Sicherheitslücke Wlan:Angst vor Hacker-Angriffen auf Flugzeuge

A passenger uses a wireless tablet on an American Airlines airplane, which is equipped with Gogo Inflight Internet service, enroute from Miami to New York

Das FBI rät Fluggesellschaften, auf verdächtige Passagiere achten, die es auf das Wlan abgesehen haben könnten.

(Foto: Carlo Allegri/Reuters)
  • Der Sicherheitsexperte Chris Roberts wurde vom FBI festgenommen, weil er auf Twitter scherzte, sich ins Wlan-Netzwerk des Flugzeugs zu hacken, mit dem er gerade unterwegs war.
  • Er beschäftigt sich seit Jahren mit Sicherheitstechnik in Flugzeugen und warnte Airlines und Hersteller mehrfach vor unsicheren Wlan-Netzwerken.
  • Das FBI und andere amerikanische Behörden nehmen diese Bedenken ernst und raten Fluggesellschaften nun ihrerseits zur Vorsicht.

Von Simon Hurtz

Eine der ersten Regeln, die Journalisten lernen, lautet: Hüte dich vor Ironie! Es gibt immer jemanden, der sie nicht versteht. Wenn Chris Roberts diese Regel gekannt hätte, wäre ihm wohl eine Menge Ärger erspart geblieben. Doch er ist kein Journalist, sondern IT-Sicherheitsexperte, und so twitterte er vergangene Woche: "Sollen wir mal mit den Warnungen für die Crew herumspielen? Oder die Sauerstoffmasken anschalten?"

Das Problem: Als Roberts den Tweet abschickte, war er auf dem Weg von Chicago nach Syracuse im Bundesstaat New York - und saß an Bord einer Boeing 737. Zwar endete seine Nachricht mit einem Smiley, doch das FBI ist offensichtlich nicht für Ironie empfänglich. Als das Flugzeug landete, warteten bereits zwei Polizisten und zwei FBI-Beamte auf ihn. Roberts wurde vier Stunden lang verhört, sein Gepäck wurde beschlagnahmt, sein iPad, sein Firmen-Laptop und seine Back-up-Festplatten konfisziert.

Das FBI hatte Roberts schon lange beobachtet

Der Laptop gehört der IT-Sicherheitsfirma One World Labs, die Roberts vor sechs Jahren gegründet hat. Seitdem beschäftigt er sich mit Sicherheitslücken in Flugzeugen und hat Hersteller wie Boeing und Airbus jahrelang darauf hingewiesen, dass ihre Systeme anfällig für Cyber-Attacken seien. Das sagte Roberts dem amerikanischen Magazin Wired und vermutete, das FBI habe ihn ohnehin lange beobachtet, der Tweet hätte das Fass nun zum Überlaufen gebracht.

Roberts' schlechter Scherz war auch deshalb so folgenreich, weil er auf einen Bericht des US-amerikanischen Rechnungshofs (PDF) anspielte, der einen Tag zuvor erschienen war. Die Behörde warnte vor Hackerangriffen auf die Wlan-Netzwerke in Flugzeugen: In modernen Maschinen wie der Boeing 787 oder dem Airbus A350 und A380 seien das Wlan für die Passagiere und die Bordnetzwerke des Flugzeugs miteinander verbunden. Theoretisch sei es für Angreifer möglich, die Kontrolle über ein Flugzeug zu übernehmen und es abstürzen zu lassen.

In Amerika, wo der 11. September noch immer im kollektiven Gedächtnis ist und das Germanwings-Unglück die Debatte über Flugsicherheit neu entfacht hat, sorgte dieses Horrorszenario für heftige Kontroversen. Bereits 2008 hatte die US-Flugaufsicht Boeing gewarnt, dass der damals neu vorgestellte Dreamliner, ein modernes Langstrecken-Flugzeug, potenzielle Einfallstore für Hacker biete. Vor zwei Jahren behauptete der deutsche Hacker Hugo Teso, er könne einen Flugzeugabsturz herbeiführen - dafür reiche ihm ein Android-Smartphone.

