Cyberangriffe auf Yachten: wenn aus Piraten Hacker werden

Anzeige

Ein sonniger Tag auf See geht zu Ende. Der Himmel färbt sich langsam rot und majestätisch bewegt sich die luxuriöse Yacht in Richtung Marina. Der Eigner und seine Familie hatten Geschäftsfreunde zu einem Ausflug auf das Mittelmeer eingeladen. Während der Rückfahrt sitzt er mit seinen Gästen am großen Tisch im Salon und bereitet die Unterzeichnung eines sehr großen Geschäftsvertrags vor. Plötzlich ändert das Boot seinen Kurs, die Beleuchtung führt ein Eigenleben. Auf der Brücke beginnt hektisches Treiben. Verzweifelt versucht die Bootscrew das Schiff wieder unter ihre Kontrolle zu bringen. Plötzlich erscheint auf einen der Monitore: »Sie wurden gehackt.« Die Forderung der Cyber-Angreifer: »Überweisen Sie uns die geforderte Summe binnen 24 Stunden in Bitcoins, nur dann erhalten sie die Kontrolle des Schiffes zurück. Andernfalls steuern wir das Boot auf ein Riff.«

 

Statt Piraten- jetzt Cyberattacken: Auch Schiffe sind verwundbar

Es liest sich wie ein Science-Fiction-Roman auf hoher See. Tatsächlich kommen Cyberangriffe auch in diesem Bereich vor. Bereits 1969 haben Mitarbeiter des MIT (Massachusetts Institute of Technology) den Begriff »Hacker« geprägt, mit dem eine Gruppe beschrieben wurde, die technische Geräte und Software manipulierten, um diese zu beschleunigen oder gar zu verbessern. John T. Draper, auch bekannt als »Cap’n Crunch«, hackt 1971 das amerikanische Telefonnetz mit einer Spielzeugpfeife und ermöglichte damit illegal das kostenlose Telefonieren. Der erste bekannte Hack, der einen nachweisbaren finanziellen Schaden versursachte. Bereits 1949 erwähnte John von Neumann in seiner Arbeit: ”Theory and Organization of Complicated Automata” die These, dass sich ein Computerprogramm selbst reproduzieren kann. Nur 35 Jahre später, wurde der erste Computervirus für UNIX von Fred Cohen in seiner Doktorarbeit vorgestellt. Im Januar 1986 wurde die erste Vireninfektion auf einem Großrechner an der Freie Universität Berlin entdeckt.

Ab 1990 wurde das Hacken für kriminelle Einzeltäter und Organisation interessant. Der russische Mathematiker Vladimir Levin hackte sich beispielsweise 1994 in das internationale Bankennetz SWIFT ein und erbeutete damit bei der Citybank 10 Millionen Dollar.

Der erste dokumentierte Angriff auf ein privates Boot erfolgte 2013. Studenten der Universität of Texas steuerten mittels GPS-Spoofing eine 80 Millionen-Dollar Superyacht auf einen manipulierten Kurs, ohne dass die Navigationsgeräte diesen Fehler bemerkten.

2017 ermittelte das FBI in einem maßgeblichen Cyberangriff auf die 46-Meter-Yacht »Lady May«, die zu diesem Zeitpunkt dem chinesischen Milliardär Guo Wengui gehörte. Das Boot befand sich in amerikanischen Gewässern und lies sich nicht mehr kontrollieren.

 

Die Liste ließe sich beliebig fortsetzen. Mit jeder Weiterentwicklung unserer digitalen Welt, vervielfacht sich auch die Möglichkeit eines Angriffs auf diese Systeme. Und selbstverständlich ist der Schaden immens hoch, wenn Daten digital vorliegen und beliebig oft kopiert werden können.

Der aktuelle IT-Sicherheitslagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fast die Situation wie folgt zusammen: […] Die Gefährdungslage ist weiterhin hoch. Im Vergleich zum vorangegangen Berichtszeitraum hat sie sich weiter verschärft und ist zudem vielschichtiger geworden. Es gibt nach wie vor eine hohe Dynamik der Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen. Darüber hinaus gibt es zum Beispiel mit den entdeckten Schwachstellen in Hardware eine neue Qualität der Bedrohung […] [1].

Was bedeutet diese Einschätzungen für Superyachten? Die Eigner investieren viel in die Elektronik ihrer Schiffe, auf der sie teilweise mehrere Wochen des Jahres verbringen. Zu den üblichen elektronischen Geräten wie Laptops, Tablets und Smartphones an Bord, zählen auch aktuelle Entertainmentsysteme, Online-Streamingdienste von Filmen für das Bordkino oder die Steuerung von Smart-Home-Funktionalitäten per App über das Bord-WiFi.

