Mit der zunehmenden Digitalisierung und Vernetzung der Welt ist auch die Gefahr von Cyberbedrohungen größer geworden. Den Experten für Informationssicherheit zufolge geht es nicht darum, „ob“, sondern „wann“ eine bestimmte Einrichtung von Cyberkriminellen ins Visier genommen wird. Der Luftverkehr ist gegen solche Bedrohungen nicht immun. Es gibt Bedrohungen der Informationssicherheit, die zu Betriebsstörungen führen oder Auswirkungen auf die Flugsicherheit haben können.
Der Auftrag der EASA, einen sicheren Luftverkehr in Europa (und weltweit) zu gewährleisten, umfasst auch die Minderung von Informationssicherheitsrisiken. Das Regulierungspaket der Europäischen Union (EU) sieht vor, dass Organisationen, die im gesamten Ökosystem der Zivilluftfahrt tätig sind, Informationssicherheitsrisiken angemessen ermitteln, bewerten und behandeln und anschließend kontrollieren, um nachteilige Auswirkungen auf die Sicherheit der Bürgerinnen und Bürger zu vermeiden. Dieses Ökosystem umfasst Organisationen, die an der Konstruktion, Herstellung, Instandhaltung und dem Betrieb von Luftfahrzeugen sowie an der Ausbildung und an allen Tätigkeiten beteiligt sind, die für die Gewährleistung eines sicheren Flugbetriebs erforderlich sind.
Welche Bedrohungen gibt es für den Luftverkehr und woher kommen sie?
Der Luftverkehr ist ein „System von Systemen“, der – neben luftfahrttechnischen Erzeugnissen und den zugehörigen Technologien – Menschen, Prozesse und andere immaterielle Vermögenswerte umfasst, die ihrerseits anfällig für Bedrohungen der Informationssicherheit sind.
Alle Systeme sind komplex und eng miteinander verflochten. Es gibt zahllose Angriffswege, die zu einem Sicherheitsproblem führen können, und das Luftfahrzeug ist die letzte Verteidigungslinie. Jede Verbindung zwischen Luftfahrzeug und Boden (drahtlos oder nicht drahtlos), jede Instandhaltungskomponente, jedes industrielle System und natürlich die Lieferkette können Bedrohungen ausgesetzt sein. Bei diesen Bedrohungen handelt es sich um potenzielle Verstöße durch unbefugten Zugang zu sowie die unbefugte Nutzung, Offenlegung, Störung, Änderung und/oder Zerstörung von Informationen und Informationssystemen, die am Luftfahrtsystem beteiligt sind. Viele Angriffe können auf Fahrlässigkeit oder mangelndes Bewusstsein der Beschäftigten zurückgeführt werden.
Bedrohungen können von verschiedenen Parteien ausgehen, darunter Akteuren der Cyberkriminalität, Hacktivisten und sogar staatlich geförderten Akteuren. Die Beweggründe für solche Angriffe können finanzieller, politischer oder persönlicher Art sein, wie etwa die Suche nach Anerkennung oder einem Erfolgserlebnis.
Welche Branchen im Luftverkehr scheinen für böswillige Akteure am attraktivsten zu sein?
Nach den Daten, die das Cyber Threat Intelligence Team der EASA sammelt, scheinen Flughäfen Ende 2024 das beliebteste Ziel von Cyberangriffen zu sein, wobei mehr als 50 % der gezielten Angriffe auf den Luftverkehr entfielen. Bei den meisten dieser Angriffe handelt es sich um Denial-of-Services-Angriffe, bei denen Cyberkriminelle ein System mit hohem Datenverkehrsaufkommen überlasten, um es zum Absturz zu bringen. Dies kann mit hacktivistischen Aktivitäten verbunden sein, die häufig durch geopolitische Spannungen angeheizt werden. Offenbar bieten Flughäfen eine hohe Sichtbarkeit bei gezielten Angriffen, da die Auswirkungen nach einem Vorfall erheblich sein können. Flugannullierungen und genervte Fluggäste im Fall von Verspätungen eignen sich sehr gut als visuelles Material in Nachrichten.
