Risiko gehackte GPS-Systeme

Standortbestimmung per Satellit ist nicht mehr wegzudenken aus dem privaten und dem Business-Alltag. Doch wie angreifbar ist GPS tatsächlich? Und welche Unternehmen sind besonders gefährdet? [...]

Der Genfer Auto-Salon 2019 war Schauplatz eines Hacker-Angriffs auf zahlreiche Navigationssysteme. /c) PhotoMix company Pixabay

Angesichts der vielen Einsatzgebiete ist GPS ein attraktives Ziel für Betrüger und Hacker. Allerdings stellten teure Hardware und nötiges Fach-Knowhow bislang eine Hürde dar, die großflächige Angriffe schwierig machten. Das hat sich mittlerweile geändert.
Bei GPS-Spoofing platziert der Angreifer einen Funktransmitter in der Nähe eines Ziels, um GPS-Signale zu stören. Er kann verhindern, dass Daten gesendet werden, oder auch falsche Koordinaten oder Zeitangaben übermitteln. So hatten beispielsweise unbekannte Hacker den Genfer Auto-Salon im März 2019 angegriffen. Sie änderten die Anzeigen der Navigationssysteme von Audi, Peugeot, Renault, Rolls-Royce, VW, Daimler-Benz und BMW auf den Ort Buckingham in England und das Jahr auf 2036. GPS-Spoofing kann auch in Form schadhafter Smartphone-Anwendungen stattfinden, die die Standortdaten eines Geräts beeinflussen. Möglich sind zudem Cyberattacken auf vernetzte Systeme, die auf GPS-Daten basieren.

Arten des GPS-Spoofing


In der Vergangenheit wurden hauptsächlich staatlich unterstützte Akteure für fähig gehalten, Navigation zu manipulieren. Laut dem gemeinnützigen Center for Advanced Defense Studies (C4ADS) kosteten Signalgeneratoren, die GPS-Signale manipulieren können, Tausende Dollar und mussten von Fachleuten betrieben werden. Solche groß angelegten Angriffe mit politischem Hintergrund gibt es immer noch. Ein Report des C4ADS besagt, Russland habe mehrfach Standortdaten in der Nähe von politisch sensiblen Zielen manipuliert.

Heute ist GNSS-Spoofing aber auch wesentlich einfacher realisierbar. Für weniger als 300 Dollar sind tragbare Software-Defined-Radio (SDR)-Geräte mit aufgespielter Open-Source-Software erhältlich, die GPS-Datenübertragungen aus der Distanz stören können. Ein Angreifer kann solche Störsender auf den GPS-Empfänger eines Ziels richten und so beispielsweise die Signale von nahen Gebäuden, Schiffen oder Flugzeugen beeinflussen. Je teurer und leistungsstärker die Transmitter sind, desto vielfältiger sind die Angriffsmöglichkeiten.

Für etwa 100 Dollar sind noch kleinere Varianten erhältlich, mit denen der Angreifer jedoch sehr nahe am Ziel sein muss. Sie sind nur etwas größer als Smartphones. Es wäre also denkbar, solche Geräte im Handgepäck in ein Flugzeug zu schmuggeln oder sie per Drohne zu verteilen. Noch billiger ist es, die GPS-Geräte des Ziels selbst anzugreifen. So gibt es Smartphone-Apps, die die korrekten Standortdaten des Geräts überschreiben können. Einige davon sind kostenlos und haben Download-Zahlen im zweistelligen Millionenbereich. Mit solchen Anwendungen sind Unternehmen angreifbar, deren Geschäftsmodelle auf Smartphone-Ortung aufbauen. Uber hatte etwa ein Problem mit Fahrern, die mit solchen Apps falsche Standorte oder Routen erstellt haben, in der Hoffnung, bezahlt zu werden, ohne die Strecke zurückgelegt zu haben. Mittlerweile nutzt der Fahrdienstvermittler Machine-Learning-Technologie, um verdächtige Trips zu entdecken. So prüft Uber beispielsweise, ob der physische Standort des Fahrers mit den Höhendaten übereinstimmt.

Beispiele für Spoofing


Der oben genannte C4ADS-Report beschreibt fast 10.000 Beispiele, in denen Russland Satellitennavigation manipuliert haben soll. Betroffen gewesen seien über 1.300 Zivilfahrzeuge an zehn Orten in Russland, der Ukraine und Syrien.
In einem Berichtder International Civil Aviation Organization (ICAO) vom März 2019 werden Störungen der Satellitendienste im gesamten Mittleren Osten aufgeführt. Innerhalb der letzten zwei Jahre soll es 65 Zwischenfälle in der Region gegeben haben. Auch die amerikanische Schifffahrtsbehörde MARAD gab GPS-Warnungen für die Gewässer vor Zypern, Ägypten und Saudi-Arabien heraus. Weitere Berichte der US-Küstenwache verorten Störungen in Texas, Griechenland, Spanien und China. Hierzulande verzeichnete Eurocontrol, die europäische Organisation zur Sicherung der Luftfahrt, mehr als 800 GPS-Störungsfälle in der ersten Hälfte 2018. Neben böswilligen Attacken spielen auch widrige Umstände eine Rolle. So können beispielsweise technische Fehlfunktionen oder wetterbedingte Interferenzen Unternehmen, die mit GPS-Daten arbeiten, Probleme bereiten.

Welche Unternehmen sind gefährdet?


Laut Yonatan Zur, CEO von Sicherheitsanbieter Regulus Cyber, machte sich vor zwei Jahren nur die Verteidigungsindustrie Sorgen um GPS-Spoofing. »Heute gibt es dagegen viel mehr tatsächliche Angriffe und es wird nach Lösungen gesucht«, sagt er.
Im Grunde ist jedes Unternehmen, das Dienste zur Standort- oder Zeitbestimmung nutzt, anfällig. Solche Services sind in vielen Anwendungen alltäglich geworden. So nutzen Betriebe Satellitennavigation, um Material und Mitarbeiter zu lokalisieren, Just-in-time-Lieferungen an Fabriken zu koordinieren, Baumaschinen zu steuern oder die Produktivität in der Landwirtschaft durch gezielteres Düngen und Bewässern zu optimieren. Webseiten und mobile Anwendungen verwenden Standortdaten, um Kunden bessere Services anzubieten. In der IT-Sicherheit kommen sie neben Fingerabdruck oder Iris-Scan als biometrische Komponente bei der Multi-Faktor-Authentifizierung von Nutzern zum Einsatz.

Im Bereich der physischen Sicherheit nutzen einige Unternehmen für Schließanlagen GPS-basiertes Geofencing. Darunter ist das automatische Auslösen einer bestimmten Aktion zu verstehen, wenn eine definierte Grenze überschritten wird. »Viele Speditionen verwenden Geofencing, um zu verhindern, dass die Lieferwagen geöffnet werden, bevor sie ihr Ziel erreichen«, sagt Zur. Diebe würden diese Schlösser mit GPS-Spoofing umgehen oder den Standort eines gestohlenen Trucks verschleiern, wenn der Spediteur seine Flotte via GPS verfolge.

Immer mehr Angriffsflächen


Des Weiteren spielt GNSS bei sogenannten Emerging Technologies eine immer wichtigere Rolle. So bilden Standortdaten bei autonomen Fahrzeugen und Drohnen sowie in Augmented-Reality-Anwendungen die Grundlage für korrekte Funktionen. Jens Dose|IDg


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*