Elektronische Seekarten, GPS- und Internetverbindungen sind heute für die Navigation zum Standard geworden. Die elektronischen Hilfsmittel machen die Schiffe aber auch anfällig für Manipulationen, wie ein Projekt der Akademie der Polizei Hamburg zeigt

Durch Schiffskollision oder Strandung tagelang gesperrte Fahrrinnen in wichtigen Häfen, zerstörte Brücken – solche Szenarien beschäftigen die Erforscher von Sicherheitslücken in[ds_preview] der Navigation. Unbemerkt lassen sich beispielsweise manipulierte Seekarten oder Routen in die Systeme von Schiffen einschleusen, die Satellitennavigation über GPS bietet weitere Möglichkeiten, Schiffe vom Kurs abzubringen. Schwerwiegende Unfälle könnten die Folge sein, umso mehr, je weniger ein Mensch noch Kontroll- und Eingreifmöglichkeiten hat.

Dass Computersysteme an Bord und Land durch neue technische Möglichkeiten verstärkt Angriffen ausgesetzt sind, ist bekannt. Erst kürzlich hatte die Reederei Hapag-Lloyd von mehreren tausend Cyberattacken pro Woche berichtet. Die meisten sind zwar gegen die Landorganisationen gerichtet, doch auch Schiffe stehen »unter Beschuss«. Immer wieder warnen Experten vor dem zu laxen Umgang mit dem Thema an Bord. Passwörter werden nie geändert, Speichermedien und Downloads bleiben ungeprüft.

Mit dem Projekt »Identifikation von Cyberrisiken bei der elektronischen Navigation von Schiffen« hatte ein Team der Akademie der Polizei jüngst den Hamburger Sicherheitspreis gewonnen. Wilfried Honekamp, Stefan Sielaff, Andreas Blokisch und Jörg Mielke identifizierten Manipulationsmöglichkeiten von Navigationssystemen und führten vor Augen, wie einfach die Manipulation von Seekarten und Navigationssystemen ist.

Angesichts der Entwicklung immer weiter automatisierter Schiffssysteme, die mit reduzierter Besatzung, irgendwann vielleicht völlig autonom die Meere befahren sollen, stellen die Experten die Frage nach der Sicherheit einer weltweit über Internet und Satelliten vernetzten Schifffahrt. Als Einfallstore identifizieren sie die Betriebssysteme des ECDIS (Electronic Chart Display and Information System), die elektronischen Seekarten selbst und die Satellitennavigation. Lässt das Betriebssystem nicht-autorisierten Zugriff und damit Datenmanipulation zu? Können veränderte Seekarten ins ECDIS eingeschleust werden? Welche Gefahren entstehen durch die Manipulation von GPS-Signalen?

Die Forscher konnten bei einigen getesteten Systemen über interne Dialoge in das Betriebssystem eingreifen, um beispielsweise Programme von einem USB-Stick zu starten. Auch ließ sich bei fast allen Systemen die Boot-Reihenfolge verändern, sodass nach dem Start von einer Linux-Live-DVD auf alle Daten zugegriffen werden konnte.

Allein durch das Aufspielen eines fehlerhaften Updates für eine Seekarte im ECDIS gelang den Experten zudem, die Seekarte zu verfälschen. Im Test nutzten Honekamp und sein Team frei zum Download verfügbare Karten des Hafens New York der US-amerikanischen Ozeanographiebehörde. Durch ein manipuliertes Update versetzten sie beispielsweise die Freiheitsstatue samt Sockel um 850m mitten in den Hudson River.

Denkbar sind noch weitere falsche Angaben, die schon bei der Routenplanung zu Fehlern führen könnten: falsche Tiefenangaben und falsche Brückenhöhen, eine verschobene Fahrrinne etc. Viele dieser Parameter sind für den Nautiker an Bord auf den ersten Blick nicht überprüfbar. Die Steuerung eines Schiffs im Autopiloten mit minimaler Brückenbesetzung lässt das Risiko umso größer erscheinen.

