Drohnen gefährden IT-Sicherheit

Drohnen stellen spätestens seit den Ereignissen am Londoner Flughafen ein neues Gefahrenpotenzial dar. Während die Verantwortlichen im Luftverkehr daran arbeiten, sich gegen die Bedrohung am Himmel zu wehren, tun sich Unternehmen noch schwer. [...]

Nichts ging mehr in London: Unerlaubte Drohnen im Luftraum legten erst den Flughafen in Gatwick, dann in Heathrow über Stunden beziehungsweise Tage lahm. Mehrere zehntausend Passagiere waren die Leidtragenden, der Schaden für die Fluggesellschaften und Airport-Betreiber dürfte im zweistelligen Millionen-Bereich pro ausgefallenem Tag liegen. Die Störaktion zeigt, wie sensibel ein globaler Verkehrsknotenpunkt auf einen solchen Vorfall reagiert. Und die Bedrohung nimmt zu. Drohnen, die man bereits für ein paar Hundert Euro bekommt, sind inzwischen zu einem Massenprodukt geworden: Sie sind klein, leicht zu bedienen, überaus leistungsfähig, verfügen meist über hochauflösende Kameras und können je nach Bauart Nutzlasten bis zu zwei Kilogramm aufnehmen. Sie können aber auch sehr hoch fliegen, sind daher fast unsichtbar und kaum zu hören, was sie zu einem ganz neuen Risiko für die IT-Sicherheit macht. Dieses Risiko ist den Unternehmen nicht bewusst, auch in Sicherheitsstrategien werden Drohnen bislang nur selten berücksichtigt.

Ein Blick nach oben

Dabei ermöglichen Drohnen Angriffe auf interne Funknetze, sei es auf das WLAN, auf kabellose Verbindungen zu Peripheriegeräten wie Tastaturen, auf alle IoT-Systeme, die per Funk kommunizieren, und natürlich auf kabellose Systeme zur Gebäudesteuerung. Das Grundproblem besteht darin, dass Unternehmen zwar ihr Betriebsgelände mit Zäunen, Alarmanlagen und Zugangskontrollen schützen. Mit einer Cyber-Attacke „von oben“ rechnet aber fast niemand. Dabei können Angreifer ihre Drohnen stabil in der Luft positionieren und umgehen so die beschränkte Flächen-Abdeckung eines Funknetzes, dessen Reichweite normalweise nicht über das Betriebsgelände hinausgeht. Einmal platziert in luftiger Höhe, können Drohnen dann beispielsweise die Kommunikation zwischen IoT-Systemen und dem MES (Manufacturing Execution System) mitschneiden oder manipulieren. Wird das kleine Fluggerät auf einem Fensterbrett abgestellt, kann ohne weiteres die Kommunikation einer drahtlos angebundenen Tastatur und damit die Eingabe von Passwörtern „abgehört“ werden.

Eine andere Gefahr ist das Ausspähen mittels hochauflösender Kamera. Wenn in der Automobilbranche ein „Erlkönig“ auf die Teststrecke geschickt wird, landen Drohnen-Fotos schnell bei der Konkurrenz. Als eine Art Betriebsspionage hat sich Ende 2018 auch ein Drohnen-Einsatz beim Abschlusstraining des Bundesligisten TSG Hoffenheim herausgestellt: Vor dem Spiel gegen Werder Bremen hatte ein Analyst des norddeutschen Vereins mit einer Drohne die Trainingsmethoden der Konkurrenz ausspioniert. Die meisten Unternehmen rechnen aber kaum mit einem derartigen Angriff, dabei sind auf fast jedem Betriebsgelände interessante Dinge zu beobachten. Drohnen können beispielsweise durch das Fenster Bildschirme abfilmen oder die Eingabe von PIN-Codes bei Zugangssystemen erfassen.

Mit Hilfe der unbemannten Luftfahrzeuge können Angreifer zudem USB-Sticks mit Malware auf dem Firmengelände, etwa auf einem Parkplatz, fallen lassen. Die Chance oder besser gesagt die Gefahr, dass Mitarbeiter diesen USB-Stick mitnehmen und an einem Rechner einstecken, ist sehr hoch.

Das Bewusstsein fürs Risiko stärken

Die Abwehrmöglichkeiten gegen das Ausspähen durch Drohnen sind allerdings begrenzt. Zuallererst sollten sämtliche Funkverbindungen innerhalb eines Unternehmens gesichert werden, besonders durch konsequentes Verschlüsseln. Aktive Gegenmaßnahmen wie das Stören von Frequenzen, das sogenannte Jamming, sind aber nicht erlaubt, genauso wenig das Abschießen der Drohne. Rechtlich auf der sicheren Seite sind Unternehmen aber mit speziellen Erkennungssystemen. Wird beispielsweise durch die Analyse der Funkkommunikation eine Drohne erkannt, können die Jalousien heruntergelassen werden. Werden Fenster vorbeugend verspiegelt, ist es nicht mehr möglich, Bildschirme abzufotografieren. Zudem sollten die Tastenfelder für PIN-Eingabegeräte so angebracht werden, dass sie nicht von oben ausspioniert werden können.

Die wichtigste Maßnahme betrifft aber die Mitarbeiter: Sie müssen verstehen, dass ein Angriff nicht nur über das Internet droht, sondern auch aus der Luft. Unternehmen sollten das entsprechende Risikobewusstsein schaffen und die Gefahr durch Drohnen in ihrer Sicherheitsstrategie berücksichtigen. 

*Christian Koch ist Senior Manager GRC & IoT/OT bei NTT Security.