Die meisten Security-Entscheider sind sich nicht im Klaren darüber, dass Drohnen zu den Bedrohungen für die IT-Sicherheit gehören, gegen die sie sich unbedingt wappnen sollten - selbst wenn sie diese nicht selbst einsetzen.
"Damit bringen Sie jede Technologie in die Luft"
Unmanned Aerial Vehicles (UAVs) oder Unmanned Aerial Systems (UAS), besser bekannt als Drohnen, kommen für eine Vielzahl von Anwendungsfällen zum Einsatz. Amazon hat in der Vergangenheit mit seinem geplanten Prime Air Lieferservice für Furore gesorgt - andere haben ihre eigenen Drohnenprojekte lieber still und heimlich vorangetrieben. Der Energieversorger Southern Company setzt sie beispielsweise für die Inspektion von Infrastruktur ein, der Versicherer Allstate Insurance nutzt UAVs, um Sachschäden aufzunehmen und Shell überwacht mit der Technologie weltweit seine Schiefergasbestände. Die Logistikdienstleister CVS und UPS haben sich indes zusammengeschlossen, um einen Drohnen-basierten Lieferdienst für Medikamente auf die Beine zu stellen.
Das Analystenhaus Gartner geht davon aus, dass die mit Drohnen erzielten Produktivitätsgewinne im Enterprise-Umfeld dazu führen wird, dass die Nachfrage weiter steigen wird: Bis zum Jahr 2028 soll die installierte Basis in diesem Bereich von 324.000 (2019) auf circa neun Millionen klettern.
Höchste Zeit also, sich der neuen Security-Gefahren, die der Einsatz von Drohnen mit sich bringt, bewußt zu werden, wie James Acevedo vom Security-Beratungshaus Star River weiß: "Eine Drohne ist ein Werkzeug, das in nahezu jeder Situation eingesetzt werden kann. Fotos zu Spionagezwecken sind damit ebenso möglich wie Lauschangriffe oder WiFi-Hacks - damit bringen Sie jede Technologie in die Luft."
- Das fliegende Auge
Im Test sollen unter Wasser platzierte Gegenstände mittels der an der Drohne angebrachten Kamera gefunden und identifiziert werden. - Lagebesprechung
Marc Schwarzbach (mi.) und Dennis Häfner (li.) von Autel Europe bei den technischen Vorbereitungen für die ersten Testflüge. Sie besprechen auch den Testablauf mit Markus Schmirler von der Wasserwacht München-Riem. - Einsatzort
Als Ort für den ersten Test wurde ein Ufer gewählt, das stark besucht ist und an dem die Gefahr im See durch einenSteilhang besonders hoch ist. - Warmfliegen
Dennis Häfner lässt den Quadrocopter in die Luft. - Das Equipment
Ein Taucher versenkt eine Kinderpuppe und ein hellgelbes Handtuch in wenigen Metern Tiefe. Die Kamera der Drohne soll die Gegenstände finden. - Fertig zum Tauchgang
Marc Schwarzbach wird die Gegenstände unter Wasser fixieren. - Zu wenig Ballast
Die Kinderattrappe will sich noch nicht unter Wasser bringen lassen. - Der erste Flug
Der Quadrocopter startet zur ersten Runde über den See. - Was ist zu sehen?
Die Drohnenkamera liefert Filme, auf denen die Projektbeteiligten versuchen, die Puppe und das gelbe Handtuch zu erkennen. - Aufmerksame Badegäste
Natürlich erweckt eine Drohne, die über den See fliegt auch die Aufmerksamkeit der Badegäste. Fragen ist erlaubt. - Im seichten Wasser
In geringer Tiefe sind die Puppe und das Handtuch natürlich gut sichtbar. Auch, weil dort das Wasser noch klar ist. - Erster Durchgang ist abgeschlossen
Die Tester der ersten Stunde (v.l.): Bernhard Rück (Wasserwacht), Marc Schwarzbach (Autel), Dennis Häfner (Autel), Markus Schmirler (Wasserwacht) und im Vordergrund der Quadrocopter. - Was zeigen die Filme?
