Digitale Technologien und Cybersicherheit auf Schiffen

Hackerangriffe auf die Bordinfrastruktur von Schiffen sind nicht länger nur ein „Albtraumszenario“, sondern Realität. Seestreitkräfte und ihre Crews sehen sich einer bisher unbekannten Dimension leiser und hybrider Bedrohungen ausgesetzt.

Um nach einem Vorfall Gegenmaßnahmen ergreifen zu können, müssen der Crew bereits vorher die Mittel vorliegen, die wichtige Infrastruktur zu überwachen und mögliche Bedrohungen zu erkennen. Es existieren einige typische Risikoumgebungen, in denen eine automatisierte und ununterbrochene Echtzeitüberwachung erforderlich ist, um schnell und effizient Gegenmaßnahmen zu ergreifen. Eine auf künstlicher Intelligenz (KI) basierende Datenanalyse sowie menschliche Faktoren machen den Grad der Risikominimierung bei Cyberangriffen in laufenden und zukünftigen Operationen aus.

 

Risikoanalyse und typische Angriffsszenarien

Eine wichtige Aufgabe, die erfüllt werden muss, ist die Besprechung und Bewertung kritischer und potenzieller Angriffsszenarien. Einige der Systeme des Boote können direkt angegriffen werden, andere über das Führungs- und Waffeneinsatzsystem. In Zeiten weit verbreiteter Digitalisierung und Vernetzung ist Cybersicherheit ein besonders bedeutender Sicherheitsaspekt, der für alle Plattformen eine immer wichtigere Rolle spielt.

Im Hinblick auf die Bordinfrastruktur ist es unerlässlich, Eindringlinge davon abzuhalten, Zugriff auf die IT des Bootes zu erlangen und somit Zugang zu Sensoren, Effektoren und Steuerungssystemen zu erhalten. Die private Internetkommunikation über Smartphones oder tragbare Speichergeräte muss vollständig isoliert von der Kommunikationsinfrastruktur des Bootes erfolgen, um Angriffe über manipulierte E-Mails oder USB-Schlüssel zu verhindern.

Das Szenario von Angriffen auf Kriegsschiffe, die mit vergleichsweise wenig Aufwand durch Staaten oder Organisationen erfolgen, die selbst keine eigenen Kriegsschiffe oder ausgebildeten Kampfkräfte besitzen, wird zunehmend wahrscheinlicher.

 

Potenzielle Angriffsvektoren und Risikofaktoren nach Kritikalität

Die entsprechenden Risikofaktoren, die die Wahrscheinlichkeit eines Angriffs oder einer Kompromittierung in der Infrastruktur bestimmen, können in vier Gruppen zusammengefasst werden:

  • Externe Schnittstellen: Militärische Einsätze und Übungen auf und unter Wasser werden in einem zunehmend multinationalen Kommunikationsumfeld durchgeführt. Manöver setzen eine übergreifende Kommunikation zwischen den NATO-Ländern voraus. Auch zuvor vollständig isolierte Netzwerke müssen Schnittstellen haben, die diese Anforderungen erfüllen.

  • Der Mensch: Angriffe können über die sozialen Netzwerke einer Person oder durch die Kompromittierung privater Smartphones erfolgen. Dies führt zur potenziellen Gefahr eines Zugriffs auf das Bordnetzwerk.
  • Wartungsschnittstellen: Solche Schnittstellen verwenden die Kommunikation außerhalb des Bootes und können somit eine unberechtigte Nutzung des Remote-Wartungszugriffs ermöglichen, über den dann Schadcodes eingeschleust werden.

  • Organisatorische Mängel bei der IT: Mängel dieser Art entstehen bei Nichteinhaltung der Leitlinien der ISO31000: Nutzung von Softwareversionen / Betriebssystemen, für die es keine Updates mehr gibt, ein unkontrolliertes Patch-Management, die Verwendung veralteter Virenschutzsoftware, oder unberechtigte Zugriffe auf Systeme aufgrund eines z.B. unsicheren BIOS-Passwortes.

 

Kontinuierliche Überwachung und Auswertung der Kommunikationsverbindung

Die Schlüsselkomponente dieses Überwachungssystems bildet eine automatische Überwachungseinheit, die potenzielle Vorfälle (Kompromittierungsindikatoren) in Echtzeit erkennt. Das System ist komplett eigenständig und kann in Verbindung mit einem an Land befindlichen CSOC (Cyber Security Operation Center) verwendet werden.

Hauptaufgabe des Systems ist die Auswertung der erkannten Ergebnisse im Boot durch die anwesende Besatzung und ohne dass ein Team von Cyberexperten an Bord nötig ist. Die Meldungen des Überwachungssystems sollen einfach auszuwerten sein, die Auswirkungen von Vorfällen nachvollziehbar machen und Mittel zur Wiederherstellung aufzeigen.

Das Thales-System zur Erkennung und Analyse von Schadsoftware scannt den abgehenden Datenverkehr auf Anomalien – vollständig nicht reaktiv. Bei Aktivierung des Systems werden selbst vergangene Angriffe erkannt.

Herkömmliche Netzwerksicherheitstools überwachen in erster Linie den eingehenden Datenverkehr (via Sandbox, Firewalls, Antivirenprogrammen, etc.). Die Thales-Lösung zur Erkennung schädlicher Bedrohungen konzentriert sich ausschließlich auf die Überwachung des ausgehenden Datenverkehrs. Sie identifiziert, welche der bereits installierten Sicherheitseinrichtungen wie Firewalls keinen angemessenen Schutz bieten.

Das Thales-System zur Erkennung von Schadsoftware besteht aus zwei Komponenten: Dem Sensor, der sich in den Netzwerksegmenten befindet, und einem zentralen Analysesystem zur Erkennung von schädlichen Bedrohungen, der mit dem Netzwerk des Boots verbunden ist.

Der Sensor extrahiert Metadaten aus dem Netzwerkverkehr (gespiegelt / SPAN-Daten) und übermittelt sie an das Analysesystem. Die Systemarchitektur aus Sensor und Analysesystem von Thales erkennt schadhafte Inhalte oder Datenkonstellationen, die auf einen Angriff hindeuten, indem der Netzwerkverkehr zwischen der ausgehenden Kommunikation und dem Internet in Echtzeit verifiziert wird.

Die Thales-Lösung zur Erkennung schädlicher Bedrohungen konzentriert sich auf die Merkmale der ausgehenden Kommunikation von Schadsoftware oder Schadprogrammen, die sich selbst auf Geräten und in Netzwerken installieren. Diese Methode ermöglicht eine genaue Übersicht über fortgeschrittene oder gezielte Angriffe (Advanced Persistent Threats = APTs) sowie Schadsoftware, die über Firewall-Systeme in das Bordnetzwerk eingeschleust wurden.

 

Cybersicherheitsdienste auf der Basis künstlicher Intelligenz

Künstliche Intelligenz wird für die präzise Eingabe von Daten in die „Threat Intelligence Database“ und für die Speisung der Cyberüberwachungssensoren an Bord genutzt. Auf diese Weise werden sogenannte "False Positives" (Fehl-Erkennung) vermieden, die sogar schwerwiegender sein können als unerkannte Angriffe. Cybersicherheitsdienste auf der Grundlage künstlicher Intelligenz und maschinellen Lernens unterstützen die Anomalieerkennung in der Systemkommunikation.

Künstliche Intelligenz sollte europaweit im Cybersicherheitssystem verwendet werden. Da militärische Einsätze multinational sind, müssen auch Entwicklung und Nutzung von KI multinational erfolgen.

 

Der Faktor Mensch

Die ausgebildete Besatzung weiß um die potenziellen Risiken und ist sich des genauen und umsichtigen Verhaltens bewusst, das nötig ist, um Cyberangriffe zu verhindern. Dies umfasst Kenntnisse von der korrekten Nutzung privater Smartphones bis zur eingeschränkten Verwendung externer und wechselbarer Speicher (USB-Stick).

 

Cyberangriffe auf Schiffe stellen ein realistisches Bedrohungsszenario dar. Aufgrund der zunehmenden digitalen Vernetzung in der Welt steigt das Risiko solcher Angriffe stetig. Potenzielle Risikofaktoren müssen analysiert und bewertet werden; potenzielle Angriffsvektoren müssen bekannt sein und ständig überwacht werden. Letztendlich müssen potenzielle Risikofaktoren minimiert werden, indem das Risikobewusstsein der Besatzung geschärft wird und strenge Vorschriften im Hinblick auf die Nutzung risikobehafteter und privater Kommunikationsmittel an Bord Anwendung finden.