Luftfahrtunternehmen scheinen das zweitattraktivste Ziel für böswillige Akteure zu sein, wobei rund 25 % der Angriffe auf Luftfahrtunternehmen abzielen. Neben Denial-of-Service-Angriffen sind Luftfahrtunternehmen auch von Ransomware-Angriffen (bei denen Cyberkriminelle die Daten eines Unternehmens verschlüsseln und für die Entschlüsselung ein Lösegeld verlangen) sowie von Verstößen gegen den Datenschutz betroffen. Daher haben die Angriffe nicht nur Auswirkungen auf die Sicherheit, sondern auch auf die Geschäftskontinuität und den Betrieb.
Weitere Branchen, die den erfassten Daten zufolge betroffen sind, sind Luftfahrzeughersteller und Instandhaltungs-, Reparatur- und Wartungsorganisationen sowie staatliche Einrichtungen, die täglich ebenfalls unterschiedlichen Arten von Cyberangriffen ausgesetzt sind.
Was macht die EASA, um den Luftverkehr widerstandsfähiger gegen Cyberangriffe zu machen?
Der Ansatz der EASA in Bezug auf die Cybersicherheit im Luftverkehr beruht auf vier Säulen: Zertifizierung von Luftfahrtprodukten, organisatorische Informationssicherheitsrisiken, Informationsaustausch und Kapazitätsaufbau.
Zertifizierung von Luftfahrtprodukten
Zunächst wurde die Cybersicherheit in diesem Zusammenhang von Fall zu Fall behandelt. Antragsteller (Organisationen, die die Zulassung eines Luftfahrzeugs beantragen) mussten die potenziellen Auswirkungen von Bedrohungen der Informationssicherheit auf die Sicherheit der Luftfahrzeugsysteme und -netze bewerten.
Da Luftfahrzeugsysteme und -teile immer stärker miteinander verbunden sind, gab es mehr potenzielle Angriffswege. Bedrohungen konnten daher nicht mehr fallweise angegangen werden, sondern erforderten einen ganzheitlichen Ansatz.
Zu diesem Zweck hat die EASA spezifische Anforderungen für die Zulassung von Luftfahrzeugen festgelegt, wonach Luftfahrzeugausrüstungen, -systeme und -netze, die getrennt und im Zusammenhang mit anderen Systemen betrachtet werden, vor vorsetzlichen unbefugten elektronischen Interaktionen, die sich negativ auf die Sicherheit des Flugzeugs auswirken können, geschützt werden müssen.
Organisatorische Informationssicherheitsrisiken
Da Bedrohungen der Informationssicherheit nicht nur auf die Konstruktion von Luftfahrzeugen beschränkt sind, sondern auch Menschen und Prozesse umfassen, wurde 2022 und 2023 ein neues Regelwerk veröffentlicht, das sogenannte „Teil-IS“, wobei IS für „Informationssicherheit“ steht (bestehend aus der Delegierten Verordnung (EU) 2022/1645 und der Durchführungsverordnung (EU) 2023/203,für diejenigen, die mehr darüber erfahren möchten). Teil-IS enthält Anforderungen mit dem Ziel, das Luftfahrtsystem vor Informationssicherheitsrisiken, die sich auf die Sicherheit auswirken können, zu schützen. Teil-IS umfasst Systeme und Daten der Informations- und Kommunikationstechnologie, die von zugelassenen Organisationen und Behörden für die Zwecke der Zivilluftfahrt verwendet werden. Damit die Ziele erreicht werden, müssen die Organisationen gemäß Teil-IS Informationssicherheitsmanagementsysteme einrichten, umsetzen und pflegen.
Informationsaustausch
Die dritte Säule ist der Informationsaustausch, der derzeit im Rahmen von zwei verschiedenen Teilprojekten durchgeführt wird. Das Europäische Zentrum für Cybersicherheit im Luftverkehr setzt sich aus Interessenträgern der Industrie und der Behörden zusammen und das Netzwerk der Cyber-Analysten aus Vertretern der Mitgliedstaaten. Dabei handelt es sich um Gemeinschaften, in denen Vertrauen unter den teilnehmenden Organisationen aufgebaut wurde, das es ihnen ermöglicht, Wissen, wie z. B. Hinweise zu Bedrohungen in Form von Berichten, Warnungmeldungen über mögliche Bedrohungen und Erkenntnisse aus der Analyse von Vorfällen, auszutauschen und die Zusammenarbeit zwischen den Mitgliedern zu fördern.