Uwe Wagner (li.), technischer Leiter der Wasserwacht München Riem, sieht sich gemeinsam mit den Autel-Mitarbeitern die Filme auf einem Laptop-Bildschirm an. - Der zweite Testdurchgang
Später am Nachmittag und an einem anderen Ort lässt die Wasserwacht erneut eine Puppe unter Wasser. Im Hintergrund verfolgt die Drohne bereits das Rettungsboot. - Die Puppe weigert sich
Auch im zweiten Durchlauf weigerte sich die Puppe sofort unter Wasser zu gehen. - Es kann losgehen
Nun kann mit der Suche und den Filmaufnahmen begonnen werden. Das Filmmaterial werden die Projektbeteiligten in den kommenden Wochen auswerten. - Münchner Hochschulen unterstützen
Das zweite Projekttreffen findet in der TU München statt. Florian Holzapfel, Ordinarius des dortigen Lehrstuhls für Flugsystemdynamik und Alfred Schöttl, Leiter der Fakultät Elektrotechnik und Informationstechnik an der Hochschule für angewandte Wissenschaften in München finden das Projekt interessant und möchten es unterstützen. (v.l. Markus Schmirler, Alfred Schöttl, Marc Schwarzbach und Florian Holzapfel)
UAVs als perfekte Spionagewerkzeuge
Wie Max Klein, Chief Technology Officer beim Luftfahrtspezialisten SCI Technology, erklärt, mache ihre Funktionsweise die Drohne in den falschen Händen zu einer potenten Waffe: Sie überwinde traditionelle, physische Abwehrmaßnahmen mit Leichtigkeit, während der Angreifer dabei nicht einmal vor Ort sein muss. Genau deswegen verlasse man sich beispielsweise beim Militär schon seit längerem auf die Eigenschaften von UAVs und UAS - zu Überwachungszwecken und um Informationen zu gewinnen.
"Traditionelle physische Sicherheitsmaßnahmen können gegen Bedrohungen schützen, die schwimmen, kriechen, gehen oder rennen - aber in den meisten kommerziellen Umgebungen gibt es keinerlei Schutzmaßnahmen gegen Bedrohungen aus der Luft", so Klein. Die Chance, dass Unmanned Aerial Systems von Perimeter-Intrusion-Detection-Systemen erkannt werden, sei gleich Null, so der CTO weiter. Sogar wenn wirksame Abwehrmaßnahmen gegen UAS etabliert würden, sei es wegen des kabellosen oder sogar vorprogrammierten Remote-Betriebs nur sehr schwer, dem Betreiber des Fluggeräts auf die Schliche zu kommen.
Insbesondere zu Überwachungszwecken eigneten sich Drohnen besonders gut, so Klein. Sie seien schon aus wenigen hundert Metern Entfernung kaum mehr wahrzunehmen - weder optisch noch akustisch. Die verbauten Kameras seien hingegen sehr wohl in der Lage, aus dieser Entfernung Individuen zielgenau zu identifizieren. UAVs sind damit quasi perfekte Spionagewerkzeuge, denn ihre Fähigkeiten sind nicht auf optische Spionage beschränkt: "Man kann sie mit Hilfe simpler Hardware wie einem Raspberry PI auch mit Pentesting Software kombinieren, um ungesicherte Wireless Devices innerhalb der physischen Grenzen "abgesicherter" Umgebungen zu identifizieren und kompromittieren. Ohne nachhaltige Network Security genügt eine einzige Schwachstelle als Startpunkt für einen großangelegten Hackerangriff."
Technologien zur Abwehr von Drohnen sind mittlerweile auf breiter Basis verfügbar. Dabei sollten Sie jedoch in jedem Fall die jeweils geltenden, rechtlichen Vorschriften beachten.
Feindliche Drohnenübernahme
Sind UAVs bereits auf dem Werksgelände im Einsatz, besteht die Gefahr, dass diese gehackt, beziehungsweise zweckentfremdet werden. Im Dezember 2011 behauptete die iranische Regierung etwa, ihre Cybereinheit habe erfolgreich eine US-Spionagedrohne lahmgelegt und sie so konfiguriert, dass sie statt ihrer Basis in Afghanistan im Iran gelandet wäre. Schon einige Jahre zuvor hatte der Iran behauptet, Live Video Feeds von US-Drohnen abgefangen zu haben. Auch wenn sich Experten bis heute uneinig sind, wieviel an den Informationen tatsächlich dran ist: Unternehmen sollten sich darüber im Klaren sein, dass ihre Drohnen auf ähnliche Art und Weise manipuliert oder gehackt werden können. Bislang gibt es zwar kaum bekannte Fälle, in denen Angreifer eine kommerzielle Drohne "übernommen" haben. Es existieren allerdings zahlreiche Untersuchungen, die belegen, dass das technisch machbar ist. Schon 2013 demonstrierte ein Security-Experte beispielsweise, wie ein Angreifer eine Drohne so konfigurieren kann, dass sie andere UAVs in ihrer Nähe über das WiFi-Signal aufspürt, sie kompromittiert und fremdsteuert.
