Als Laie frage ich mich ob eine Verbannung von elektronischen Geräten aus den Passagierkabinen wirklich das Problem, wie im Artikel beschrieben, verhindern mag. Wenn man die elektronischen Geräte mit dem Gepäck aufgibt und die dann im Frachtraum explodieren, wäre der Schaden doch genauso groß. Der Elektronikbann vermittelt doch wieder nur eine Scheinsicherheit. Konsequent wäre es, wenn man es soweit denkt, dass Passagiere separat zum Gepäck reisen. oder man die Mitnahme von elektronischen Geräten komplett untersagt.

Das Problem einer Bombe im Flugzeug hat Rudolf Braunburg schon in den Siebzigern in seinem Buch Deutschlandflug thematisiert. Trotzdem gab es danach Lockerbie und jetzt bieten die modernen Computerflieger den Hackern sogar Angriffsflächen einen Flug dank Internetschnittstelle zu manipulieren. Der Kunde verlangt zwar überall online zu sein, jedoch sollte man mal hinterfragen ob das alles auch der Sicherheit dient. Offenbar wird Fliegen immer mehr zum "Russischen Roulette".

Dass es so weit gekommen ist, ist allerdings schon traurig.

Das Problem einer Bombe im Flugzeug hat Rudolf Braunburg schon in den Siebzigern in seinem Buch Deutschlandflug thematisiert. Trotzdem gab es danach Lockerbie und jetzt bieten die modernen Computerflieger den Hackern sogar Angriffsflächen einen Flug dank Internetschnittstelle zu manipulieren.
Wirklich? Gab es dazu schon etwas Konkretes?

Was mich aber verwundert ist die Beschränkung auf Langstrecke. Alle Flüge von und nach USA. Was ist der Unterschied zwischen Flügen von JFK nach FRA und nach LAX, die Flieger stehen oft genug nebeinander an den Gates. Gibt es da andere Kontrollen? Oder ist das ein Einknicken vor den Lobbyisten? Das würde aber doch das ganze System in Frage stellen.

Bezüglich der Hacking-Gefahr: Meines Wissens herrscht sowohl für Internetverbindungen aber auch EFB etc. eine "Dateneinbahnstraße". Über eine Diode wird der Datenfluss physisch nur aus den operativen Flugzeugsystemen wie Naviatgion und Autopilot etc. in unkritische Systeme erlaubt, aber nicht umgekehrt.
Wer hierzu genauer Bescheid weiß, darf mich gerne verbessern.

Damit würden die Ami-Fluggesellschaften die gleichen Einschränkungen haben wie die ME§-Gesellschaften...Und Ami-Land würde an Attraktion verlieren.
Vierlleicht ziehen die Kanadier aber nicht mit...
"Spendid Isolation" - Stufe 1!

Bei Abwägung Attraktivität vs. Sicherheit wird und sollte die Sicherheit immer gewinnen. Was hat das mit Kanada zu tun? Die USA sagt alle Flüge von/nach USA, das lässt keinen Spielraum.

Ok, es gibt eine akute Gefährdungslage und aktuell keine Technik die das filtern könnte. Dann ist das eben so und wir müssen uns damit abfinden. Aber was unterscheidet domestic USA von International? Das ist bisher offen.

Trotzdem gab es danach Lockerbie und jetzt bieten die modernen Computerflieger den Hackern sogar Angriffsflächen einen Flug dank Internetschnittstelle zu manipulieren.

Das Internet für die Flugpassagiere hat nichts mit dem Datennetz für die Steuerung und Regelung eines Flugzeuges zu tun. Die oberste Ebene zur Steuerung eines Flugzeugs via Software wäre das Flight Management System (FMS -  https://leehamnews.com/2016/04/15/bjorns-corner-role-fms/). Da kann man zwar Daten aufspielen aber nicht via TCP/IP.

Früher war es nahezu unmöglich die Computer von Banken zu hacken. Das lag daran, dass fast jede Bank in der EDV ihr eigenes Betriebssystem hatte. Ein Flugzeug ist kein Windows-Betriebssystem. Der Autopilot kann immer vom Piloten ausgeschaltet werden.

Das Problem einer Bombe im Flugzeug hat Rudolf Braunburg schon in den Siebzigern in seinem Buch Deutschlandflug thematisiert. Trotzdem gab es danach Lockerbie und jetzt bieten die modernen Computerflieger den Hackern sogar Angriffsflächen einen Flug dank Internetschnittstelle zu manipulieren.
Wirklich? Gab es dazu schon etwas Konkretes?

