Lückenhafte Sicherheit?

Anlass dieser Betrachtung ist, dass das mysteriöse Verschwinden der malaysischen Boeing 777 mit Hacking in Zusammenhang gebracht wird. Mehrere Medien, darunter auch die New York Times, hatten berichtet, dass die Kursänderung von Flug MH370 computergesteuert durchgeführt wurde, während sich die Maschine im Selbststeuerungsmodus (Autopilot) befand. Dass aber mögliche Hijacker in das Cockpit eindrangen, gilt als unwahrscheinlich, da die Piloten keinen in solchen Fällen üblichen Notruf sendeten.

Zu jenen Sicherheitsfachleuten, die deshalb von einem Cyberangriff auf das Flugzeug durch Hacking des Flight Management Systems (FMS) ausgehen, gehört die britische Anti-Terror-Expertin Dr. Sally Leivesley. Dass ein derartiger Angriff zumindest grundsätzlich möglich ist, wies der Experte Hugo Teso bereits im April 2013 nach. Der ausgebildete Berufspilot und Sicherheitsberater der deutschen IT-Firma n.runs stellte während der internationalen Konferenz „Hack in the Box“ in Amsterdam seine in dreijähriger Arbeit gewonnenen Forschungsergebnisse vor.

In einer simulierten Umgebung, aber unter Verwendung originaler Flugzeugbauteile, hatte er nachgewiesen, dass es mittels einer speziellen Software, des Frameworks „Simon“ und der von ihm entwickelten Android-Applikation „Planesploit“ durchaus machbar ist, auf wichtige Komponenten des Flight Management Systems (FMS) aus der Distanz zuzugreifen. Dabei kann auch ein handelsübliches Smartphone als Benutzeroberfläche für den Angriff dienen.

Das FMS, das sich zwischen den Sitzen des Flugkapitäns und des Copiloten befindet, gehört zu den wichtigsten Arbeitsmitteln in der Verkehrsfliegerei. Es stellt unter anderem sämtliche Navigationsdaten zur Verfügung, die für einen Flug erforderlich sind, und ist eine unverzichtbare Datenquelle für die automatische Steuerung, den Autopiloten.

Das Verschwinden der malaysischen Maschine geht Hugo Tesos Meinung nach allerdings auf einen Unfall und nicht auf einen Cyber-Angriff auf das Flugzeug zurück, da zu dem Zeitpunkt, als das Flugzeug verschwand, die Piloten genug Zeit für eine Reaktion gehabt hätten. So hätten sie beispielsweise durch ein Abschalten des Autopiloten und manuelles Steuern des Flugzeuges die Kontrolle wiedererlangen können.

Grundsätzlich möglich wäre ein Zugriff laut Teso dennoch, weil wichtige On-Board-Systeme Schwachstellen aufweisen: So werde das Automatic Dependent Surveillance Broadcast (ADS-B, zu Deutsch: Automatische bordabhängige Überwachung) ohne Verschlüsselung und Authentifizierung betrieben. Und ebenso unverschlüsselt, wenngleich auch per Digitalfunk, werden über das „Acars“-System (Aircraft Communications Addressing and Reporting System, Datenfunksystem zur Übermittlung von Nachrichten zwischen Verkehrsflugzeugen und Bodenstationen) Flugbetriebsmeldungen (unter anderem Flughöhe, Triebwerkszustände, Lade- und Treibstoffstatus) ausgetauscht.

Befindet sich eine Maschine im Selbststeuerungsbetrieb, könnte ein Angreifer zumindest zeitweise die Kontrolle über das Flugzeug übernehmen. Das schlimmste aller denkbaren Szenarien wäre in diesem Zusammenhang ein Absturz des betroffenen Flugzeuges. Eine Funktion, die Teso in Planesploit mit dem Steuerungsbutton „visit ground“ („besuche den Boden“) simuliert hat, allerdings ohne dabei aus Sicherheitsgründen die technischen Details offenzulegen.

Die Reaktionen auf Tesos Forschungsergebnisse folgten auf dem Fuß. Honeywell, neben Thales und Rockwell Collins einer der relevanten Softwarehersteller im Luftfahrtbereich, ließ verlauten, dass Sicherheitsmängel lediglich auf Simulationssystemen, die aus zusammengesammelten Teilen beständen, nachgewiesen wurden. Dies lasse nicht zwingend einen Rückschluss auf den realen Flugbetrieb zu. Rockwell Collins erklärte, nur in einer „nicht analog zertifizierten“ virtualisierten Testumgebung sei der von Teso geschilderte Angriff theoretisch denkbar. Die heutigen Avioniksysteme ließen derlei Attacken nicht zu.

