Cybersicherheit für luftgestützte Systeme: Projekt ACSE
12 April 2022
Am Forschungsinstitut CODE laufen derzeit über 30 Projekte aus verschiedenen Forschungsgebieten in den Bereichen IT-Sicherheit, Quantentechnologien und Smart Data. Im Interview erklären die beteiligten Forscherinnen und Forscher ihre Arbeit sowie mögliche praktische Anwendungsfälle. Heute: Prof. Dr. Wolfgang Hommel über das Projekt „Airborne Cybersecurity Enhancement (ACSE)“.
Herr Prof. Hommel, welche Herausforderungen gibt es bei der Cybersicherheit von Luftfahrzeugen?
Luftfahrzeuge haben sich über die letzten Jahrzehnte zu faszinierenden, aber auch sehr komplexen fliegenden, vernetzten Computersystemen entwickelt. Die Avionik, also alle digitalen und elektronischen Komponenten eines Flugzeugs, umfasst neben vielen anderen Komponenten auch zahlreiche interne und externe Kommunikationssysteme und wird zu großen Teilen softwaregestützt betrieben.
Neben der internen Kommunikation zwischen den verschiedenen Komponenten nimmt die externe Vernetzung, beispielsweise mit anderen Flugzeugen, Bodenstationen und Satelliten zu. Gleichzeitig unterstützt und übernimmt Software immer mehr grundlegende Aufgaben der Pilotinnen und Piloten, bis hin zu Luftfahrzeugen, die gar kein menschliches Personal – weder an Bord noch fernsteuernd vom Boden aus – mehr benötigen.
Wie in allen anderen Bereichen steigt mit der Komplexität der eingesetzten Software auch die Gefahr, dass sich potenziell gefährliche Fehler einschleichen. Hersteller von Flugzeugen entwickeln Hard- und Softwarekomponenten nicht nur selbst, sondern integrieren auch eine Vielzahl von über Lieferanten zugekaufte Teilsysteme. Somit ist auch der Themenbereich Supply Chain Security zu betrachten: Wie kann sichergestellt werden, dass zugekaufte Komponenten nur genau das tun, wofür sie gedacht sind? An welchen Stellen könnte es Angreifenden gelingen, gezielt unbemerkt sicherheitsrelevante Manipulationen einzuschleusen, die dann zu einem beliebigen Zeitpunkt ausgenutzt werden?
Um mögliche Bedrohungen greifbarer zu machen, hat das ACSE-Projektteam konkrete realistische Szenarien entwickelt. Können Sie eines davon schildern?
Das Spektrum denkbarer, aber realistischer Bedrohungen ist riesig. Wir fokussieren uns im Projekt auf die Softwareentwicklungsprozesse beim Hersteller, der Komponenten aus der Supply Chain integriert, sowie die eingesetzten Kommunikationssysteme.
Eines unserer Szenarien behandelt Fehler in der Verarbeitung von über Funk eingegangenen Daten. Dass das nicht gänzlich aus der Luft gegriffen ist, hat sich beispielsweise 2020 bei Smartphones und Tablets des Herstellers Apple gezeigt: Messaging-Nachrichten mit einer speziellen Kombination aus Text und Emojis führten zum Absturz der Messaging-App bis hin zum Crash des ganzen Geräts.
Nehmen wir also an, dass ein Lieferant ein Softwaremodul für den Avionik-Computer zur Verfügung stellt, das per Funk eingehende Nachrichten anderer Flugzeuge entgegen nimmt, aufbereitet und an andere Komponenten weiterleitet. Durch einen kleinen Programmierfehler kann sich die Software an bestimmten Zeichenfolgen in der Nachricht aber sozusagen „verschlucken“, was zu Seiteneffekten führen kann.
Im regulären Betrieb wird dieses Szenario nie auftreten, da die Nachrichtenformate standardisiert sind und alle Komponenten entsprechende Tests durchlaufen. Personen, die einen Angriff planen, wird das aber nicht davon abhalten, absichtlich eigentlich unzulässige Nachrichten zu senden.
Was für eine Rolle spielen insbesondere die Schnittstellen zu externen Netzwerken für mögliche Angriffe?
Bei einer ganzheitlichen Betrachtung von Bedrohungen muss davon ausgegangen werden, dass der Entwicklungs- oder Herstellungsprozess z.B. eines Lieferanten unterwandert werden kann. Ebenso ist zu berücksichtigen, dass sich Angreiferinnen und Angreifer physisch am Flugzeug zu schaffen machen können, wenn es am Boden ist.
Naturgemäß sind aber die externen Funkschnittstellen die einzigen, die während eines Fluges von außen zugänglich sind. Sie stellen für Angreifende also potenziell die einzige Möglichkeit dar, Daten von außen ins Flugzeug einzuschleusen. Beliebige Daten per Funk an ein Flugzeug zu schicken ist nicht besonders aufwendig. Über kostengünstiges sogenanntes Software-Defined Radio (SDR) kann grundsätzlich jede Person mit genügend krimineller Energie versuchen, mit diesen Schnittstellen zu interagieren – ein relativ einfach durchzuführender Sabotageversuch, mehr oder weniger genauso simpel wie das Blenden von Piloten mit Laserpointern. Die Funkschnittstellen benötigen also Schutzmechanismen, um nicht-autorisierte Zugriffe erkennen und unterbinden zu können.