Was mich aber verwundert ist die Beschränkung auf Langstrecke. Alle Flüge von und nach USA. Was ist der Unterschied zwischen Flügen von JFK nach FRA und nach LAX, die Flieger stehen oft genug nebeinander an den Gates. Gibt es da andere Kontrollen? Oder ist das ein Einknicken vor den Lobbyisten? Das würde aber doch das ganze System in Frage stellen.

Ja gab es, und wurde auf dieser Seite schon berichtet. Wir erinnern uns an den Passagier der in den USA mit seinem Laptop die Triebwerkssteuerung beeinflussen konnte. Ich würde sehr darauf hoffen dass die Avionik nicht auf Windows basiert. Allerdings gibt es electronic flight bags inzwischen auf gängigen tablets. Mir langt die Beteuerung der Hersteller nicht, ihre Systeme seien unangreifbar. Es laufen einfach zu viele Systeme über IT. Wo ein Wille ist, ist ein Weg diese zu manipulieren. Wer sagt uns mit Sicherheit dass nicht ein Systemprogrammierer mit Sympathien zur Terrorszene nicht ein Hintertürchen offen läßt und diese dann im Dark Internet vermarktet. Den Autopilot abstellen mag im normalen Flug ohne Konsequenzen bleiben. Es gibt aber genügend Fälle im Flug wo dies Fatal wäre. Man stelle sich einen Triebwerksausfall beim Start vor während einer Gewitterlage in Nähe des Flughafens. Dies beobachte ich in im Umfeld von FRA (EDDF) jetzt gerade im Sommer häufig. Da donnern gerade die widebodies auf ungewohnten Wegen in beträchtlich niedriger Höhe über uns hinweg. Wenn dann ein Triebwerk ausfällt mag man sich in der Situation ungern vorstellen. Oft führte das Abstellen des Autopilot zu falschen Manövern. Zuletzt der Absturz einer Dash 8-400 in Taiwan, gesundes Triebwerk nach dem Start abgestellt und gecrashed.

Trotzdem gab es danach Lockerbie und jetzt bieten die modernen Computerflieger den Hackern sogar Angriffsflächen einen Flug dank Internetschnittstelle zu manipulieren.

Das Internet für die Flugpassagiere hat nichts mit dem Datennetz für die Steuerung und Regelung eines Flugzeuges zu tun. Die oberste Ebene zur Steuerung eines Flugzeugs via Software wäre das Flight Management System (FMS -  https://leehamnews.com/2016/04/15/bjorns-corner-role-fms/). Da kann man zwar Daten aufspielen aber nicht via TCP/IP.

Früher war es nahezu unmöglich die Computer von Banken zu hacken. Das lag daran, dass fast jede Bank in der EDV ihr eigenes Betriebssystem hatte. Ein Flugzeug ist kein Windows-Betriebssystem. Der Autopilot kann immer vom Piloten ausgeschaltet werden.


Ob es möglich ist kritische Systeme von modernen Airlinern zu hacken kann ich mir durchaus vorstellen. Wie oben bereits beschrieben braucht es dazu nur einen dem IS loyalen Systemprogrammierer. Am Ende passiert dann doch immer das was man als unmöglich versichert hat. Was ich bei dieser Regelung am meisten kritisiere ist die Aufbewahrung im Frachtraum, als ob eine Explosion dort nicht minder katastrophal wäre. Das ist doch eine Pseudosicherheit die da vermittelt werden soll. Auch die Selbstentzündung von Akkus im Frachtraum ist nicht von der Hand zu weisen, wie wir bereits gelernt haben.

Man kann nur hoffen dass die Verantwortlichen Stellen im Lichte von offensichtlichen Bedrohungssituation das ganze System kritisch unter die Lupe nehmen und Sicherheitslücken schließen.

@Avokus
Soweit man das recherieren kann ist die Nummer mit der Triebwerksteuerung Fake News und scheint ein Aufschneider zu sein. Bisher wurde er wohl nicht angeklagt und das ist schon eine Zeit her. Das man in das Panasonic Entertainment KAM ist bekannt und behoben, aber das man vom IFE in den FMS kommt sollte unmöglich sein. Aber vielleicht gibt es hier dazu Spezialisten.

Ihre FRA Gewitterbeobachtungen und Befürchtungen in allen Ehren, aber das ist ein bisschen weit zusammengeholt.

Die Pseudosicherheit sehe ich auch so.

Wenn ich mir die Antworten hier so ansehe, dann basieren die meisten wohl eher auf Befürchtungen, als auf wahren Bedrohungen.