Alle diese Geräte kommunizieren über bootseigene WiFi-Netzwerke oder über ein spezifiziertes Netzwerk wie NMEA 0183. Ein Angreifer muss also versuchen eines der installierten Geräte anzugreifen, um sich dann innerhalb des Netzes weiter zu bewegen oder gefälschte Befehle in die Datennetze einzuschleusen.

Auf einer Konferenz in London demonstrierte ein Sicherheitsforscher, dass er in nur 30 Minuten in das WiFi einer Superyacht eindringen konnte. Er nutze hierbei das CCTV-System (Überwachungskamerasysteme), über das er, durch die nicht veränderten Werkseinstellungen, direkt zugreifen konnte. Ebenso bekannt wurde ein Angriff auf eine Yacht, bei der die installierten Internetrouter, speziell für Yachten, alle einen fest codierten Administrationsaccount hatten.

Ein Angreifer muss sich aber nicht zwangsläufig in der Nähe des Schiffes aufhalten, sondern kann versuchen über das Internet auf die Systeme zuzugreifen. Smart-TVs habe inzwischen eigene Betriebssysteme wie Google’s Chromecast, Google’s Android TV, Tizen, webOS oder Roku. Dafür gibt es dokumentierte Angriffe und nicht jeder Hersteller aktualisiert seine Software regelmäßig. Smart-Home-Systeme haben meistens eigene Server, auch diese können als Einfallstor für Angriffe genutzt werden, um darüber an die Endgeräte zu gelangen Auch wenn alle Passwörter regelmäßig aktualisiert werden, schützt dies nicht zwingend vor Angriffen. Denn eine Software ist per se nicht fehlerfrei.

In einem Automobil hat inzwischen die Anzahl der Zeilen Softwarecode die 100 Millionen Grenze überschritten. um Vergleich; Eine Boeing 787 hat in etwa sieben bis 14 Millionen Zeilen Software-codes (MLOC – Million Lines of Code). Die Studie »Lines of Code per Foot« von 2007 kalkulierte für eine 32-Meter-Yacht fünf Millionen MLOC. Die gleiche Studie prognostizierte 50 MLOC bei einer vergleichbaren Yachtgröße für das Jahr 2020. Ein nicht unwahrscheinlicher Wert, wenn man den Vergleich zur Automobilbranche zieht.

Es wird davon ausgegangen, dass pro einer Millionen Zeilen Software-code rund 6000 Fehler enthalten sind. Sehr gute Programmierteams erreichen auch ein Level zwischen 600-1000 Fehler pro MLOC. Dabei lassen sich möglichweise fünf Prozent aller Fehler als Schwachstellen nutzen.

Um diese Auswirkungen vielleicht noch einmal zu verdeutlichen: Bei einer 2007 abgelieferten 32-Meter-Yacht würden bei einer sehr guten Programmierarbeit rund 8400 Fehler auftreten, die sich auf ungefähr 420 Schwachstellen auswirken könnten.

Doch warum sollte sich ein Eigner oder der Yachtmanager Gedanken darüber machen? Ganz einfach, weil der Eigner und seine Gäste vielversprechende Ziele sind:

  • Das Abhören der Bordkommunikation kann politischen und wirtschaftlichen Mehrwert bieten
  • Ein Schiff kann als »Waffe« für Terror gegen die Zivilbevölkerung eingesetzt werden
  • Eine Yacht selbst hat einen hohen Wert und Cyber-Security-Attacken lassen sich zurzeit nicht versichern
  • Übernahme des Schiffes und Erpressung könnten Remote und ohne Einsatz von Piraten erfolgen

Es gibt also zahlreiche Gründe, warum eine Cyberattacke auf eine Yacht in Be-tracht gezogen werden könnte.

 

Schutzmaßnahmen für Schiffe und Luxusyachten

Bis zum 1. Januar 2021 müssen Unter-nehmen den IMO-Richtlinien für das maritime Cyber-Risikomanagement (MSC-FAL.1/Circ.3) zufolge, entsprechende Risiken in ihren bestehenden Sicherheitssystemen angemessen berücksichtigen. Passende Konzepte für Reeder und ihre Flotte existieren aller-dings noch nicht. Das soll sich ändern. Der Verein Hanseatischer Transportversicherer (VHT) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeln Muster-Sicherheitskonzepte. Das sollen sogenannte IT-Grundschutz-profile für den Land- und Schiffsbetrieb von Reedereien sein. Darin werden Mindestanforderungen an die IT-Sicherheit definiert, um sich effektiv und effizient gegen die steigende Zahl von Cyberattacken vorzubereiten [2].

