilen die Reeder eine Kurzeinführung in die IT-Sicherheit für den Seemann. Die „Guidelines On Cyber Security Onboard Ships“ listen auf 47 Seiten für Offiziere und Mannschaften die Gefahren des Internets auf, von Malware über Phishing bis zum Scanning. Den Brückenschlag zur Bord-IT müssen sie dann allerdings selber leisten. Auch die US Marine reagiert. Seit Ende der 1990er Jahre verzichtete man bei der Ausbildung auf die Unterrichtung am Sextanten, schließlich hatte jedes Schiff GPS. Inzwischen hat das gute alte Messinstrument wieder einen Stammplatz im Lehrplan.

Bernd Schöne, freier Journalist aus München