Warum der Flugzeug-Hacker Chris Roberts zu weit gegangen ist

Der us-amerikanische IT-Sicherheitsexperte Chris Roberts hat Mitte April auf Twitter damit geprahlt, sich während des Flugs in das bordeigene Flugzeugnetzwerk gehackt zu haben. Dafür müsse er angeblich nicht mal von seinem Platz aufstehen, sondern konnte über eine Buchse unter seinem Sitz sogar auf manche Steuerungssysteme im Cockpit zugreifen, das Triebwerk manipulieren oder die Sauerstoffmasken von der Decke fallen lassen.

Wie nun bekannt wurde, glaubt das FBI beweisen zu können, dass es sich bei diesen Aussagen nicht nur um einen Scherztweet handelt: Roberts soll „zwischen 2011 und 2014 tatsächlich 15-20 Mal" mit einem einfachen manipulierten Ethernetkabel in das bordinterne Unterhaltungssystem eingedrungen sein und dabei auch versucht haben, tiefer in die Bordinfrastruktur vorzudringen. Roberts selbst hat das einem FBI-Agenten gestanden, wie aus einem nun veröffentlichten Durchsuchungsbefehl hervorgeht. In einem Fall soll es ihm möglich gewesen sein, das Flugzeug leicht nach links zu lenken. Roberts selbst verneint die Anschuldigungen des FBI und die genaue Faktenlage ist, trotz ausgiebiger Medienberichterstattung über den Flugzeug-Hacker in den vergangenen Tagen, unübersichtlich.

Fest steht jedoch, dass Roberts es darauf anlegt die Sicherheitssysteme in Flugzeugen zu testen, und dass er wirklich in die Unterhaltungssysteme eingedrungen sei. Bei seinem Hack ging es ihm jedoch nicht darum, den Passagieren eine Abwechslung im episch langweiligen TV-Programm veralteter Hollywood-Schmonzetten zu bieten, sondern zu beweisen, dass diese In-Flight-Entertainmentsystems (IFE) nicht immer so strikt von der kritischen Netzwerkinfrastruktur eines Flugzeugen getrennt ist, wie es Flugzeughersteller gerne behaupten.

Als White Hat Hacker, der hackt, um die Sicherheit von Systemen zu erhöhen, wendet man sich mit einer neu entdeckten Sicherheitslücke normalerweise direkt und diskret an die Herstellerfirmen. Leider kommt es jedoch immer wieder vor, dass diese nicht reagieren. Deshalb sehen sich Hacker gelegentlich gezwungen, ihre Ergebnisse öffentlich zu machen, um auf gravierende Sicherheitsprobleme aufmerksam hinzuweisen. Im aktuellen Fall hat sich der betroffene Flugzeughersteller Boeing bisher übrigens geweigert einen öffentlichen Kommentar zu den Anschuldigungen abzugeben—aus Sicherheitsgründen.

Ich habe mit dem IT-Sicherheitsberater Christian Horchert (aka fukami) vom Chaos Computer Club gesprochen und ihn gefragt, ob er Roberts Verhalten als moralisch korrektes White Hat Hacken bewertet, wie es jetzt mit Roberts weitergeht und nach welcher Ethik ein Hacker, der gravierende Sicherheitslücken in sensiblen Systemen entdeckt, überhaupt handeln sollte.

MOTHERBOARD: Findest du es richtig, dass das FBI einen Hacker wie Roberts verfolgt und anklagen will?

Christian Horchert: Das große Problem ist, dass bisher absolut nicht klar ist, was eigentlich genau passiert ist. Roberts spielt in seinen öffentlichen Aussagen mit der Idee, dass es einfach möglich sei, ein Kabel zu nehmen und sich dann von seinem Sitzplatz aus mit dem Cockpit zu verbinden.

Ich bin ja ein großer Fan des Rechtsstaats. Man kann nur in einem Verfahren genauer klären, was hier eigentlich passiert ist. Da muss Roberts dann wirklich Tacheles reden und kann sich nicht mit ungenauen öffentlichen Aussagen herausreden. Einerseits behauptet er, ein Eingriff in die Steuerung sei möglich, andererseits sagt er, dass er das nie gemacht hätte.

Seine ganze Geschichte liest sich irgendwie wie ein schlechter „CSI-Cyber"-Plot. In deren Stories dienen zum Beispiel Drucker als Ausgangspunkte von Malware, was technisch gesehen erstmal ziemlich realistisch ist, aber dann zünden sie damit ein Büro an. Das ist dann natürlich totaler Quatsch.

Kann man Roberts und seine Aktion denn überhaupt ernst nehmen?

Die verantwortlichen Firmen und Hersteller müssen seine Aktion auf jeden Fall ernst nehmen—unabhängig von dem, was genau an seinen Behauptung dran ist.

Das Problem, dass du von deinem Sitz in das Flugzeugnetzwerk kommst ist ja alleine in der Theorie schon drastisch genug. Die Anschuldigungen müssen unbedingt untersucht werden. Als verantwortungsbewusster Sicherheitsberater für die betroffenen Unternehmen würde ich jetzt auf Roberts zugehen.

War es aus Sicht eines White Hat Hackers das Richtige was Roberts getan hat?

Die allermeisten IT-Sicherheitsfirmen beschäftigen sich mit Infrastrukturen, ohne dabei Schäden hinterlassen zu wollen. Roberts allerdings überschreitet eine Grenze. Meinetwegen kannst du versuchen in ein Cockpitsystem einzudringen, wenn das Flugzeug auf dem Boden ist. Aber einen Hack der Bordelektronik während eines normalen Passagierfluges zu machen, ist schon ganz schön bescheuert.

Grundsätzlich gilt bei IT-Sicherheitstests: Selbst wenn du die Systeme nur testest, kann etwas kaputt gehen. Es ist also nicht akzeptabel die Sicherheit eines Flugzeugsystems während des Fluges testen zu wollen.

Wenn du dir dein eigenes Flugzeug und ein paar wahnsinnige Piloten für den Test besorgen kannst dann go for it. Aber wenn du 200 Passagiere in Gefahr bringst, ist das nicht akzeptabel.

Warum hat er nicht einfach der Herstellerfirma bescheid gesagt und die hat die Lücke dann geschlossen?

Als unabhängiger IT-Experte ist es eine goldene Regel, dass du immer zuerst mit den Firmen redest, wenn du eine Sicherheitslücke findest. Ich habe selbst viel zu oft die Erfahrung machen müssen, dass die Unternehmen nicht reagieren. Manchmal kann es eben die einzige Möglichkeit sein, das Problem öffentlich zu machen, um die notwendige Aufmerksamkeit zu erlangen.

Bei großen Industrieunternehmen hast du schon Glück, wenn du überhaupt jemanden erreichst. Wenn du eine IT-Sicherheitslücke findest. An die Verantwortlichen kommst du gar oft nicht ran. Viele Unternehmen verstehen immer noch nicht, dass IT ein Kerngeschäft ist. Entweder sagen die Hersteller, „stimmt nicht, hau ab, unser System ist sicher" oder sie haben keine Prozesse, um die von dir entdeckten Sicherheitslücken zu fixen.

Ich erinnere mich noch wie ich in meiner Jugend einfach an Adobe rangekommen bin, als die gerade Photoshop 1.04 veröffentlicht hatte. Wenn du damals einen Bug entdeckt hast, hast du das gemeldet und die haben das gefixt. Versuch mal heute da durchzudringen.

Könnte es aber sein, dass Roberts mit seiner Aktion trotz deiner ethischen Bedenken, die Branche sicherer gemacht hat?