 

Security by Design: Bereits beim Boots- oder Schiffbau an die Sicherheit denken

Es dreht sich also alles rund um die elektronische Schiffsarchitektur. Hier lässt sich ein Vergleich mit der Automobilbranche aufstellen. MHP berät bereits viele Automobilhersteller und Zulieferer bei der Umsetzung von bisherigen statischen Entwicklungsprozessen zu einem kontinuierlichen Security-Lifecycle-Management. Basierend auf diesen Erfahrungen sind grundsätzliche Regelwerke, und ein Konzept für Security by Design flexibel auf die Yachtindustrie zu adaptieren. Als erfahrenes Beratungsteam unterstützt MHP die Yachtmanager, die Designer, Konstrukteure, Eigner, Werften als auch deren Zulieferer bei der Definition von Sicherheitszielen und bei der Entwicklung von sicheren Produkten und Lösungen. Schon bei der Planung einer neuen Yacht kann das Risiko mittels einer »Threat Analyses« genannten Bedrohungsanalyse eingeschätzt und Maßnahmen er-griffen werden, um erkannte Risiken zu minimieren oder sogar auszuschließen. Mit Zulieferern und der Werft sollten diese Änderungen umgesetzt werden. Mithilfe von Penetrationstests und Funktionsanalysen lassen sich während des Baus einer Yacht die Sicherheitsziele kontinuierlich überprüfen.

 

Bei Übernahme einer Yacht – Systeme untersuchen

Doch was ist zu unternehmen, wenn ein Boot oder eine Yacht übernommen wird. Auch dann lassen sich solche Untersuchungen vornehmen. Bei der Übernahme einer Yacht können solche Untersuchungen auch direkt nach dem Verkauf vorgenommen werden. Vielleicht ergibt sich nicht die Möglichkeit auf ein bestimmtes System aufzustocken, um etwaige Risiken zu reduzieren, aber wer das Risiko kennt, hat die Möglichkeit sein Verhalten anzupassen. Security ist immer eine Mischung aus dem Trio: Product-Process-People.

Neben der technischen Umsetzung sollten bestimmte Prozesse etabliert werden, die sowohl im Regelfall gelten, als auch Vorgehensweisen im Ereignisfall. Nur dann lässt sich auf eine eventuelle Attacke an Board professionell reagieren.

Es muss stets mit einem Fehlverhalten von Menschen gerechnet werden. Viele der heutigen Angriffe nutzen diese »Schwachstelle« aus. Ransomware auf Industrieanlagen, Trojaner in behördlichen Netzwerken, meist wurden sie versehentlich über Mitarbeiter in das gut gesicherte Netzwerk eingeschleust. Hier muss das Bewusstsein geschärft und auch in Übungen mit der Mannschaft überprüft werden.

Die Crew auf unserer am Beginn des Artikels erwähnten Yacht hat die Situation erkannt und das Handbuch »Cyber Security Incident Processes« zur Hilfe genommen. Mithilfe der darin beschriebenen Anweisungen konnten die Systeme vom Netz genommen und neu gestartet wer-den. Gleichzeitig wurden Forensiker beauftragt, den Angriff zurückzuverfolgen. Am Ende kehrte die Yacht sicher in ihren Heimathafen zurück.

Marcus Klische, Associated Partner bei MHP und Cyber-Securtiy-Experte

 

Marcus Klische ist als Associated Partner bei der MHP Management und IT-Beratung GmbH, einer Tochtergesellschaft der Porsche AG, für den Themenbe-reich Cyber Security verantwortlich. Er hilft Kunden, den neuen Heraus-forderungen einer Hyper-Connected Welt zu begegnen.

[1] Bundesamt für Sicherheit in Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland 2018 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2018.pdf;jsessionid=6513825202C4DE6DE0F4E275089B4474.2_cid369?__blob=publicationFile&v=6
[2] Deutsche Verkehrs-Zeitung (DVZ): Artikel Schifffahrt besser vor Cyberrisiken schützen, 25.01.2019
https://www.dvz.de/rubriken/see/detail/news/schifffahrt-besser-vor-cyberrisiken-schuetzen.html

 

Sechs Mythen gefährden die Applikationssicherheit

Nichts ist wichtiger als die Sicherheit Business-kritischer Applikationen. Im Schadensfall gelangen Daten in unbefugte Hände, die Reputation leidet und enttäuschte Kunden wechseln zur Konkurrenz. Trotzdem ergreifen Manager und IT-Verantwortliche nicht die notwendigen Sicherheitsmaßnahmen, kritisiert René Bader, Lead Consultant Secure Business Applications EMEA bei NTT Security. Der Sicherheitsexperte entzaubert sechs irreführende, weit verbreitete Mythen, die die…