Boeing und Airbus halten die Warnungen für unbegründet

Die Sicherheitsbedenken sind also nicht neu, und sowohl Boeing als auch Airbus wiegeln ab. Man habe längst "multiple Sicherheitsmaßnahmen ergriffen" und arbeite kontinuierlich daran, die technische Infrastruktur von Flugzeugen sicherer zu machen. Boeing zufolge könnten Piloten auf mehrere Steuerungssysteme zurückgreifen und müssten allen Änderungen am Flugplan manuell zustimmen.

Auch IT-Experten halten die aktuellen Warnungen des Rechnungshofs für überzogen oder zumindest rein theoretischer Natur. Auf Grundlage des Berichts könne man den Eindruck gewinnen, dass ein Angreifer mit einem Laptop ohne Probleme die volle Kontrolle übernehmen könne, sagt Andrey Nikishin vom Sicherheitsunternehmen Kaspersky. "Aber das stimmt nicht. Moderne Flugzeuge nutzen unterschiedliche Computer-Netzwerke."

Das ADFX, das wichtigste, sicherheitsrelevante System sei auch physisch von den anderen Netzen getrennt, ein Angriff somit unmöglich. Lediglich das sogenannte "Information Management On-Board", das den Status der Bordelektronik überwacht und etwa Wetterdaten anzeigt, könne möglicherweise angegriffen werden. Ein gut informierter Hacker sei dann theoretisch in der Lage, die Navigations- und Wetterdaten zu manipulieren.

Das FBI warnt Fluggesellschaften vor Hacker-Angriffen

Bruce Schneier, ebenfalls ein renommierter IT-Sicherheitsforscher, sieht das ähnlich. Flugzeug-Entführungen per Wlan-Hack seien zwar denkbar, schreibt er in seinem Blog - doch so unrealistisch, dass er sich deutlich mehr Sorgen über Cyber-Angriffe auf Autos, Medizintechnik oder andere vernetzte Geräte mache. Allerdings, und da ist er sich mit Nikishin einig, werfe bereits die theoretische Möglichkeit kein gutes Licht auf die Flugzeughersteller. Man dürfe heutige Infrastruktur nicht mit gestriger Sicherheitstechnik betreiben. Eine flächendeckende Modernisierung sei zwar teuer, aber dringend notwendig.

Modernisierungsbedarf sehen auch das FBI und die US-Transportsicherheitsbehörde TSA. Die Wired zitiert aus einer internen Mitteilung der beiden Behörden, in der sie Fluggesellschaften vor möglichen Angriffen auf Wlan-Netzwerke warnen. Bislang sei es bloße Spekulation, dass ein Hacker über das bordeigene Wlan den Kurs eines Flugzeugs verändern könne, doch man nehme die Hinweise ernst und prüfe, ob eine solche Attacke möglich sei.

Die mediale Aufmerksamkeit, die der Tweet von Roberts auslöste, könnte Trittbrettfahrer nach sich ziehen. Das FBI rät dem Flugpersonal deshalb, nach Passagieren Ausschau zu halten, die Kabel oder andere Geräte an die Netzwerkanschlüsse unter den Sitzen anschließen; außerdem solle die Crew die Wlan-Verbindung auf verdächtige Aktivitäten hin überwachen.

Chris Roberts' Lohn: Flugverbot statt Dank

Solche Warnungen dürften Chris Roberts in die Hände spielen, der die Fluggesellschaften seit Jahren auffordert, die Bordtechnik besser gegen Angriffe abzusichern - bislang seien seine Hinweise allesamt ignoriert worden. Gegenüber CNN sagte er, er habe seinen Laptop bereits 15- bis 20-mal während eines Fluges mit den Schnittstellen unterhalb der Sitze verbunden und so ins Informations-System des Flugzeugs eindringen können. Anderen Passagieren habe er erklärt, im Auftrag der Fluggesellschaft zu handeln; niemand sei misstrauisch geworden.

Der Fluglinie United Airlines war Roberts damit offensichtlich ein Dorn im Auge. Drei Tage nach dem Vorfall in Syracuse wollte Roberts nach San Francisco fliegen, um dort auf einer Sicherheitskonferenz einen Vortrag zu halten. Doch United Airlines verweigerte ihm den Zutritt zum Flugzeug und teilte mit: "Angesichts von Mr. Roberts' Behauptungen, die IT-Systeme von Flugzeugen manipuliert zu haben, haben wir im Interesse unserer Kunden und Crew-Mitglieder entschieden, ihn nicht mit United fliegen zu lassen."

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: