Angriffe aus der dritten Dimension

Drohnen bilden einen neuen Angriffsvektor für die IT-Sicherheit. Doch die wenigsten Unternehmen sind sich bewusst, dass Gefahr nicht nur aus dem Netz, sondern auch von oben droht. Da die Abwehrmöglichkeiten begrenzt sind, ist es umso wichtiger, ein Risikobewusstsein zu entwickeln.

Drohnen, die sich beim Militär schon vor Jahren als unbemannte Luftfahrzeuge etabliert haben, sind mittlerweile zu einem Massenprodukt geworden. Die zivilen Drohnen beziehungsweise Quadrocopter sind klein, leicht zu bedienen und trotzdem überaus leistungsfähig. Sie verfügen meist über hochauflösende Kameras und können je nach Bauart Nutzlasten bis zu zwei Kilogramm aufnehmen. Sie sind leicht zu beschaffen und sehr billig: Ein halbwegs leistungsfähiges Gerät bekommt man bereits ab 500 Euro, wer 5000 Euro investiert, erhält schon ein professionelles Hochleistungssystem. Das Einsatzspektrum ist überaus vielfältig: Drohnen machen nicht nur spektakuläre Luftaufnahmen, sie ziehen beispielsweise auch Kabel zwischen Hochspannungsmasten, überwachen in der Landwirtschaft Felder und sie können Waren transportieren, was seit einiger Zeit als Alternative zum innerstädtischen Lieferverkehr diskutiert wird.
Weniger bekannt ist ein anderer Einsatzbereich: Drohnen als Waffe für Cyber-Angriffe. Dass sich die kleinen, unbemannten Fluggeräte auch dafür hervorragend eignen und so zu einem ganz neuen Risiko für die IT-Sicherheit geworden sind, ist den wenigsten Unternehmen bewusst. Selbst in umfassenden und gründlichen Strategien zur IT-Sicherheit spielen Drohnen in der Regel noch keine Rolle. Unternehmen sollten das dringend ändern, denn die Gefahren, die von Drohnen ausgehen sind vielfältig und beträchtlich.

So ermöglichen Drohnen Angriffe auf interne Funknetze, sei es auf das WLAN, auf kabellose Verbindungen zu Peripheriegeräten wie Tastaturen, sowie auf alle IoT-Systeme, die per Funk kommunizieren und natürlich auch auf kabellose Systeme zur Gebäudesteuerung. Das Grundproblem besteht darin, dass niemand mit einem Cyber-Angriff «von oben» rechnet. In der Fläche ist die Reichweite eines Funknetzes begrenzt, und man wähnt sich daher innerhalb einer Umzäunung oder eines Gebäudes einigermassen sicher. Dabei können Angreifer ihre Drohnen über dem Betriebsgelände stabil in Höhen von mehreren hundert Metern positionieren, in denen sie faktisch nicht zu erkennen sind. Sie können Drohnen aber auch auf Dächern, auf Anlagen oder sogar auf Fenstersimsen absetzen oder auch in Gebäude eindringen lassen, wo diese dann in der Lage sind, zum Beispiel die Kommunikation zwischen internen Systemen mitzuschneiden oder auch zu manipulieren. Eine Drohne auf einem Fenstersims kann ohne weiteres die Kommunikation einer drahtlos angebundenen Tastatur mithören und so die Eingabe von Passwörtern abgreifen.

