FAQ GPS-Spoofing

Neue Risiken durch gehackte GPS-Systeme

11.06.2020
Von 
Jens Dose ist Editor in Chief von CIO. Seine Kernthemen drehen sich rund um CIOs, ihre IT-Strategien und Digitalisierungsprojekte.
Standortbestimmung per Satellit ist nicht mehr wegzudenken aus dem privaten und dem Business-Alltag. Doch wie angreifbar ist GPS tatsächlich? Und wie können sich Unternehmen schützen?

Das Global Positioning System (GPS) ist eines von mehreren Netzwerken aus weltweiten Navigationssatellitensystemen (GNSS). Es dient primär der Positionsbestimmung. In vielen Branchen und Industrien kommt die Technologie in Produkten und Services zum Einsatz. So verwenden Automobilhersteller es unter anderem für ihre Navigationssysteme und Einzelhändler nutzen Standortdaten von Kunden, um ihnen personalisierte Angebote zu machen. Auch Serviceanbieter wie Netflix oder Hulu bieten Medien anhand von Standortdaten nur in den Ländern an, in denen sie auch die Lizenzrechte besitzen.

Viele Unternehmen nutzen Satellitennavigation für ihre Produkte und Services, was sie angreifbar für GPS-Spoofing macht.
Viele Unternehmen nutzen Satellitennavigation für ihre Produkte und Services, was sie angreifbar für GPS-Spoofing macht.
Foto: PopTika - shutterstock.com

Zudem werden Satellitensysteme auch für akkurate Zeitangaben genutzt. So verwenden Finanzmärkte GNSS als universale Zeitquelle und Energieversorger synchronisieren damit Energieübertragungen.

GPS ist eigentlich ein in den USA entwickeltes und betriebenes System. Mittlerweile steht die Abkürzung jedoch als Synonym für Satellitennavigationssysteme im Allgemeinen. Zu anderen Systemen zählen etwa das Galileo-Netz der EU, Russlands GLONASS und Chinas BeiDou.

Angesichts der vielen Einsatzgebiete ist GPS ein attraktives Ziel für Betrüger und Hacker. Allerdings stellten teure Hardware und nötiges Fach-Know-how bislang eine Hürde dar, die großflächige Angriffe schwierig machten. Das hat sich mittlerweile geändert. Wie funktioniert der Angriffsvektor also und wie können Unternehmen sich dagegen schützen?

Definition: GPS-Spoofing

Bei GPS-Spoofing platziert der Angreifer einen Funktransmitter in der Nähe eines Ziels, um GPS-Signale zu stören. Er kann verhindern, dass Daten gesendet werden, oder auch falsche Koordinaten oder Zeitangaben übermitteln.

So hatten beispielsweise unbekannte Hacker den Genfer Auto-Salon im März 2019 angegriffen. Sie änderten die Anzeigen der Navigationssysteme von Audi, Peugeot, Renault, Rolls-Royce, VW, Daimler-Benz und BMW auf den Ort Buckingham in England und das Jahr auf 2036. Im Dezember 2019 wurden vor der Küste Chinas GPS-Signale von Frachtern registriert, die gar nicht dort waren. Hinter dieser Manuipulation werden verschleierte iranische Ölimporte vermutet.

GPS-Spoofing kann auch in Form schadhafter Smartphone-Anwendungen stattfinden, die die Standortdaten eines Geräts beeinflussen. Möglich sind zudem Cyberattacken auf vernetzte Systeme, die auf GPS-Daten basieren.

Arten des GPS-Spoofing

In der Vergangenheit wurden hauptsächlich staatlich unterstützte Akteure für fähig gehalten, Navigation zu manipulieren. Laut dem gemeinnützigen Center for Advanced Defense Studies (C4ADS) kosteten Signalgeneratoren, die GPS-Signale manipulieren können, Tausende Dollar und mussten von Fachleuten betrieben werden. Solche groß angelegten Angriffe mit politischem Hintergrund gibt es immer noch. Ein Report des C4ADS (PDF) besagt, Russland habe mehrfach Standortdaten in der Nähe von politisch sensiblen Zielen manipuliert.

Heute ist GNSS-Spoofing aber auch wesentlich einfacher realisierbar. Für weniger als 300 Dollar sind tragbare Software-Defined-Radio (SDR)-Geräte mit aufgespielter Open-Source-Software erhältlich, die GPS-Datenübertragungen aus der Distanz stören können. Ein Angreifer kann solche Störsender auf den GPS-Empfänger eines Ziels richten und so beispielsweise die Signale von nahen Gebäuden, Schiffen oder Flugzeugen beeinflussen. Je teurer und leistungsstärker die Transmitter sind, desto vielfältiger sind die Angriffsmöglichkeiten.

Für etwa 100 Dollar sind noch kleinere Varianten erhältlich, mit denen der Angreifer jedoch sehr nahe am Ziel sein muss. Sie sind nur etwas größer als Smartphones. Es wäre also denkbar, solche Geräte im Handgepäck in ein Flugzeug zu schmuggeln oder sie per Drohne zu verteilen.

Noch billiger ist es, die GPS-Geräte des Ziels selbst anzugreifen. So gibt es Smartphone-Apps, die die korrekten Standortdaten des Geräts überschreiben können. Einige davon sind kostenlos und haben Download-Zahlen im zweistelligen Millionenbereich. Mit solchen Anwendungen sind Unternehmen angreifbar, deren Geschäftsmodelle auf Smartphone-Ortung aufbauen.