GPS: Jamming und Spoofing

Per GPS lassen sich weltweit die genauen Koordinaten und die Zeit bestimmen, aus beiden Werten wird eine Bewegungsrichtung abgeleitet. Die Satelliten des GNSS (Global Navigation Satellite System) senden auf einer Frequenz von 1.575,42 MHz. Beim Jamming wird ein Störsignal auf der gleichen Frequenz gesendet, das das schwache Satellitensignal überlagert, der GPS-Empfänger auf dem Schiff liefert keine oder falsche Positionsdaten. Ein GPS-Jammer mit 500 bis 800 m Reichweite ist laut Polizei für weniger als 100 € legal zu erwerben. Wegen des schwachen Satellitensignals müssen die Jammer für genug Sendeleistung nicht groß sein. So ein Gerät an der Elbe in Reichweite von Schiffen zu bringen, sei durchaus möglich, so die Autoren.

Beim Spoofing werden falsche Daten gesendet, die der Empfänger als echte GPS-Signale erkennt. Solche Geräte sind derzeit kaum verbreitet und sehr auffällig. Allerdings kann sich das im Zug der technischen Entwicklung rasch ändern.

Eine Kurskorrektur wegen einer vermeintlich falschen Position könnte also schwerwiegende Folgen haben, wenn das Schiff die Fahrrinne verlässt und auf Grund läuft. Selbst wenn die Besatzung die falschen Daten durch Abgleich mit dem Radarbildschirm entdeckt und den Kurs beibehält, wird die falsche Position über das AIS anderen Schiffen angezeigt. Das Schiff befindet sich für sie nicht dort, wo es eigentlich ist. Die Folge könnte eine Kollision sein.

Was, wenn das ECDIS die Grundlage für eine automatische Ruderanlage ist? Eine Manipulation von Positionsdaten würde dann automatisch zur Kursänderung führen. Denkbar wäre auch, dass bei modernen Schiffen, auf denen eine vernetzte IT neben der Navigation auch Antriebssysteme, Pumpen und Energieversorgung steuert, die Manipulation einzelner Komponenten wie Sensoren eine Havarie hervorrufen kann.

Die Experten fordern, schon heute bei ungewöhnlichen Havarien großer Schiffe mit gut ausgebildeter Besatzung die Möglichkeit eines Angriffs auf die Positionierungssysteme in Betracht zu ziehen.

Gegenmaßnahmen

Als Reaktion auf die Schwachstellen empfehlen die Autoren einheitliche IT-Standards an Bord und innerhalb von Häfen auf IMO-Ebene. Sie schlagen die Unterteilung der Schiffs-IT in einen »Safety Sector« (Unfallvermeidung) und einen »Security Sector« (Kriminalprävention) vor. Dies könnte unter dem SOLAS-Abkommen (Safety of Life at Sea) subsumiert werden. Außerdem sollte der ISPS-Code (International Ship and Port Facility Security) auf den IT-Bereich und damit auf das ECDIS ausgeweitet werden.

Weitere Vorschläge betreffen die Sicherung der elektronischen Seekarten von Herstellerseite, ein Transaktionsnummernverfahren für Updates, die ausschließliche Zulassung autorisierter Nutzer sowie Verschlüsselungstechnik für die Navigationsanlage.

Gegen GPS-Jamming könnte schon ein Abgleich der Signalstärken helfen. Die Signale von Spoofern oder Jammern sind in der Regel deutlich stärker als die aus 20.000km Höhe zur Erde gesendeten Satellitensignale. Weil sich ein Schiff im Verhältnis zum Satelliten nur wenig bewegt, sind starke Signalschwankungen unwahrscheinlich. Ein Warnsystem könnte auf falsche Signalquellen aufmerksam machen.

Im Notfall könnte laut Experten der Polizeiakademie auch ein redundantes System im Form eines »Emergency Laptops«, mit GPS-Empfänger, SIM-Karte und ECDIS die Steuerbarkeit des Schiffs sicherstellen.