Als White Hat Hacker ist es immer dein Ziel, ein Bewusstsein zu schaffen, das vorher nicht da war. In dem aktuellen Fall muss man aber ehrlicherweise sagen, dass jedem Hacker eigentlich schon vorher klar gewesen sein dürfte, dass die Grenzen zwischen Unterhaltungssystem und Steuerungsnetzwerk nicht immer so strikt gezogen sind. Es gab bei den Flugzeugherstellern mal eine Zeit, in der man sich solche Hacker-Angriffe schlicht nicht vorstellen konnte.

Es ist aber fürwahr nicht so, dass alle die in der Industrie arbeiten, Vollidioten sind und noch nie jemand über die Probleme nachgedacht hat, die nun öffentlich wurden.

Wie schützen Flugzeughersteller denn ihre Netzwerke gegen Hacker?

Eine konkrete Möglichkeit in der jetztigen Situation wäre es, eine Sicherheitsfirma zu beauftragen, die ein ordentliches Audit, also eine Prüfung der Systeme auf die problematischen Schwachstellen, macht.

Grundsätzlich muss man wissen, dass die Sicherheitsarchitektur bei Flugzeugen auf einem sehr hohen Niveau ist—auch im Vergleich zu anderen Industrien. Aber IT-Sicherheit kann auch mit Threat-Model-Analysen nicht alle Gefahren simulieren.

Wie geht es jetzt weiter mit Roberts?

Das FBI beurteilt ihn ja schon mal nicht wie einen Schwerstkriminelllen. Das ist ja schon mal gut.
Er wird es vermutlich relativ schwer haben in nächster Zeit zu fliegen und wohl auf irgendeiner Art von No-Fly-Liste landen—zumindest, wenn er mit technischer Gerätschaft fliegen will.

Das FBI wird wohl in jedem Falle Anklage erheben, unabhängig davon, was das Ergebnis ihrer Ermittlungen ist. Und dann wird sich vor Gericht zeigen, was wirklich passiert ist.

Unabhängig von Roberts Einzelschicksal gibt es aber auch noch das Problem, dass nach solchen Aktionen nur allzu oft allgemein härtere Gesetze verabschiedet werden, die einen sinnvollen Umgang mit technischer Unsicherheit deutlich erschweren.

Sollte Roberts deiner Meinung nach verurteilt werden?

Angesichts der dünnen Faktenlage ist es schwer zu sagen, ob er verurteilt werden sollte. Ich würde ihn nicht allzu hart bestrafen. Für das Urteil wird es aber auf die Details ankommen, weil nicht klar ist, was er genau gemacht hat.
Nur in das Entertainment-Netz reinzugehen, halte ich für keine schwere Straftat.

Aber der Fall stellt sich ganz anders dar, wenn Roberts tatsächlich begonnen hat, aktive Steuerungssysteme zu manipulieren. Das ist ethisch nicht richtig. Dafür muss er wohl mit einer Geldstrafe oder sogar einer Bewährungsstrafe rechnen.

Was ist denn die ethische Grenze beim Hacken von Flugzeugen? Wenn du unbedingt live an sensiblen Systemen herumhacken willst, dann nur nach Absprache und in einem anderen Set-Up. Du weißt halt nicht, was du anrichtest. In Systemen zu hacken, ohne dass dich jemand dazu ermächtigt hat ist ein schmaler Grat.

Der ethische Grundsatz sollte sein: Wenn Technik dazu da ist, Menschen zu schützen, und du dir dann trotzdem daran zu schaffen machst, dann gehst du zu weit.

Christian Horchert (besser bekannt als „fukami") lebt und arbeitet als IT-Sicherheitsberater in Brüssel. Er ist Mitglied im Chaos Computer Club und einer dessen Vertreter bei der europäischen Bürgerrechts- und Advocacy-Gruppe EDRi (European Digital Rights). Sein thematischer Schwerpunkt ist neben Datenschutz alles was mit Code-, Exploit- and Crypto-Regulierung auf EU-Ebene zu tun hat.