Welche Ansätze werden im Projekt entwickelt, um solchen Bedrohungslagen zu begegnen?
Wir verfolgen in dem Projekt, das wir gemeinsam mit meinem Kollegen Prof. Dr. Stefan Brunthaler und seiner CODE-Forschungsgruppe durchführen, mehrere Ansätze parallel, um die Cybersicherheit von Luftfahrzeugen zu erhöhen.
Ein Lösungsbaustein ist die begleitende Analyse der für die Vernetzung eingesetzten Hard- und Softwarekomponenten. Bereits heute werden im gesamten Lebenszyklus, also auch schon bei der Spezifikation von Anforderungen, beim Design und bei der Entwicklung des Innenlebens von Flugsystemen "Safety"-Aspekte umfassend berücksichtigt; dem Bereich „Security“ muss mit Blick auf die zunehmende Vernetzung verstärkt Rechnung getragen werden: Die Safety garantiert Ausfallsicherheit und Schutz von Leib und Leben, die Security dagegen schützt unter anderem vor einem unautorisierten Zugriff und gezielten Angriffen auf vernetzte Systeme.
Bei bereits bestehenden Flugsystemen müssen Security-Aspekte also entsprechend aufwendig nachträglich analysiert und bewertet werden. Unser Ziel ist es, möglichst viele Arbeiten, die bisher manuell ausgeführt werden mussten, weitgehend zu automatisieren, damit sich das Fachpersonal auf vertiefende Analysen fokussieren kann.
Ein zweiter Baustein ist die methodische und durch die Integration dedizierter Software-Tools erweiterte Unterstützung des gesamten Software-Entwicklungsprozesses beim Hersteller: Neben der Arbeit mit zugelieferten Komponenten entwickeln Luftfahrtunternehmen auch eigene Software.
Das Ziel unserer Arbeit in ACSE ist aber nicht nur die Sicherheit der resultierenden Software, damit sich keine von Angreifenden ausnutzbaren Fehler unbemerkt einschleichen, sondern auch die Absicherung des gesamten Prozesses und der für die Entwicklung eingesetzten technischen Umgebung an sich.
Wie könnte die Software-Entwicklung für luftgestützte Systeme konkret verbessert werden?
Flugzeuge haben – anders als heutige Consumer-Elektronik wie Smartphones oder PCs – eine sehr lange Betriebsdauer, wobei einzelne Hard- und Softwarekomponenten im Rahmen von Wartungsarbeiten erneuert werden können. Dennoch stammen große Teile vieler Softwarekomponenten noch aus einer Zeit, in der zwar bereits rigoros auf Safety geachtet wurde, was aber auch der IT-Security dient, die allerdings noch nicht explizit im Fokus war.
Diese Historie und die sich abzeichnenden Entwicklungen von möglichen Cyberbedrohungen müssen bei Analyseverfahren für die Softwarequalität und bei der Umsetzung moderner und innovativer, Security-orientierter Entwicklungsprozesse berücksichtigt werden. Wir wollen die beteiligten Fachleute möglichst früh im Entwicklungsprozess auf potenzielle Fehlerquellen hinweisen, müssen aber gleichzeitig die Anwendungsfreundlichkeit pragmatisch sicherstellen: Nahtlos in den Prozess integrierte, sicherheitsspezifische Analyse- und Testwerkzeuge dürfen keinen großen zusätzlichen Aufwand für die Entwicklerinnen und Entwickler bedeuten und sollen als nützliche, nicht als lästige Maßnahme wahrgenommen werden. Insbesondere dürfen sich durch die Analysen auch bei den sehr komplexen Softwarekomponenten keine spürbaren Verzögerungen ergeben.
Als weitere Maßnahme evaluieren wir moderne, sicherheitsorientierte Programmiersprachen für echtzeitfähige Softwaresysteme, die in zukünftigen Neuentwicklungen zum Einsatz kommen könnten.
Was ist das Besondere am Projektkonzept von ACSE? Inwieweit greifen Forschung und Entwicklung hier direkt ineinander?
Das Projekt wird in enger Zusammenarbeit mit Airbus Defence and Space durchgeführt. Wir stehen somit in direktem Austausch mit den Entwicklerinnen und Entwicklern heutiger und zukünftiger Luftfahrzeuge. Das hilft uns dabei, die erarbeiteten Konzepte auch auf praxisrelevante Dinge wie die Vorgaben der Luftfahrtbehörden abzustimmen und direkt in die realen Entwicklungsabläufe integrieren zu können.
Prof. Dr. Wolfgang Hommel ist seit 2021 Leitender Direktor des FI CODE; zuvor war er bereits als dessen Technischer Direktor tätig. Seit 2016 hat Prof. Hommel die Professur für IT-Sicherheit für Software und Daten an der Fakultät für Informatik der UniBw M inne. In seiner Forschung am FI CODE befasst er sich schwerpunktmäßig mit Softwarearchitekturen und Protokollen für verteiltes Identity & Access-Management, dem Security Management in softwarebasierten organisationsübergreifenden Datennetzen und der Absicherung der Kommunikation u.a. von Internet-of-Things-Komponenten.
Teaserbild:© AdobeStock/ Karsten