Kapazitätsaufbau
Nicht zuletzt sind Maßnahmen zum Kapazitätsaufbau ein wichtiger Bestandteil des Ansatzes der EASA zur Cybersicherheit. Angesichts der raschen technologischen Fortschritte ist es wichtig, dass das Cybersicherheitsteam der EASA auf dem neuesten Stand bleibt. Daher sind Schulungen ein wichtiges Element der Teamaktivitäten, neben der Forschungsarbeit, die für das Verständnis künftiger Bedrohungen und ein proaktives Vorgehen bei Cybersicherheitsbedrohungen wesentlich ist.
Forschungsprojekt im Rahmen von „Horizont Europa“: CYBER - Widerstandsfähigkeit des Luftverkehrs und Bedrohungslage im Bereich der Cybersicherheit
Im Jahr 2024 startete die EASA ein Forschungsprojekt zur Widerstandsfähigkeit des Luftverkehrs und die Bedrohungslage im Bereich der Cybersicherheit. Dieses Projekt zielt darauf ab, Cybersicherheitsbedrohungen zu ermitteln, die sich auf die Sicherheit des Flugbetriebs auswirken könnten. Mit diesem Wissen will die EASA dazu beitragen, ein stärkeres und widerstandsfähigeres Luftfahrtsystem für die Zukunft aufzubauen.
Die Cybersicherheitsgemeinschaft der EASA
Für diejenigen, die daran interessiert sind, alle oben genannten Tätigkeiten zu verfolgen, hat die EASA eine Cybersicherheitsgemeinschaft eingerichtet, in der wir Informationen über das breite Spektrum von Themen im Zusammenhang mit der Cybersicherheit im Luftverkehr austauschen. Unabhängig davon, ob Sie sich lediglich für dieses Gebiet begeistern oder Experte sind, wir würden uns freuen, Sie bei uns in der Gemeinschaft begrüßen zu dürfen, um mit Ihnen über zahlreiche interessante Themen im Bereich der Cybersicherheit im Luftverkehr zu diskutieren.
Einige Anmerkungen zu GNSS-Störungen: Jamming und Spoofing
Seit Februar 2022 ist ein deutlicher Anstieg von Jamming und Spoofing im globalen Satellitennavigationssystems (GNSS) zu verzeichnen, insbesondere in Regionen rund um Konfliktzonen sowie anderen sensiblen Gebieten wie das Mittelmeer, das Schwarze Meer, der Nahe Osten, die Ostsee und die Arktis. Vielleicht sind Ihnen sogar einige Nachrichten darüber untergekommen. Diese Vorfälle fallen ebenfalls unter die Cybersicherheit im Luftverkehr.
Beim Jamming werden Funkfreqenzinterferenzen vorsätzlich ausgelöst, wodurch die Verbindung von GNSS-Empfängern zu Satellitensignalen verhindert und so das System unwirksam oder beeinträchtigt wird. Beim Spoofing werden gefälschte Satellitensignale übertragen, um GNSS-Empfänger zu täuschen, wodurch falsche Positions-, Navigations- und Zeitdaten generiert werden, d. h., das System könnte den Piloten sagen, dass sie um 7 Uhr morgens über Paris fliegen, während sie in Wirklichkeit nachts über Rom fliegen. Diese Störungen können zu verschiedenen betrieblichen Herausforderungen für Luftfahrzeug- und Bodensysteme führen, haben sich bislang jedoch nicht auf die Sicherheit von Flügen ausgewirkt. Die EASA beobachtet das Phänomen laufend, um allen Akteuren im Luftverkehr beratend zur Seite zu stehen, wenn es Hinweise darauf gibt, dass die Sicherheit beeinträchtigt werden könnte.