Auch die Europäische Agentur für Flugsicherheit (EASA) und das US-Pendant Federal Aviation Administration (FAA) widersprachen auf der Stelle. Die von Teso beschriebene Angriffstechnik könne im Echtbetrieb nicht greifen. Es sei für einen Hacker unmöglich, die volle Kontrolle über ein Flugzeug zu erhalten. Das sieht allerdings Roland Ehlies, Security Manager bei n.runs, anders. Der Sicherheitsfachmann geht davon aus, dass sich die Sicherheitslücken nach den im Oktober 2013 auf Sicherheitskonferenzen gezeigten Erweiterungen nun nach „geringfügigen Anpassungen der Software auf die darunterliegende Hardware auch in realen Flugzeugen ausnutzen ließen“.

Zur Forschungsarbeit seines Unternehmens sagt Ehlies: „Die ersten Proofs of Concept (Machbarkeitsstudien) haben wir im April 2013 basierend auf Trainings-/Simulationssoftware der oben genannten Hersteller erstellt, welche gemäß der eigenen Aussage der Hersteller auf dem realen Code der FMS-Systeme beruht. Basierend auf darauf folgenden Aussagen der Hersteller und Behörden haben wir im Herbst letzten Jahres die Proofs of Concept auf die im FMS genutzten Realtime Betriebssysteme portiert und auf verschiedenen Sicherheitskonferenzen veröffentlicht.

Dieser Stand der Forschungsergebnisse ist bisher nicht von Herstellern oder Behörden kommentiert worden. Die aktuellen Forschungsergebnisse, unter Zuhilfenahme des Realtime Betriebssystems, müssten nun nur noch auf ein reales FMS portiert werden. Als Zwischenschritt dazu haben wir einen lauf-/flugfähigen Proof of Concept (Project Catenstein, vorgestellt Oktober 2013), in welchem eine Drohne, ausgerüstet mit Flugsensoren (Autopilot) von einem FMS gesteuert und dann dieses FMS manipuliert wird.“

Wie Roland Ehlies weiter gegenüber PROTECTOR mitteilt, sind die generellen Forschungen seit der ersten Veröffentlichung im April 2013 weiterbetrieben worden. Dabei sahen sich die Software-Experten auch die Ground Service Provider (Betreiber der Kommunikationsinfrastruktur zwischen Airlines, Flughäfen und Flugzeugen) spezieller an und stellten auch in diesem Umfeld Sicherheitsprobleme fest. Überdies wurden mittlerweile weitere Angriffswege auf Flugzeugkomponenten veröffentlicht.

Ziel der Forschungsarbeiten sei es letztlich nicht gewesen, der Luftfahrt oder der Industrie zu schaden, sondern Lücken aufzuzeigen und damit zu einer höheren Sicherheit beizutragen, betont Ehlies. Ein wichtiger Schritt zu mehr Sicherheit sei seinen Worten zufolge die Erkenntnis „Safety is not Security“. Die Luftfahrtindustrie fokussiere sich aus seiner Sicht auf den Safety-Aspekt, wie schon die Aussagen zur Redundanz belegen. Im Bereich IT-Sicherheit gebe es aber „einige offene Problemstellungen, welche im Design- und Entwicklungsprozess der Komponenten behoben werden sollten.“

Des Weiteren „sollten die Zulieferer und Service-Dienstleister der Luftfahrtindustrie auch IT-Sicherheitsendabnahme gemäß gängigen IT-Sicherheitsstandards (Owasp, Sans, BSI Pentest) durchführen lassen.“ Und: „Bei kritischen Umgebungen und Komponenten sollten nicht nur Ausfallszenarien (Safety-relevant), sondern auch Manipulations- beziehungsweise Missbrauchsszenarien (Security-relevant) betrachtet werden.“

Ist Fliegen heutzutage gefährlicher geworden? Laut Jörg Handwerg ist das nicht der Fall. Der erfahrene Flugkapitän der Lufthansa und Sprecher der Vereinigung Cockpit gab im Gespräch mit PROTECTOR zu bedenken, dass selbst dann, wenn ein solcher Angriff möglich wäre, der Pilot in Sekundenschnelle den Autopiloten abschalten und das Steuer wieder selbst übernehmen könnte. Im manuellen Modus gebe es dann keine Möglichkeit mehr, durch Hacking den Flugbetrieb zu gefährden.

Klaus-Henning Glitza