Sowohl die Kommunikation zwischen dem Remote Controller und dem UAV, als auch die elektronischen Flugkontrollsysteme sind angreifbar. Besonders besorgniserregend ist dabei, dass ein hoher Prozentsatz der kommerziellen Drohnen auf Open-Source-Technologie basiert, die nicht ausreichend auf Sicherheitslücken überprüft wurde, wie Security-Spezialist Acevedo weiß: "Out-of-the-box sind diese Devices alles andere als sicher."
Eine Sicherheitsanalyse von Drohnen vom Mai 2020 förderte zahlreiche verschiedene Bedrohungen und Sicherheitslücken in UAVs zu Tage. Dazu gehörten etwa GPS Spoofing, Malware-Infektionen, das Abfangen von Daten und bösartige Manipulationen. So ist das Video- und Daten-Streaming bei vielen Drohnen-Modellen nicht verschlüsselt, was die Kommunikation anfällig macht. Entsprechend kommt das Research Paper auch zu dem Fazit: "Viele UAVs weisen ernsthafte Designfehler auf und die meisten Modelle haben keinerlei Wireless-Schutzvorkehrungen an Bord."
UAV-Daten in Gefahr
Unternehmen, die Drohnen - zu welchem Zweck auch immer - einsetzen, brauchen sowohl eine Strategie, als auch Prozesse, um die Daten, die diese Systeme aggregieren, schützen zu können. Dazu sollten sie sich folgende Fragen stellen:
Wer sammelt die Daten und zu welchem Zweck?
Wer managt und kontrolliert die Daten?
Wer hat Zugriff auf die Daten?
Welche Maßnahmen kommen zum Schutz der Daten zur Anwendung?
Vielleicht denken Sie an dieser Stelle, dass die Daten einer Drohne ohnehin keinen Wert für Konkurrenten oder Angreifer haben. Allerdings können bereits routinemäßig gesammelte Geodaten oder solche, die mit der Infrastruktur in Zusammenhang stehen, für Rivalen nützlich sein.
Um die Gefahr eines Datenabflusses oder Datendiebstahls zu minimieren, können viele UAVs zum Beispiel so konfiguriert werden, dass sie während des Betriebs keine Verbindung zu Wireless-Netzwerken aufnehmen. Ist die Drohne wieder auf festem Boden gelandet, gilt es, einen Prozess für die Datenextraktion aufzusetzen. Auch dieser sollte nach Möglichkeit ohne eine Netzwerkverbindung vonstatten gehen - zum Beispiel mit Hilfe eines separaten USB-Drives. Ist die Extraktion abgeschlossen, sollten die Daten auf dem UAV gelöscht werden.
Handelskrieg mit Drohnen
Der sich immer weiter zuspitzende Handelskrieg zwischen China und den USA macht auch vor Drohnen nicht halt: Das Pentagon kündigte bereits vor einiger Zeit an, keine Drohnen mehr vom marktführenden chinesischen Hersteller DJI einzusetzen. Per Kongressbeschluss wurde festgelegt, dass US-Behörden und -Institutionen keine UAVs ausländischer Hersteller mehr einsetzen dürfen.
Ob diese Entscheidungen politisch motiviert sind oder nicht sei einmal dahingestellt - dennoch rücken diese Entwicklungen einen weiteren, entscheidenden Punkt ins Rampenlicht: Unternehmen sollten sich darüber im Klaren sein, wo und von wem ihre UAVs hergestellt werden. Schließlich können viele Drohnen zum Zweck von Updates "nach Hause telefonieren". Dass dabei auch andere Daten übertragen werden, ist eine gängige Sorge. Da die Remote-Control-Software und die Kommunikation dieser Systeme überaus komplex ist, sind sie auch in Sachen Security nicht so einfach zu analysieren.
Unternehmen sollten im Sinne einer Due Diligence Nachforschungen über den Hersteller einholen, um herauszufinden, wo der Code geschrieben wurde und aus welchen Komponenten das Device genau besteht. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.