2181511

IT Security Monitoring soll Cyberangriffe in der zivilen Luftfahrt abwehren

10.03.2016 | 13:39 Uhr |

Cyberattacken in der zivilen Luftfahrtindustrie finden nicht in der Luft statt. Viel angreifbarer ist die IT-Infrastruktur am Boden. Umfassender Schutz der Kontroll- und Steuerungseinheiten ist daher entscheidend, um Schäden zu vermeiden oder zumindest so gering wie möglich zu halten.

Cyberangriffe betreffen alle Bereiche der Wirtschaft. Organisierte Cyberkriminelle agieren weltweit und haben ihren Fokus auf die unterschiedlichsten Branchen gelegt. In diesem Beitrag werden Angriffspotentiale anhand von Vorfällen aus der zivilen Luftfahrtindustrie erläutert sowie modernste Schutzmechanismen in dieser Branche aufgezeigt.

In 2015 legte ein Cyberangriff die polnische Fluglinie LOT lahm. Tausende Passagiere saßen fest. Der Angriff war auf das Computersystem der Bodenkontrolle der Fluggesellschaft gerichtet. Es konnten keine Flugpläne mehr ausgegeben werden, Flüge mussten abgesagt und verschoben werden.

Im Sommer 2014 kam es in Wien, Bratislava, Prag und Karlsruhe zu zeitweiligen Störungen des Flugsicherungsradars. Dass es nicht zu Kollisionen kam, ist einzig und allein den Fluglotsen zu verdanken, die mittels Sprechfunk den Luftverkehr während des Ausfalls leiteten. Wenn Flugzeuge jedoch nur lückenhaft bzw. streckenweise gar nicht auf den Radarschirmen der Luftsicherung zu sehen sind, kommt es zu einer akuten Gefährdung des gesamten Flugbetriebs.

Im Juli 2013 gab es auf den beiden Flughäfen Istanbuls Malware-Angriffe. Die Passkontroll-Systeme wurden heruntergefahren. Passagiere warteten stundenlang und Flüge wurden verschoben.

Der Schlüssel für den reibungslosen Flugbetrieb ist die permanente Verfügbarkeit und Funktionsfähigkeit der riesigen „IT-Maschinerie“

Bei den IT-Landschaften von Fluglinien, Flugsicherung und Flughäfen handelt es sich um komplizierte Zahnradsysteme, die perfekt ineinandergreifen müssen. Systemausfälle oder streckenweise Störungen im Luftverkehr verursachen Flugverschiebungen und Ausfälle. Sie richten dadurch weitreichende ökonomische Schäden an.

Davon betroffen sind nicht nur Passagiere, Fluggesellschaften und Flughafenbetreiber sondern auch all jene Branchen, die per Luftfracht Waren transportieren. Durch die zunehmende Optimierung von Lieferketten bleibt heute wenig zeitlicher Spielraum, das Schadenpotenzial von unvorhergesehenen Störungen ist erheblich. Speziell beim Transport verderblicher Ware führt eine Unterbrechung der Lieferkette sofort zu massiven finanziellen Einbußen.

Darüber hinaus stellt die Mobilität von Personen heute eine zentrale Komponente für das Funktionieren der Wirtschaft und zudem auch für das Alltagsleben aller Menschen dar, sei es zur Bestreitung des Arbeitsweges, Dienstreisen bis hin zu privaten Reisen.

Im Jahr 2014 transportierten Fluggesellschaften rund 3,2 Milliarden Menschen rund um den Globus. Die internationale zivile Luftfahrtorganisation ICAO geht davon aus, dass sich die jährlichen Passagierzahlen bis 2030 auf rund 6,4 Milliarden Personen verdoppeln werden. Der Anteil der Luftfracht am globalen Gütertransport stellt lediglich 2 Prozent dar. Wertmäßig jedoch schlägt die Luftfahrt mit rund 40 Prozent zu Buche.

Angreifer sind auf der Suche nach dem „schwächsten Glied“ in der IT

Fluggesellschaften legen „in der Luft“ viel Wert auf Netzwerktrennung. So sind zum Beispiel WLAN und Unterhaltungselektronik von der sicherheitsrelevanten Technik an Bord strikt getrennt. Eine Störung durch Angreifer wäre wahrscheinlich nur durch einen physischen Zugriff möglich.

Die eingangs beschriebenen, tatsächlich stattgefundenen Fälle zeigen, dass es Angreifer derzeit vielmehr auf Störungen in der IT-Infrastruktur am Boden absehen. Eine strikte Trennung von Netzwerkzugängen zwischen Verwaltungssystemen und sicherheitsrelevanten Steuerungsapplikationen scheint in diesem Bereich nicht stattzufinden. Angriffe sind dadurch nicht nur möglich, sondern haben auch eine hohe Chance, umfassenden Schaden anzurichten.

So sind Piloten zunehmend von einer korrekt funktionierenden Verbindung zum Flight Operation Center (FOC) der Airline am Boden abhängig. FOCs geben neueste Wetter- und Streckeninformation an die Piloten weiter, welche wiederum ihre Flugroute daran anpassen und den Kraftstoffverbrauch damit berechnen.