Als damals die A380 eingeführt wurde mit im AFDX Datensystem ging es genau um diese Fragen. Man hat das ganze natürlich durchleuchtet und entsprechend Schutzsystem bzw Restriktionen eingebaut.

Bsp: Im Internet, wie wir es alle nutzen ist jede Kommunikation erlaubt, die nicht irgendwo auf einer Liste steht und dadurch verboten wurde.

Im Flugzeug ist es genau anders herum, jede Kommunikation zwischen Computern muss in den Routing Listen genehmigt sein. Da steht auch drin welche Art von Kommunikation erlaubt ist. Also ob der eine nur Daten sendet und der andere emfängt und welche Art von Daten und in welcher Häufigkeit. Jede weitere Kommunikation wird vom System untersagt und nicht durchgestellt.
Damit hat man eigentlich das Funktionsprinzip eines Computerviruses schon unterbunden, da er zu den falschen Daten die er Senden will noch alle anderen Computer und Router so manipulieren müsste, dass diese die Daten auch Senden bzw empfangen und diese vom Netzwerk auch noch akzeptiert würden.

Dann zum Aufspielen von Software, dass geht nur am Boden, die physikalsiche Verbindung zu der Zentralen Anlaufstelle (Secure Communication Interface) für die Verbindung von Wartungs- und Flugsystemen wird, sobald das Fahrwerk ausfedert getrennt und die SCI abgeschaltet. Da ist ein ganz simples Relais drin, welches mit dem Ausfedern öffnet. Dieses Ausfedern oder das Anlassen eines oder mehrerer Triebwerke schaltet zudem die Computer (die Empfänger der Software von der SCI in diesem Fall) in einen Modus indem sie keine Softwareänderung akzeptieren.

Also müsste die Manipulation am Boden geschehen.

Der Sicherheitscomputer (SCI) ist nun so programmiert, dass sie Datenpakete über eine gewisse Anzahl und genau definierter Quellen empfängt, über das erwähnte Relais. (das sind einige wenige Netzwerkanschlüsse in der Kabine (nicht aber an den Sitzen)) und die Terminals im Cockpit, jedoch dort auch wieder nicht die Anschlüsse der EFB's. Diese Datenpakete müssen mit einem entsprechenden Verschlüsselungsystem erstellt und codiert sein. Die Software, die dort aufgespielt werden soll, muss also faktisch vorher von Airbus freigegeben worden sein.

das IFE zum Beispiel kann zudem physikalisch keine Daten an die oben genannte Diode senden, die Leitungen zwischen Diode und IFE sind nur zweiadrig und nicht wie im Netzwerk üblich vieradrig ausgelegt und mit einen bestimmten TX Anschlüsse der Diode zum einen und RX Anschlüsse beim IFE zum anderen verbunden. Darüber werden bsp Daten für die Airshow übermittelt. Dafür würde eine Routingerlaubnis dann vereinfacht so aussehen.

ADR1 xtm IFE, Router x, router y, OWD, IAS, Datentyp z, 30ms

Also übersetzt.
Air Data Reference 1 übermittelt an IFE über Router x, Router y und die OWD die indicated Airspeed vom Datentyp z und das alle 30ms

Sollte nun jemand es schaffen ins IFE einzubrechen, ist spätestens dort Ende. denn von dort kann er seine Software nicht an die OWD und dann weiter an die SCI schicken, die SCI ist im Flug aus und OWD darf generell keine Daten an die SCI schicken sondern nur empfangen.

Das alles mit einem Laptop aus der Kabine zu umgehen, fehlenden elektrische Leitungen (kurz Kabel) einzubauen, Relais zu schalten und gleichzeitig alle Computer umzuprogrammieren damit diese in der Luft eine Softwareänderung akzeptieren, diese Software durch einen ausgeschalteten Computer zu schicken, mit einem Software-Verschlüsselungssytem ich nicht kenne über eine Netzwerk, welches jegliche nicht genehmigte Kommunikation unterbindet, halte ich für nahezu unmöglich.

Der Fall aus den USA, wo man angeblich geschafft hat auf die ECU's zu kommen, war wie schon gesagt, eine einfache Hochstaplerei.

@menschmeier
Na das ist doch mal eine Info :-) Vielen Dank für die ausführliche Beschreibung und Klarstellung!

Nach 9/11 kam ja mal die Idee auf, dass man Flugzeuge zur Not per Fernsteuerung übernehmen kann.

Hat halt zwei Seiten, die Medaille.

Die Frage ist nur wie man nahezu unmöglich definiert.