Eine andere Gefahr ist das Ausspähen mittels einer hochauflösenden Kamera. Automobilhersteller haben damit schon Erfahrungen gemacht, wenn etwa auf einem abgeschirmten Testgelände ein «Erlkönig» fotografiert oder gefilmt wird. Andere Unternehmen rechnen wohl kaum mit einem derartigen Angriff. Dabei sind auf fast jedem Betriebsgelände interessante Dinge zu beobachten – vielleicht will der Angreifer die Teilnehmer an einer Konferenz filmen oder auch nur feststellen, wer wann zur Mittagspause geht: das stellt schon mal einen guten Ansatz für Social Engineering dar. Und natürlich kann man ganz einfach durch das Fenster Bildschirme abfilmen. Auf ähnliche Weise können Drohnen mit hochauflösenden Kameras die Eingabe von PIN-Codes bei Zugangssystemen erfassen. Auch hier ist das Grundproblem, dass die Gefahr für die meisten ganz unbekannt ist: Man schaut sich vielleicht um, ob einem jemand bei der PIN-Eingabe über die Schulter schaut, aber man achtet normalerweise nicht darauf, ob in 100 Metern Höhe eine Drohne steht, zumal sie in dieser Höhe mit blossem Auge kaum mehr zu erkennen ist. Kleine, niedrig fliegende Drohnen können sich wiederum hinter Fussgängern oder Autos
verstecken.

Drohnen können aber auch ganz einfach über einem Firmengelände, zum Beispiel auf einem Parkplatz oder einer Terrasse, ein paar USB-Sticks fallen lassen. Die Chance ist recht gross, dass ein Mitarbeiter einen solchen Stick aufhebt, ihn für einen des Unternehmens hält und ihn arglos an einem Rechner einsteckt, möglicherweise um ihn in bester Absicht an den Eigentümer zurückzugeben – es dürfte kaum einen einfachen und preiswerteren Weg geben, um Malware in ein Unternehmensnetz einzuschleusen.

Kaum Abwehrmöglichkeiten

Die Abwehrmöglichkeiten gegen das Ausspähen durch Drohnen sind begrenzt. In der Regel werden sie gar nicht wahrgenommen beziehungsweise sind je nach Operationshöhe gar nicht wahrnehmbar. Auch wenn Spähangriffe mit Dohnen über privatem Gelände klar rechtswidrig sind, so sind aktive Gegenmassnahmen wie das Stören von Kommunikationsfrequenzen, etwa durch Frequenz-Jammer oder durch Drohnen-Tracker, rechtlich verboten. Das gilt natürlich erst recht für das Abschiessen von Drohnen, zumal die Geräte dann ausser Kontrolle geraten und Dritte gefährden können. Aktive Massnahmen sind staatlichen Institutionen vorbehalten, dem Militär, Gefängnissen oder der Polizei, die zum Beispiel bei Grossveranstaltungen Drohnen abwehren kann.

Doch Unternehmen können sich nicht wegen der Drohnenabwehr in Hochsicherheitszonen verwandeln, hier muss im konkreten Fall die Risikoabwägung erfolgen, wie weit man gehen muss. Rechtlich erlaubt ist für private Unternehmen das Erkennen von Drohnen; dafür gibt es mittlerweile spezielle Systeme, die beispielsweise durch Analyse der Funkkommunikation arbeiten. Ist eine Drohne erkannt, so hilft dann nur, schnell eine Plane über den «Erlkönig» zu ziehen oder die Jalousien des Konferenzsaals herunterzulassen. Vorbeugend können beispielsweise Fenster verspiegelt werden, damit es nicht möglich ist, zum Beispiel Bildschirme zu fotografieren; Tastenfelder für PIN-Eingabegeräte müssen so angebracht sein, dass sie auch von oben nicht einsehbar sind.

Zur Sicherung der IT von Drohnen-basierten

Cyberangriffen müssen vor allem die Funkverbindungen innerhalb eines Unternehmens gesichert werden, besonders durch konsequentes Verschlüsseln. Und natürlich müssen Unternehmen für ein entsprechendes Risikobewusstseins sorgen: Mitarbeiter müssen sich darüber im Klaren sein, dass mit der wachsenden Verbreitung von Drohnen ein neuer Angriffsvektor entstanden ist, dass Gefahr nicht nur über die Netze droht, sondern auch von oben. Für eine umfassende IT-Sicherheitsstrategie ist die Berücksichtigung der dritten Dimension heute unverzichtbar.

Autor: Christian Koch ist Senior Manager GRC & IoT/OT bei NTT Security.