Aktuelle Angriffe auf die maritimen Navigations- und Informationssysteme GPS, AIS oder ECDIS verdeutlichen die Bedeutung von Cyber Security für die maritime Wirtschaft.
„Auch Piraten setzen inzwischen Hacker ein, um auf ihren Beutezügen schneller zum Ziel zu kommen.“
— Sebastian Klipper, CycleSEC Geschäftsführer
Die Gefahren erläuterte CycleSEC Geschäftsführer Sebastian Klipper u.A. in einem Vortrag beim Arbeitskreis Maritime Wirtschaft der IHK Schleswig-Holstein. In dieser Woche war CycleSEC als Gründungsmitglied bei der Vereinsgründung des Maritimen Cluster Norddeutschland e.V. in Hamburg mit dabei.
Piraten hacken Reederei
Anfang des Jahres wurde ein Fall bekannt, in dem Piraten sich mit Hilfe von Hackern Zugang zu den Servern einer Reederei verschafft hatten, um bei Ihren Beutezügen schneller zum Ziel zu kommen. Anhand der von den Servern gestohlenen Ladelisten konnten sie mit Hilfe von Barcode-Readern schnell die Container mit der wertvollsten Fracht lokalisieren und damit das eigene Risiko senken und den Profit maximieren.
„Insgesamt werden die Risiken durch Cyber Angriffe in der maritimen Wirtschaft bisher unzureichend berücksichtigt oder sind gänzlich unbekannt. Die in den letzten Jahren vorgestellten Angriffsmöglichkeiten auf GPS, AIS und ECDIS ermöglich es, ein Schiff vom Kurs abzubringen und in Gewässer zu lenken, die unter Kontrolle von Piraten sind. Gleichzeitig wären dann Hilferufe des Schiffs mit falschen Positionsdaten versehen. Auch mit wenig Phantasie ergeben sich beunruhigende Szenarien, die nicht nur Schiff und Ladung, sondern auch Leib und Leben der Besatzungsmitglieder und Passagiere gefährden.“
— Sebastian Klipper, CycleSEC Geschäftsführer
GPS, AIS und ECDIS – im Folgenden informieren wir über einige der Angriffsmöglichkeiten auf die maritimen Navigationssysteme:
Kursmanipulation via GPS
In einer Forschungsarbeit der University of Texas zeigten zwei Studenten wie einfach es ist, mit einem Invest von wenigen hundert Dollar eine 80-Millionen-Dollar-Yacht vom Kurs abzubringen. Sie manipulierten den Kurs der Yacht um drei Grad, indem sie ein gefälschtes GPS-Signal sendeten.
Der Besatzung wurde auf den Instrumenten auf diese Weise ein Phantom-Kurs angezeigt. Die resultierende Kurskorrektur brachte das Schiff schließlich tatsächlich vom Kurs ab. Der Angriff wurde weder vom Schiff noch von der Besatzung bemerkt. Ein vergleichbarer Angriff durch kriminelle Angreifer hätte für das Schiff und vor allem für Besatzung und Passagiere unangenehme Folgen haben können.
Angriff auf das Automatic Identification System (AIS)
Deutlich weiter ging der auf der Hacker-Konferenz Back Hat vorgestellte Angriff gegen das Automatic Identification System (AIS), das unter anderem zum Austausch von Positionsdaten genutzt wird.
In seinem Vortrag zeigte Dr. Marco Balduzzi, dass er das System online und über Funk manipulieren kann. Neben Kursmanipulationen konnte er auch falsche Kollisionsalarme anzeigen lassen, SOS-Signale von jeder beliebigen Position absetzen und Wetterberichte fälschen.
Auf diese Weise ließ er zum Beispiel Schiffe vom Mississippi River verschwinden und statt dessen auf einem kleinen See in der City von Denver kreuzen. Auch sein Equipment verursachte Kosten von wenigen hundert Dollar.
ECDIS
Bereits 2013 war dar US Minensucher USS Guardian unter anderem wegen fehlerhafter Daten im Electronic Chart Display and Information System (ECDIS) auf ein Riff gelaufen. Ein Mitarbeiter der NCC Group zeigte 2014 in einem White Paper die Verwundbarkeit und Manipulationsmöglichleiten des Systems detailliert auf.
CycleSEC als Partner der maritimen Wirtschaft
CycleSEC positioniert sich auf mehreren Veranstaltungen mit seinem Hamburger Büro als Security-Partner für die maritime Wirtschaft und ist Gründungsmitglied im Maritimen Cluster Norddeutschland (MCN) e.V., dem Schiffbauer, Zulieferer, Meerestechnik- und Schifffahrtsunternehmen angehören. Ziel des Vereins ist es, die Zusammenarbeit in der norddeutschen maritimen Branche zu stärken und zu fördern. Bereits seit 2011 arbeiteten die Länder Hamburg, Niedersachsen und Schleswig-Holstein zunächst in einem geförderten Projekt als Cluster zusammen, 2014 kamen auch Bremen und Mecklenburg-Vorpommern dazu, bevor in diesem Jahr die Vereinsgründung erfolgte.
Kostenlose Erstberatung für Mitglieder des Maritimen Clusters Norddeutschland e.V.!
Ihr Unternehmen ist Mitglied im MCN und Sie haben Fragen zum Thema Cyber-Security? Wir bieten Vereinsmitgliedern ein kostenloses Erstberatungsgespräch. Nehmen Sie noch heute Kontakt zu uns auf. Hierzu können Sie uns auf einer der Veranstaltungen des Clusters direkt ansprechen, uns anrufen oder das folgende Kontakt-Formular nutzen:
Kontaktformular
Senden Sie uns vertrauliche Informationen bitte ausschließlich als verschlüsselte E-Mail und nicht mit diesem Formular. Sie können beim Ausfüllen des Formulars Pseudonyme verwenden. Bitte nutzen Sie alle mit * gekennzeichneten Felder.