Seite 3: Satelliten – "komplexe Strukturen" mit "großer Angriffsfläche"

Inhaltsverzeichnis

Die Zahl der Starlink-Terminals in der Ukraine schätzt Potii auf 9.000 bis 10.000. Viele seien von Freiwilligen installiert worden. Der General warb für ein gemeinsames Rahmenwerk für die Cybersicherheit von Satelliten auf Basis bewährter Praktiken. Die derzeitige Weltrauminfrastruktur sei sehr anfällig für Cyberattacken, da sie "diverse Schwachstellen" aufweise. Es gelte auf jeden Fall, den Datenverkehr mit Satelliten gut zu verschlüsseln und am besten bereits auf die Post-Quanten-Kryptografie auszurichten.

Satelliten, die prinzipiell im Visier von Cyberkriminellen und staatlicher Hacker stünden, seien "komplexe Strukturen" und böten eine "große Angriffsfläche", warnte Sabine Philip-May, Expertin für Produktsicherung beim Deutschen Zentrum für Luft- und Raumfahrt (DLR), auf der Cysat. Sie seien teils zehn bis 15 Jahre alt. Es gebe vermehrt Links zwischen Satelliten, von denen aber "einige nicht verschlüsselt" seien und den öffentlichen Funkverkehr nutzten. Dieses Problem solle die Internationale Fernmeldeunion ITU angehen und dabei die ganze Wertschöpfungskette von der Antenne bis zum Betriebszentrum mit allen involvierten Computern berücksichtigten.

"Ich will keinen Millionen-Dollar-Satelliten mit Bluescreen"

Selbst kleine CubeSats könnten eine Gefahr für andere Weltraumobjekte darstellen, gibt Philip-May zu bedenken: "Es gibt keine unkritische Infrastruktur im All." Die Astrophysikerin malt ein dramatisches Szenario aus, das "wir unbedingt ernst nehmen sollten": So könnte ein Angreifer mit einem 1.000-Euro-Budget einen Satelliten mit einer öffentlichen Funkverbindung und eigenem Antrieb hacken und bei ähnlicher Flughöhe etwa auf die Internationale Raumstation ISS stürzen. Genauso wichtig sei es, große geostationäre Erdtrabanten und die Herkunft der darauf eingesetzten Software sowie deren Absturzsicherheit genauer in den Blick zu nehmen: "Ich will keinen Millionen-Dollar-Satelliten mit Bluescreen."

Um so eine Gefährdungslage zu verhindern, hat die Europäische Weltraumorganisation ESA Ende 2019 den CubeSat OPS-SAT ins All geschossen. Dabei handelt es sich um ein fliegendes Hard- und Softwarelabor mit den Maßen 10 cm × 10 cm × 30 cm. Dessen Zweck ist es, eine Vielfalt an Experimenten zu ermöglichen. Er kann dafür über verschiedene Verbindungen und Schnittstellen genutzt werden. Über 130 Forschungsversuche aus 26 Ländern seien bereits angemeldet und teils durchgeführt worden, freut sich der zuständige ESA-Manager David Evans. Eigentlich seien es zwei Geräte: Ein System zur Datenübertragung inklusive Kamera zur Erdbeobachtung, einem GPS-Sensor und Astrofoto-Montierung für die Nachführung kümmere sich um die Nutzlast, die letztlich ein weiterer Satellit sei.

Enthalten sei auch ein Befehls- und Kontrollprozessor in Form der Satellite Experimental Processing Platform (SEPP), die aus einer Dual-Core-ARM-Zentraleinheit und einem integrierten Schaltkreis bestehe, gibt Evans weitere Einblicke. Diese sei etwa fähig, Aufgaben bis hin zum Maschinenlernen auszuführen und mit der Erde kommunizieren. An Bord seien ein automatisches Datenerfassungssystem (ADCS) sowie Software wie Linux etwa für Java und Python, die sich normalerweise nicht auf ESA-Satelliten befinde. Dazu komme eine vergleichsweise schnelle Verbindung mit Bandbreiten zwischen 3 und 50 MBit/s, die den Einsatz des CCSDS File Delivery Protocols zur Dateiübertragung erlaube.

Probe aufs Exempel

Um auszuloten, was Angreifer mit so einem aufgemotzten Satelliten anstellen könnten, öffnete die ESA OPS-SAT für einen erstmaligen kontrollierten, ethischen Hack. Die Probe aufs Exempel machten vier IT-Sicherheitsexperten des französischen Technologiekonzerns Thales, drei davon mit offensiver Ausrichtung. Dem Team habe ESA die Binärdatei der SEPP zur Verfügung gestellt, legt Evans offen. Die Infrastruktur auf dem Boden sei bei OPS-SAT zudem völlig isoliert von der Technik im All. Die Operationen auf dem CubeSat liefen zudem nur im flüchtigen Arbeitsspeicher, um die Auswirkungen zu begrenzen.