State of Cybersecurity Report: Gesteigertes Sicherheitsbewusstsein

Die digitale Transformation treibt Unternehmen dazu, ihre Sicherheitsmaßnahmen zu überdenken. Immer mehr konzentrieren sich IT-Experten auf IoT und Cloud und entwickeln eigene Systeme zum Schutz gegen Cyberbedrohungen.   Der Report »State of Cybersecurity Report 2019« von Wipro Limited unterstreicht die wachsende Bedeutung der Cyberabwehr für Unternehmen, den CISO als neue Rolle im Vorstand und belegt…

Interview mit Sebastian Rohr: IT-Sicherheit – keine Stolperfalle, sondern Sprungbrett

Durch Industrie 4.0, IoT, digitale Transformation und umfassende Vernetzung bekommt ein gesicherter Zugang zu IT-Systemen allerhöchste Bedeutung. Die bisherige Abschottung vieler Unternehmen nach außen ist nun allerdings obsolet. Wie eine sichere Authentisierung aussehen kann, zeigt Sebastian Rohr, CTO der APIIDA AG aus Groß-Bieberau.

Sicherheitsstudie enthüllt das Patching Paradoxon

68 % der deutschen Sicherheitsabteilungen planen, in den nächsten 12 Monaten mehr Personal für Vulnerability Response einzustellen. Mehr Arbeitskräfte allein garantieren jedoch noch keine bessere Sicherheit. Erst mit einer Automatisierung von Routineprozessen sowie Priorisierung von Schwachstellen, zusammen mit mehr Fachpersonal ergeben sich erhöhte Sicherheitslevel.   ServiceNow veröffentlicht eine neue Studie »Today’s State of Vulnerability Response:…

Cybersicherheit für Produktionsprozesse: Sicherheit im industriellen »Internet of Things«

Das »Internet of Things« (IoT) ermöglicht der produzierenden Industrie einen riesigen Innovationssprung. Soll IoT ein Erfolg werden, müssen Cyberangriffe und Netzwerkprobleme allerdings rechtzeitig erkannt und konsequent abgeblockt werden – und zwar ohne, dass sich die Produktionsprozesse dadurch verzögern. Benötigt werden dafür speziell auf die Industrie ausgerichtete IT-Sicherheitslösungen. Im Zeitalter des IoT werden Maschinen, Werkzeuge und…

Smartphone-Herstellungskosten: Samsungs teures Flaggschiff

Ende des Monats kommt Samsungs neues Flagship-Smartphone auf den Markt. Das Galaxy S8 ist mit leistungsstarker Hardware und einer guten Kamera ausgerüstet. Ein auf den ersten Blick ins Auge fallendes Detail ist außerdem das nahezu rahmenlose Display. All das haben sich die Südkoreaner eine ganze Menge kosten lassen. Die Analysten von IHS Markit taxieren die…

Sicherheit: Die digitale Transformation verändert die Risikolandschaft für Unternehmen

Der Weg ins digitale Business wird steiniger und Wegelagerer wittern Beute. Datenschutz und Datensicherheit sind zentrale Elemente, den Gefahren zu begegnen. Die digitale Transformation eröffnet neue Geschäftsfelder und bietet Chancen für jeden, der Mut und Augenmaß besitzt. Daten sind das neue Gold, doch genau darin spiegeln sich auch Ängste von Unternehmern wider: Deutsche fürchten sich…

Die Sicherheit der sozialen Medien ist problematisch

Untersuchung zeigt, welche Einfallstore Arbeitnehmer in der EU Cyberkriminellen durch die Nutzung von sozialen Medien und Messaging-Applikationen bieten. Unternehmen sind nach wie vor durch immer raffiniertere Bedrohungen aus dem Internet gefährdet, die aus Social Engineering resultieren – der systematischen Sammlung persönlicher und beruflicher Daten die häufig über soziale Medien erfolgt und dem Zweck dient, gezielte…

Sind die Dampfmaschinen eigentlich out?

2019 ist ein besonderes Jahr, denn es wird das 200. Jubiläum des Todes vom genialen Erfinder James Watt und das 250. Jubiläum vom Patent seiner Dampfmaschine gefeiert. In der modernen Welt ist die Elektrizität zur Selbstverständlichkeit geworden. Der Strom wird in Kraftwerken erzeugt und das wissen bereits alle Kinder. Aber denkt noch irgendjemand in diesem…

B2B Cyber Security Fairevent – Unternehmens-Lösungen und Erlebniswelt

Vom 04. – 05. März 2020 öffnet zum ersten Mal das Cyber Security Fairevent seine Tore. Eine konzeptionell neu ausgerichtete Veranstaltung die das Beste aus Messen & Events vereint.   Auf 5.000 qm, in der Halle 8 auf der Messe Dortmund stellen Cyber-Security-Unternehmen den Entscheidern, Verantwortlichen und Anwendern aus Industrie, Wirtschaft, Verwaltung und Wissenschaft aktuelle…