Juli/August 2023
Im Mai kam es bei SAS Scandinavian Airlines zu einer Cybersicherheitsverletzung, bei der die Angreifer Berichten zufolge ein Lösegeld in Höhe von 175.000 US-Dollar forderten, um der Fluggesellschaft die Wiederherstellung des vollständigen Betriebs zu ermöglichen. Cyberangriffe auf große US-Flughäfen werden immer routinemäßiger; im Jahr 2022 werden sowohl die Flughäfen Los Angeles International als auch Orlando International betroffen sein.
Das Luftfahrt-Ökosystem ist anfällig für Cyberangriffe und die Regulierungsbehörden bemühen sich darum, Standards und Regeln zu entwickeln, die Fluggesellschaften und Flughäfen dazu verpflichten, den Schutz zu verbessern.
Die US-Transportsicherheitsbehörde (TSA) erklärte im März, sie ergreife „Notmaßnahmen aufgrund anhaltender Cybersicherheitsbedrohungen für … den Luftfahrtsektor“. Es wurde eine neue Notfalländerung im Zusammenhang mit der „Cyber-Sicherheitsresilienz“ für Fluggesellschaften und Flughäfen verkündet.
„Ich denke, es gibt eine Menge großartiger Arbeit – an einigen davon bin ich selbst beteiligt – beim Schreiben von Standards“, sagte Bill Bryant, ein technischer Mitarbeiter bei Modern Technology Solutions (MTSI), der sich auf Cybersicherheitslösungen für die Luftfahrt spezialisiert hat, gegenüber Avionics International . „Das ist alles wunderbar. Aber wir können nicht zu viel davon erwarten. Wir können nicht erwarten, dass wir jemals einen völlig perfekten Standard schreiben können, der Flugzeuge und Fluggesellschaften unangreifbar macht. Denn ganz gleich, welchen Ansatz wir gewählt haben, Angreifer kommen immer wieder vorbei und kommen auf eine andere Art und Weise. Das bedeutet nicht, dass wir mit der Entwicklung von Standards und Vorschriften aufhören müssen. Es bedeutet nur, dass du nie fertig bist. Denn wenn eine Lösung eine Lücke schließt, werden Angreifer versuchen, eine weitere zu schaffen.“
Die TSA hat Fluggesellschaften und Flughäfen angewiesen, „Richtlinien und Kontrollen zur Netzwerksegmentierung zu entwickeln, um sicherzustellen, dass betriebliche Technologiesysteme im Falle einer Kompromittierung eines Informationstechnologiesystems weiterhin sicher funktionieren können.“ Laut TSA müssen Fluggesellschaften und Flughäfen einen Cybersicherheitsplan entwickeln, der „Zugangskontrollmaßnahmen zur Sicherung und Verhinderung unbefugten Zugriffs auf kritische Cybersysteme“ vorsieht.
Darüber hinaus wurden Fluggesellschaften und Flughäfen von der TSA angewiesen, „kontinuierliche Überwachungs- und Erkennungsrichtlinien und -verfahren zur Abwehr, Erkennung und Reaktion auf Cybersicherheitsbedrohungen und Anomalien, die den Betrieb kritischer Cybersysteme beeinträchtigen“, einzuführen.
Fluggesellschaften und Flughäfen werden außerdem angewiesen, „das Risiko der Ausnutzung nicht gepatchter Systeme durch die rechtzeitige Anwendung von Sicherheitspatches und Updates für Betriebssysteme, Anwendungen, Treiber und Firmware auf kritischen Cybersystemen unter Verwendung einer risikobasierten Methodik zu verringern“, heißt es weiter an TSA.
Bryant sagte, Cybersicherheitsangriffe auf die Luftfahrt würden immer häufiger, darunter eine Reihe spezifischer Angriffe gegen Fluggesellschaften und Flughäfen, die in den weiteren Bereich der Ransomware-Angriffe fallen.
„Es gibt eine ziemlich große Welle von Ransomware-Angriffen, bei denen böswillige Akteure in ein System eindringen, die Daten für sich selbst stehlen und sie dann auf den Laufwerken oder im Speichersystem verschlüsseln“, sagte er. „Sie werden versuchen, so gut wie möglich an die Backups zu gelangen. Und dann um ein Lösegeld bitten.“
„Anscheinend gibt es etwa jede Woche eine Geschichte darüber, dass eine bestimmte Fluggesellschaft von einer dieser Art von Angriffen betroffen ist“, fügte er hinzu. „Fluggesellschaften verfügen über viele dieser traditionellen IT-Systeme: Ticketsysteme, Logistiksysteme und Wartungssysteme.“ Angreifer greifen gerne Organisationen an, denen es wirklich schwerfällt, „Nein“ zu sagen. Wenn Sie also eine Fluggesellschaft sind und Ihr Ticketsystem ausfällt, wie lange können Sie dann ausfallen? Und die Antwort lässt wahrscheinlich nicht lange auf sich warten. Daher wird es für sie einen enormen Zahlungsdruck geben, während andere Arten von Organisationen möglicherweise über einen längeren Zeitraum ohne ihre Systeme besser überleben können.“
Bryant sagte, Fluggesellschaften seien es gewohnt, redundante Sicherheitsvorschriften genau zu befolgen, um ein Katastrophenszenario zu verhindern, und diese Denkweise könne mit einer Einschränkung auch auf die Cybersicherheit angewendet werden.