Nach dreimonatiger Tüftelei sei es den Hackern gelungen, etwa die Kontrolle über Sensoren und Aktoren zu erlangen, zog Quentin Minster vom Thales-Ableger Thalium auf der Cysat ein Resümee. Es sei möglich gewesen, die Kamera zu manipulieren und so Falschinformationen zu verbreiten. Auch die Zerstörung oder Beschädigung der Plattform sowie die Unterbrechung der Mission wäre möglich gewesen. "Man könnte jeden Dienst auf der SEPP abschalten und die Batterien entladen", verdeutlichte Minsters Kollege Arnaud Gatignol. Der ESA habe man die gefundenen Schwachstellen mitgeteilt. Sie sei dabei, diese zu beheben.

Mit Linux-Standardrechten erlangte die Truppe die Kontrolle über die Applikationsebene und schleusten dann unter Ausnutzung mehrerer Schwachstellen etwa im Nanosat MO Framework (NMF) Schadcode ein. Es war ihnen nach eigenen Angaben etwa möglich, Shell-Befehle über einen verdeckten Kanal auszuführen. Um sich einen dauerhaften Zugriff zu sichern, injizierten sie eine Bibliothek, wofür sie Code mit einer Zip-Datei ersetzten, die nach einem Neustart ausgeführt wurde. Erschwerend sei dabei vor allem gewesen, ließ Brian Jouannic aus dem Thales-Verteidigungsteam durchblicken, dass für Uploads aufgrund der eingeschränkten Datenverbindung immer nur ein Zehn-Minuten-Fenster auf dem Satelliten zur Verfügung gestanden habe: "Wir konnten erst am nächsten Tag sehen, ob Code ausgeführt wurde." Letztlich hätten aber selbst Türen zur Bodenstation offen gestanden.

"Final Frontier" der Hackerszene

Vorige Woche sollte auf der Hackerkonferenz Defcon in Las Vegas ein vergleichbares Experiment über die Bühne gehen. Hier stand der CubeSat Moonlighter für den "Hack-A-Sat"-Wettbewerb bereit, den die von der US-Regierung finanzierte Aerospace Corporation am 5. Juni mit einer SpaceX-Rakete ins All brachte. Das Gerät sei mit zahlreichen Sicherheitsmaßnahmen darauf ausgelegt, gehackt zu werden, teilte Projektleiter Aaron Myrick dem US-Magazin Newsweek mit. Von Anfang an sei festgestanden, dass ein Antrieb vom Tisch sei. Moonlighter könne seine eigene Umlaufbahn nicht ändern. Bodenkontrolleure seien zudem imstande, das System neu zu starten und Eindringlinge rauszuschmeißen, wenn sie es zu bunt trieben.

Eine wissenschaftliche Auseinandersetzung mit der Sicherheit von Satelliten sei überfällig gewesen, schreibt ein Forscherteam der Ruhr-Universität Bochum und des CISPA-Zentrums für Informationssicherheit in einer Ende Juli publizierten Studie. Mehrere Betreiber hatten diesem Zugang zur Firmware ihrer jeweiligen CubeSats gegeben. Bei der Analyse entdeckten die Wissenschaftler sechs Arten von Sicherheitslücken bis hin zu ungeschützten Schnittstellen für die Fernsteuerung. Im angewandten Teil der Analyse konnten sie die vollständige Kontrolle über zwei von drei Satelliten übernehmen.

Als Einfallstor entpuppte sich dabei vor allem das Kommunikationsmodul. Dieses sollte als Eingangspunkt für Funknachrichten von der Bodenstation idealerweise eine Türsteherfunktion ausüben und verdächtige Befehle abwehren, heben die Forscher hervor. Gelinge es Angreifern jedoch, darüber einen Fehlerzustand in der Onboard-Software auszulösen, stehe ihnen quasi "das Gehirn des Satelliten" offen. Auch auf dem Chaos Communication Camp diese Woche bei Berlin bildete die Satellitenkommunikation als "Final Frontier" der Hackerszene einen Schwerpunkt. Sicherheitsexperten schauten dabei etwa auf die verwendeten Protokolle und kamen ebenfalls zum Schluss, dass der Raumfahrtsektor bei Schutzfunktionen gängigen Betriebssystemen und Web-Anwendungen hinterherhinke.