Eine einfache Suche bei Google zum diskutierten Thema ergab folgende Links:
 https://www.schneier.com/blog/archives/2015/04/hacking_airplan.html

Diese Artikel haben alle den Tenor "nichts ist unmöglich" auch wenn zur Zeit noch unwahrscheinlich. Die Tatsache des großen Aktionismus auf Seiten der Amerikanischen TSA bzw. Homeland Security deutet für mich darauf hin, dass etwas sehr Konkretes im Busch ist. Möglicherweise ist die Sprengsatztheorie nur vorgeschoben, aber wenig überzeugend, da sie eine Pseudosicherheit vorgaukelt.

Die Frage ist nur wie man nahezu unmöglich definiert.

Die Links sagen aber letztlich allesamt nicht wirklich etwas konkretes aus und berufen sich alle auf die gleichen Tests. Diese Test stellen die Quellen zudem nur äußerst unzureichend dar. Klar kann ich in der Netzwerkdose am Sitz einen gewissen Traffic messen, aber von welchem System ist dieser Traffic, kann ich damit was anstellen oder kann ich ihn nur aufzeichnen usw usw.

Beim Airbus kann man dort maximal den Traffic des IFE messen und analysieren, das bringt aber gar nichts, weil dieses IFE keine Verbindung zu den Flugcomputern hat. Das sind letztlich zwei komplett getrennte Netzwerke die keine nutzbare Verbindung aufweisen.

Bevor sie nun einwerfen, es gäbe ja ein WLAN oder/und GSM Netz an Bord, Das ist richtig, die sind aber Teil des IFE mit der gleichen Verbindungseinschränkung zu den Flugcomputern.

Kurzum, die TSA bzw Homeland Security tut bekanntlcih viel um ihre Kontrollmöglichkeiten auszuweiten, und das nicht immer als nachvollziehbaren oder gar Sicherheitsförderlichen Gründen. Viele der Maßnahmen suggerieren eine verstärkte Vorsicht oder Absicherung, halten aber eine ordentlichen Überprüfung nicht stand und bringen letztlich nichts.

Bsp: die Piloten müssen ihre Nagelscheren im Gepäck aufgeben wie jeder andere auch. Mag auf den ersten Blick sinnvoll und logisch erscheinen, ist aber vollkommener Quatsch. Im Cockpit hängt mindestens eine Crashaxt, frei Zugänglich für den Piloten.

 http://cdn1.spiegel.de/images/image-610398-galleryV9-jgms-610398.jpg

Und genau das gleiche passiert wenn man den Sicherheitsgewinn von Laptops im Gepäck statt der Kabine mal durchleuchtet, und die Beispielliste könnte ich unendlich fortsetzen. Über MP3 Player etc....

Im Flugzeug ist es genau anders herum, jede Kommunikation zwischen Computern muss in den Routing Listen genehmigt sein. Da steht auch drin welche Art von Kommunikation erlaubt ist.

Also genau wie in jeder ordentlich aufgesetzten, kommerziellen DMZ, Default: DENY.
Ihre Ausführungen sind alle soweit richtig bis auf einen Aspekt:
Über fast alle in der Vergangenheit erfolgreich angegriffenen kommerziellen Setups konnte man vor dem Angriff das gleiche sagen. Es gab Sicherheitsaudits, Überprüfungen, Test-Angriffe, etc. Das Sicherheitskonzept wurde als plausibel bestätigt.
Bis dann ein Angreifer eine nicht vorhergesehene Schwachstelle in einer der Komponenten entdeckt und ausnutzt.
In nur seltenen Fällen lag eine echte konzeptionelle Schwäche vor. Meist sind nicht vorhergesehene und nicht vorhersehbare Bugs in Einzelkomponenten die Einfallstore zB ( fiktives Beispiel) dass eine völlig korrekt konfigurierte Firewall aufgrund eines internen Bugs bei Paketlängen von genau 12345 bytes ihre Filterfunktion nicht ausführt.

Der  Chrysler Cherokee-Hack hat sogar eine Airgap überwunden um vom Multimedia-System aus den CAN Bus zu steuern.

Das gute an dieser Art Angriffs-Szenario ist: Es wäre hochgradig systemspezifisch. Ein so ausgearbeiteter Angriff wäre daher auf einer sehr kleinen Untermenge der in Betrieb befindlichen Maschinen anwendbar. Zudem müsste man oft genau diesen Typ fliegen um den Angriff auszuarbeiten, wobei die Gefahr besteht entdeckt zu werden.

Alles in allem: Ja, unwahrscheinlich und extrem unpraktisch - aber durchaus nicht unmöglich.

Dieser Beitrag wurde am 31.05.2017 11:26 Uhr bearbeitet.