Vulnerable Datenverbindungen im Orbit Warum CISOs über weltraumgestützte Angriffe besorgt sein sollten

Foto: Vit-Mar – shutterstock.com

Russland hat die Ukraine nicht nur am Boden angegriffen, als es am 24. Februar 2022 einmarschierte, sondern auch die Datenverbindungen im Weltraum. An diesem Tag führte “ein vielschichtiger und vorsätzlicher Cyberangriff” auf das KA-SAT-Netzwerk von Viasat zu einer teilweisen Unterbrechung des Satelliten-Breitbanddienstes.

Nach Angaben des Satellitendienstleisters hatte der Cyberangriff Auswirkungen auf mehrere tausend Kunden in der Ukraine und Zehntausende anderer fester Breitbandkunden in ganz Europa. Darunter befand sich auch die Fernüberwachung und -steuerung von 5.800 Windkraftanlagen des deutschen Unternehmens Enercon mit einer Gesamtleistung von 11 Gigawatt.

Lesetipp: Energiewende in Deutschland – Hacker zielen auf Solar- und Windkraftanlagen

Die Experten von Sentinel Labs kamen in einem Bericht nach dem Angriff zu dem Schluss, dass der Bedrohungsakteur den KA-SAT-Verwaltungsmechanismus in einem Supply-Chain-Angriff nutzte, um einen für Modems und Router konzipierten Wiper zu starten. Ein Wiper für diese Art von Geräten würde Schlüsseldaten im Flash-Speicher des Modems überschreiben, so dass es funktionsunfähig wird und neu geflasht oder ausgetauscht werden muss. Sentinel Labs berichtet außerdem, dass es sich bei dem Wiper um AcidRain handelt, eine ELF-MIPS-Malware, die für das Löschen von Modems und Routern entwickelt wurde.

Konfliktbedingte Angriffe können auch Zivilisten treffen

Viasat selbst hat nicht bestätigt, dass die Charakterisierung als “Supply-Chain”-Angriff zutreffend war. Es gebe keine Beweise dafür , behauptete ein Viasat-Sprecher per E-Mail. Der Angriff “betraf in erster Linie die ukrainische Zivilbevölkerung, die während des Konflikts keinen Zugang zu zuverlässigen Informationen der Regierung hatte”, heißt es auf der Website des CyberPeace Institute im Abschnitt Cyber-Bedrohungen. “Die Wiederherstellungszeit variierte, aber einige waren zwei Wochen lang ohne Internet”, heißt es weiter.

Craig Miller, Präsident von Viasat Government Systems, erklärt dazu: “Wir haben mit dem Betreiber zusammengearbeitet, um sofortige Updates zu implementieren, die das Netzwerk stabilisieren und gegen weitere Angriffe schützen. Dank Viasats interner Cyber-Expertise und -Fähigkeiten konnten wir die Sicherheit der meisten KA-SAT-Nutzer aufrechterhalten und eine schnelle logistische Reaktion einleiten, um die betroffenen Nutzer so schnell wie möglich wieder online zu bringen.”

Satelliten sind attraktive Ziele für Hacker

Neben der Bereitstellung von Satellitenbreitband bieten weltraumgestützte Kommunikationssatelliten eine breite und vielfältige Palette von Diensten für akademische, geschäftliche, kommerzielle, staatliche und militärische Nutzer. Dies macht sie zu einem attraktiven Ziel für Hacker, die viele Angriffspunkte haben, darunter die Steuerungssoftware an Bord der Satelliten, die Datenverbindungen zwischen ihnen und ihren Bodenstationen sowie bodengestützte Datennetze und Geräte wie Modems, die mit ihnen verbunden sind.

Obwohl der Viasat KA-SAT-Malware-Angriff offenbar darauf abzielte, den Internetzugang für ukrainische Zivilisten zu blockieren, sind weitere Arten von Cyberangriffen auf weltraumgestützte Datensysteme möglich. “Mein erster Gedanke – wegen der globalen Auswirkungen auf kommerzielle und militärische Anlagen – wären Angriffe auf die Satellitenkommunikation, um die GNSS/GPS-Navigationssignale zu stören. Die Gefahr durch Signal-Spoofing besteht ebenfalls”, erklärt Randall K. Nichols, stellvertretender Vorsitzender eines Unterausschusses des Institute of Electrical and Electronics Engineers (IEEE) für selbstheilende Systeme.

“Aus IT-Sicht sind alle Raumfahrzeuge, die Navigationsunterstützung benötigen, im Wesentlichen SCADA-Systeme (Supervisory Control and Data Acquisition), einer Vielzahl von IT-/Cyber-/Systembedrohungen ausgesetzt”, sagte er.