„Es gibt einen grundlegenden Unterschied zwischen Sicherheit und Schutz“, sagte er. „Sie haben viele, viele Ähnlichkeiten und man verwendet tatsächlich viele ähnliche Analysetools und dann ähnliche Ansätze. Aber was die Sicherheit angeht, macht man sich normalerweise Sorgen über zufällige Ereignisse. Der Blitzeinschlag ist nicht gerichtet. Es trifft zufällig dieses Flugzeug, aber nicht dieses Flugzeug. Es ist im Wesentlichen zufällig. Cybersicherheit ist anders, weil es einen denkenden Angreifer gibt. Wenn ich an Punkt A eine bessere Firewall errichte, werden Angreifer zu Punkt B, C, D oder E ausweichen. Es ist eine viel dynamischere und herausforderndere Umgebung.“
Bryant sagte, dass es vier Säulen für die Entwicklung einer Strategie zur Verhinderung von Cyberangriffen auf Luftfahrtsysteme gebe. Erstens müssen Fluggesellschaften und Flughäfen ihre Systeme härter machen, um „Angriffe so schwer wie möglich zu machen“. Dabei geht es vor allem um traditionelle Sicherheitsstrategien wie die Verwendung sicherer Passwörter, die Einrichtung von Firewalls und die Erschwerung des Zugriffs auf ein bestimmtes System durch einen Angreifer, sagte er.
Zweitens müssen Organisationen damit rechnen, angegriffen zu werden.
„Sie gehen davon aus, dass sie durchkommen“, sagte Bryant. „Sie gehen davon aus, dass Ihre Säule der Verhärtung scheitern wird, weil wir historisch gesehen wissen, dass dies wahrscheinlich der Fall sein wird. Dann bauen Sie also auch Schadenstoleranz ein. Was die Sicherheit betrifft, baut man ein Flugzeug so, dass die Flügel der erwarteten Belastung plus etwa 50 % standhalten, sodass die Flügelstruktur dem standhalten kann, wenn man in ein Gewitter hineinfliegen muss.“
„Das Gleiche gilt für die Cybersicherheit“, fügte er hinzu. „Wenn ein Angreifer eindringt, müssen Sie sicherstellen, dass Sie weiterhin funktionieren und zumindest Ihre Mindestaufgabe erfüllen können.“ Bei einem Verkehrsflugzeug würde das beispielsweise bedeuten, dass alle Passagiere und Besatzungsmitglieder sowie das Flugzeug sicher zum Boden zurückgebracht werden. Wenn also jemand Ihr Flugzeug per Cyberangriff angreift, können Sie in den Backup-Modus wechseln, um eine sichere Wiederherstellung zu ermöglichen. Das ist Schadenstoleranz. Man muss widerstandsfähig gegen Angriffe sein.“
Als nächstes kommt die Verteidigung, die laut Bryant ein Bereich ist, „über den meiner Meinung nach nicht genug Leute reden“.
„Angreifer sind dynamisch und kommen aus verschiedenen Richtungen auf Sie zu. Der wichtigste Weg, dem entgegenzuwirken, ist der Einsatz dynamischer Verteidiger“, sagte er. „Eine große Organisation, die Cyber-Sicherheit ernst nimmt, verfügt über Cyber-Verteidiger, die die Netzwerke überwachen, auf Angriffe achten und auf anomalen Datenverkehr achten. Aber man kann nicht einfach in ein modernes Verkehrsflugzeug steigen und eine Reihe von Cyber-Abwehrtools mitnehmen und anschließen. Daher müssen alle Funktionen zur Überwachung von Gegnern und zur Suche nach anormalem Verhalten in das Flugzeug integriert werden Grundlinie des Systems. Wir sind noch nicht da. Aber wir fangen an, dorthin zu gelangen. Die Leute fangen an, diese Fähigkeiten in Plattformen einzubauen.“
Die vierte Säule ist laut Bryant die Wiederherstellbarkeit.
„Wie schnell können Sie reagieren, wenn Sie angegriffen werden? Wie schnell können Sie das System auf sichere Weise wieder zum Laufen bringen und sich darauf verlassen, dass das Schlimme, das Ihnen jemand angetan hat, nicht mehr vorhanden ist?“ er sagte.