Wie vor kurzem bekannt wurde, hat es ein Team von Sicherheitsexperten geschafft, sich Zugriff auf die internen Systeme eines Passagierflugzeugs zu verschaffen. Die Details unterliegen zwar aus nachvollziehbaren Gründen der Geheimhaltung, aber die Berichte geben dennoch Grund zur Sorge. Am Ende läuft alles auf eines hinaus: auf das Verdienen von Geld.
Das Expertenteam hatte nach Aussagen des Autors der Seite des „Defense Daily Network“ ausschließlich Dinge für den Angriff benutzt, die an einem Flughafen problemlos durch eine Sicherheitsüberprüfung kommen. Auch habe man weder einen physikalischen Zugriff auf das Flugzeug gehabt, noch einen „Insider“ platziert, der einen erfolgreichen Angriff hätte erleichtern können. Über die Details des Angriffs und dessen Auswirkungen schweigen sich die Beteiligten aus. Man ließ nur durchblicken, dass man über Funksysteme, die in fast allen Flugzeugen verbaut sind, Zugriff erlangt hätte. Hier ist zwar Spielraum für eine Menge von Spekulationen, aber es steht fest, dass man hier auf ein Problem gestoßen ist, das sich nur sehr schwer beheben lässt. Die getestete Maschine war eine ausgemusterte Boeing 757. Das Szenario ist nicht neu – die Automobilindustrie kennt es schon seit längerem. Dort kam das böse Erwachen mit dem berühmten Jeep-Hack aus dem Jahr 2015. So wie Fahrzeuge im Prinzip fahrende Netzwerke sind, haben wir es bei Flugzeugen mit fliegenden IT-Systemen zu tun. Die meisten Komponenten, die in einem Flieger zum Einsatz kommen, unterliegen sehr strengen Sicherheitsbestimmungen. Regelmäßige Wartungen nach einer festgelegten Anzahl von Betriebsstunden sind bei Verkehrsflugzeugen Pflicht.
Was bei diesen Überholungen, die teilweise hunderttausende Euro kosten, nicht gewartet wird, ist die Software, die die flugkritischen Systeme steuert. Diese erfährt in der Regel nur sehr wenige Veränderungen, da jede Software vor dem Einsatz in einem Verkehrsflugzeug verschiedene Zertifizierungsprozesse durchlaufen muss. Ähnlich wie bei medizinischen Geräten sind diese Prozesse sehr langwierig und kostspielig. Daher werden tiefgreifende Änderungen und Neuerungen normalerweise schubweise eingeführt, um nicht wegen einer minimalen Änderung den gesamten Zertifizierungsprozess erneut durchlaufen zu müssen. In keiner Wartungshalle wird man gegenwärtig einen IT-Sicherheitsspezialisten an einem Flugzeug arbeiten sehen.
Vertrauensbruch? Jein.
Wenn es um Neuerungen geht, sind Hersteller und Piloten sehr konservativ. Hersteller wollen und dürfen keine unfertigen Lösungen auf dem Markt geben. Piloten müssen sich zu hundert Prozent auf die Herstellerangaben verlassen können. Kommt es zu einem Zwischenfall bei einem Flugzeugtyp, dann werden in der Regel alle Airlines, die den betroffenen Maschinentyp in ihrer Flotte haben, vom Hersteller informiert und es werden Gegenmaßnahmen vorgeschlagen. Das können Verhaltensregeln für Piloten oder auch Anweisungen für die Wartungsmannschaften sein, auf bestimmte Dinge verstärkt zu achten.
Brisant ist in diesem Zusammenhang, dass Hersteller von den Sicherheitsproblemen lange wussten, diese aber nicht für kritisch genug hielten, um die Fluggesellschaften und Piloten darüber zu unterrichten („no big deal“ – keine große Sache).
"Altbewährt"
Einige der Systeme und Programme, die in einem normalen Verkehrsflugzeug eingesetzt werden, sind zehn Jahre alt oder älter. Wer in eine Maschine steigt, hat auf seinem Smartphone auf jeden Fall aktuellere Software als das Flugzeug. Das hört sich dramatisch an, ist aber erst einmal nicht weiter schlimm. Der Funktionsumfang, den die Systeme eines Flugzeugs erfüllen müssen, hat sich in den letzten Jahren nicht grundlegend geändert. Des Weiteren kann man mit Sicherheit sagen, dass die Kombination von Hard- und Software erprobt ist und hunderttausende von Flugstunden ohne Fehlfunktionen absolviert hat. Nicht zuletzt aufgrund dieser Tatsache gehört das Flugzeug statistisch zu einem der sichersten Transportmittel.
Ein Statement eines Boeing-Sprechers kann man so interpretieren, dass der Flugzeugbauer die Erkenntnisse der Experten zwar für aufschlussreich hält, ihnen jedoch keine praktische Relevanz zumisst und daher keine allgemeine Gefährdung sieht. Piloten könnten sich jedoch verständlicherweise fragen, welche Informationen die Hersteller ihnen noch vorenthalten haben. Andererseits kann man auch die Frage aufwerfen, welchen praktischen Nutzen eine solche Information gebracht hätte. Piloten sind keine IT-Sicherheitsexperten und haben wenige bis keine Möglichkeiten, mit einer Cyber-Bedrohung an Bord umzugehen. Auch die Wartungsmannschaften wären hier die falschen Adressaten, da hier (noch?) keine IT-Spezialisten anzutreffen sind.
Was tun?
Die IT-Systeme und Netzwerke in Flugzeugen funktionieren komplett anders als „normale“ Netzwerke und PCs. Daher gibt es hier auch eine vollkommen andere Herausforderung für IT-Sicherheitsexperten. Fehler in einer Avionik-Software zu beheben, ist überaus kompliziert – und vor allem teuer. Einem der Leiter des Projekts zur Folge kostet die Änderung einer einzigen Zeile Programmcode in einer solchen Software etwa eine Million Dollar und es dauert mitunter Jahre, bis die Änderungen umgesetzt sind. Dazu kommen die Kosten für einen Austausch der Software in den Flugzeugen, die im aktiven Dienst sind. Allerdings bedeutet jede Stunde, die ein Flugzeug am Boden bleibt, Kosten für die Fluggesellschaft. Individuelle Maschinen sind manchmal schon lange im Voraus eingeplant: Für einen Flieger, der zu einer sechswöchigen Generalüberholung antritt, ist manchmal der nächste Flug bereits für den Tag der Fertigstellung geplant. Die Kosten für Hersteller und Fluggesellschaften steigen unter diesen Voraussetzungen schnell in astronomische Höhen.
Neue alte Herausforderung
Die gute Nachricht ist: Modernere Systeme und neuere Maschinen sind mit weitaus strengeren Anforderungen an die (IT-)Sicherheit entworfen worden. Allerdings profitieren ältere Maschinen von diesen Neuerungen meist nicht. Gerade ältere Flieger machen aber den Großteil der Flugzeuge aus, die heute am Himmel sind. Für ein Passagierflugzeug ist es nicht unüblich, dass sie 15 oder 20 Jahre im Dienst bleiben – manchmal sogar noch länger. Man sieht sich also hier der gleichen Aufgabe gegenüber, die auch andere Industriezweige haben: Man muss ein System absichern, das nie für eine Welt gedacht war, in der prinzipiell jeder Zugriff auf Geräte hat, die diesen Systemen gefährlich werden könnten.
Was jedoch bei aller Automatisierung zumindest ein wenig beruhigt, ist die Tatsache, dass in einem Flugzeug noch immer ein Mensch das letzte Wort hat.