Nach Meinung des Viasat-Präsidenten hat es sicherlich mehr Cyberangriffe auf Weltraumressourcen und -dienste gegeben. “Wobei sich staatliche und kommerzielle Netzwerke täglich gegen Bedrohungen wehren müssen”, so Miller. “Das Umfeld, in dem wir heute arbeiten, ist anders als vor fünf, zehn oder 15 Jahren. Angriffe von allen Arten von Gegnern werden immer häufiger und raffinierter.” Das bedeute, dass staatliche und kommerzielle Netzwerke ihre Abwehrmaßnahmen anpassen müssten.

Die Gefahr von “Dual Use”-Satelliten

Erschwerend kommt hinzu, dass viele Satelliten so genannte Dual-Use-Satelliten sind, also Dienste anbieten, die sowohl von kommerziellen als auch von militärischen Kunden genutzt werden. So könnten “kommerzielle US-Satelliten als legitime Ziele angesehen werden, wenn sie im Konflikt in der Ukraine eingesetzt werden”, heißt es in einem Bericht der staatlichen russischen Nachrichtenagentur TASS im vergangenen Jahr. Und in einer Rede vor dem Ersten Ausschuss der UN-Generalversammlung drohte der russische Außenminister Konstantin Woronzow damit, dass “quasi-zivile Infrastrukturen ein legitimes Ziel für einen Vergeltungsschlag sein könnten.”

Dies trifft mit Sicherheit auch auf den Satelliten-Breitbanddienst Starlink von SpaceX in der Ukraine zu. “Einige Starlink-Terminals in der Nähe von Konfliktgebieten waren jeweils mehrere Stunden lang gestört”, meldete SpaceX-CEO Elon Musk in einer Twitter-Nachricht vom 5. März 2022. “Unser neuestes Software-Update umgeht die Störung. Bin gespannt, was als nächstes kommt!”

Für Laurent Franck, Experte für Satellitensysteme bei der Euroconsult Group, sind solche Drohungen und Aktionen keine Überraschung. “Wann immer ein kommerzieller Satellit auf einem Schlachtfeld und in einem Kriegskontext eingesetzt werden kann, wird er zur Zielscheibe”, erklärt er. Infolgedessen sind Drohungen wie die von Russland gegen kommerzielle US-Satelliten und das tatsächliche Stören von Starlink-Terminals zu erwarten, insbesondere aufgrund des Trends zur Militarisierung des Weltraums”.

Umgang mit weltraumgestützten Bedrohungen

Nach Meinung des IEEE-Experten können Sicherheitsverantwortliche zwar nichts gegen die militärischen Bedrohungen der Satelliten/Satellitendienste unternehmen. Aber sie hätten die Möglichkeit zu analysieren und zu bewerten, wo die Schwachstellen in ihren Kommunikationsketten liegen – sowohl in ihren eigenen Unternehmen als auch bei Drittanbietern von Satellitendiensten – und entsprechende Notfallpläne zu erstellen. “In der Tat obliegt es den CSOs und dem leitenden Programmmanagement, effektive Risikobewertungen durchzuführen, um ihre gesetzlich vorgeschriebene Sorgfaltspflicht zu erfüllen”, sagt Nichols.

Miller von Viasat ist der Ansicht, dass die größte Bedrohung für die Weltraumkommunikation die Unterbrechung der Kommunikationsfähigkeit ist, zum Beispiel durch einen Cyberangriff, eine Störung der Bodeninfrastruktur (Gateways und Glasfaserkabel), HF-Störungen oder durch direkte Angriffe auf das Raumfahrzeug.

“Nur weil sich Cyberangriffe gegen die weltraumgestützte Kommunikation richten, heißt das noch lange nicht, dass der Satellit/das Raumfahrzeug selbst oder die Infrastruktur der Bodenstation betroffen oder involviert sind, da das Netzwerk selbst oft das eigentliche Ziel ist”, so Miller.

Dabei gebe es keinen Unterschied zwischen Cyberattacken, die auf herkömmliche Kommunikationsnetze, Regierungsbehörden oder große kommerzielle Anbieter anderer Dienste abzielen, um die Kommunikation zu stören oder auf wertvolle Daten oder Informationen über geistiges Eigentum zuzugreifen, so Miller weiter. “Bei solchen Angriffszielen besteht auch die Gefahr durch eine Insider-Bedrohung – worüber Raumfahrtanbieter ebenfalls nachdenken müssen.” (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.