Das FOC verarbeitet aber auch ständig von jedem einzelnen Flugzeug gesendete Daten, zum Beispiel über den Zustand der Triebwerke oder die aktuelle Position. Eine Unterbrechung zu der aus dem Cockpit am Boden ausgelagerten „Intelligence“ führt zu fehlenden Hilfsmechanismen im Falle von Unregelmäßigkeiten. Ein Angriff auf die IT des FOCs führt somit über einen Umweg zu akuten Problemen in der Luft.

Gleichzeitig steigt die Komplexität der IT-Landschaften am Boden. Beispiel: Der Einsatz von biometrischen Identifikationsdatenbanken an Flughäfen. Diese Datenbanken enthalten hochsensible Daten und erhöhen damit noch mehr die Anreize für Angreifer, Schwachstellen auszuspähen und auch auszunützen.

Kurzum: All das, was das Kernbankensystem für Finanzdienstleister darstellt, mit all seinen Herausforderungen zur Absicherung der Daten, stellen die Kontroll- und Steuerungssysteme für die zivile Luftfahrt dar.

Die Zeit zwischen einem Angriff auf IT-Systeme am Boden und seine Entdeckung mindert den Schaden drastisch

Der umfassende Schutz der Kontroll- und Steuerungseinheiten am Boden ist für das Funktionieren der gesamten IT-Maschinerie von Flughäfen, Flugüberwachung und Fluglinien entscheidend. Im Mittelpunkt eines notwendigen Schutzschirmes steht das IT-Security Monitoring – 24 Stunden täglich, 7 Tage in der Woche.

Das IT Security Monitoring umfasst eine automatisierte Erkennung von IT-Sicherheitsproblemen und –risiken, kombiniert mit der Analyse durch Experten. Es erzeugt ein Risiko-Lagebild in Echtzeit. Dieses Risiko-Lagebild ist die Grundlage für notwendige Sofortmaßnahmen im Falle eines Angriffs auf die IT-Systeme.

Das passiert im Detail

Im ersten Schritt werden verdächtige Ereignisdaten gesammelt und automatisiert analysiert. Es erfolgt eine Korrelation der millionenfachen Datensätze, die bereits eine erste Unterscheidung zwischen Sicherheitsrelevantem und Nicht-Sicherheitsrelevantem hervorbringt.

Im nächsten Schritt ist eine Auswertung der Risikohinweise aus den korrelierten Daten durch Experten unerlässlich. Ereignisse mit Problemcharakter werden verfolgt, nochmals korreliert und auf ihre Auswirkungen auf die IT und die Geschäftsabläufe hinterfragt.

Mit diesen verifizierten Informationen müssen nun die richtigen Schritte zur Behebung eingeleitet werden. Dabei darf man den Überblick nicht verlieren: Welche Personen müssen involviert werden? Welche Informationen müssen diesen Personen zur Verfügung gestellt werden? Wie wird der aktuelle Stand der Behebung nachvollzogen? Wer übernimmt welche Verantwortung?

Diese und viele weitere Fragen müssen im Adhoc-Fall sofort gelöst werden. Eine zentrale Informationsplattform, eine Art Informations-Cockpit, auf das alle Beteiligten den für ihre „Rolle“ passenden Zugriff haben, ist hierfür bedeutend.

Erfolgreiches IT Security Monitoring hat eine weitere, wichtige Komponente: eine umfassende Analysetiefe

Der Schwachstellenzustand sämtlicher IT-Systeme und Applikationen, der gesamte interne Netzwerkdaten- sowie der Internetdatenverkehr für sämtliche Internetzugänge und die Verhaltensinformationen aller relevanten IT-Systeme (beispielsweise Log-Daten von Systemen und Applikationen) muss kontinuierlich betrachtet werden.

Konfigurationsänderungen auf IT-Systemen sollten ebenso berücksichtigt werden wie unerlaubte oder unerwünschte Software, die darauf läuft. Laufend aktualisierte Inventar- und Konfigurationsübersichten sind notwendig, um korrekte Risikobehebungsmaßnahmen ableiten zu können. Eingehende Dokumente und E-Mails sollten mit modernsten Sandboxing-Technologien analysiert werden.

Dieses „allumfassende“ Paket stellt eine Herausforderung dar, ist jedoch zentral für einen effektiven Schutz der IT-Systeme: Angreifer suchen immer das schwächste Glied in einer komplexen IT-Landschaft.

Genau diese Suche gilt es aus Sicht der IT-Sicherheitsverantwortlichen zu erschweren. Das zentrale Ziel des IT Security Monitorings ist die drastische Verkürzung der Zeitspanne zwischen einem Angriff und seiner Entdeckung. Jeglicher Schaden, sei es durch Betriebsunterbrechung oder -störung wird so am effektivsten minimiert.

Ein Verschließen aller Einfallstore für Angriffe auf die IT in der zivilen Luftfahrt ist heute unmöglich. Umso besser muss deshalb die Reaktionsfähigkeit auf tatsächliche Risiken ausgebaut sein.

0 Kommentare zu diesem Artikel
2181511