Uber hatte etwa ein Problem mit Fahrern, die mit solchen Apps falsche Standorte oder Routen erstellt haben, in der Hoffnung, bezahlt zu werden, ohne die Strecke zurückgelegt zu haben. Mittlerweile nutzt der Fahrdienstvermittler Machine-Learning-Technologie, um verdächtige Trips zu entdecken. So prüft Uber beispielsweise, ob der physische Standort des Fahrers mit den Höhendaten übereinstimmt.

Weitere Beispiele für GNSS-Spoofing

Der oben genannte C4ADS-Report (PDF) beschreibt fast 10.000 Beispiele, in denen Russland Satellitennavigation manipuliert haben soll. Betroffen gewesen seien über 1.300 Zivilfahrzeuge an zehn Orten in Russland, der Ukraine und Syrien.

In einem Bericht der International Civil Aviation Organization (ICAO) vom März 2019 werden Störungen der Satellitendienste im gesamten Mittleren Osten aufgeführt. In den zwei Jahren vor der Bericht soll es 65 Zwischenfälle in der Region gegeben haben. Auch die amerikanische Schifffahrtsbehörde MARAD gab GPS-Warnungen für die Gewässer vor Zypern, Ägypten und Saudi-Arabien heraus.

Weitere Berichte der US-Küstenwache verorten Störungen in Texas, Griechenland, Spanien und China. Hierzulande verzeichnete Eurocontrol, die europäische Organisation zur Sicherung der Luftfahrt, mehr als 800 GPS-Störungsfälle (PDF) in der ersten Hälfte von 2018.

Im November 2019 tauchte in Hafen von Shanghai in China eine neue Art von GPS-Spoofing auf. Laut Medienberichten untersuchten Forscher es C4ADS ein Phänomen, bei dem mehrere Schiffe gleichzeitig falsche GPS-Positionen angaben und so ein kreisförmiges Muster auf der satellitengestützten Navigationskarte entstand. Das besondere an diesem Vorfall ist, dass nicht nur ein Transponder manipuliert wurde, sondern mehrere gleichzeitig in einem großen Gebiet. Wer Urheber der der Attacke ist, ist noch unklar, aufgrund ihrer Größe und der nötigen technischen Ausrüstung und Expertise vermuten einige der Experten, dass ein staatlicher Akteur dahinter stecken könnte. Ähnlche Phänomene wurden seitdem auch an anderen Orten auf der Welt registriert, besipeilsweise vor der Küste Kaliforniens.

Neben böswilligen Attacken spielen auch widrige Umstände eine Rolle. So können beispielsweise technische Fehlfunktionen oder wetterbedingte Interferenzen Unternehmen, die mit GPS-Daten arbeiten, Probleme bereiten.

Welche Unternehmen sind gefährdet?

Laut Yonatan Zur, CEO von Sicherheitsanbieter Regulus Cyber, machte sich vor wenigen Jahren nur die Verteidigungsindustrie Sorgen um GPS-Spoofing. "Heute gibt es dagegen viel mehr tatsächliche Angriffe und es wird nach Lösungen gesucht", sagt er.

C4ADS berichtet beispielsweise von Attacken, um Navigationssysteme von Autos zu kapern oder bei Smartphone-Spielen wie Pokemon Go zu betrügen. Letzteres mag auf den ersten Blick lapidar klingen, doch es schädigt das Business-Modell des Herstellers massiv. Der Spielfortschritt wird unter anderem dadurch bestimmt, welche Laufwege Nutzer mit ihrem Smartphone zurücklegen. Spieler können sich ihre Meilensteine allerdings auch kaufen, was einen Großteil des Umsatzes des kostenlosen Produkts ausmacht. Durch GPS-Spoofing kann beides umgangen werden.

In Japan versuchte ein Mann via GPS-Spoofing ein Bonuspunkteprogramm auszunutzen. Dabei werden den Teilnehmern für jeden Besuch in bestimmten Läden geldwerte Treuepunkte gutgeschrieben. Der Täter sammelte binnen weniger Wochen Bonuspunkte von 71 Geschäften im Wert von über 40.000 Euro, was etwa 2,7 Millionen Ladenbesuchen entspricht.

Im Grunde ist also jedes Unternehmen, das Dienste zur Standort- oder Zeitbestimmung nutzt, anfällig. Solche Services sind in vielen Anwendungen alltäglich geworden. So nutzen Betriebe Satellitennavigation, um Material und Mitarbeiter zu lokalisieren, Just-in-time-Lieferungen an Fabriken zu koordinieren, Baumaschinen zu steuern oder die Produktivität in der Landwirtschaft durch gezielteres Düngen und Bewässern zu optimieren.

Webseiten und mobile Anwendungen verwenden Standortdaten, um Kunden bessere Services anzubieten. In der IT-Sicherheit kommen sie neben Fingerabdruck oder Iris-Scan als biometrische Komponente bei der Multi-Faktor-Authentifizierung von Nutzern zum Einsatz.

Im Bereich der physischen Sicherheit nutzen einige Unternehmen für Schließanlagen GPS-basiertes Geofencing. Darunter ist das automatische Auslösen einer bestimmten Aktion zu verstehen, wenn eine definierte Grenze überschritten wird. "Viele Speditionen verwenden Geofencing, um zu verhindern, dass die Lieferwagen geöffnet werden, bevor sie ihr Ziel erreichen", sagt Zur. Diebe würden diese Schlösser mit GPS-Spoofing umgehen oder den Standort eines gestohlenen Trucks verschleiern, wenn der Spediteur seine Flotte via GPS verfolge.

Des Weiteren spielt GNSS bei sogenannten Emerging Technologies eine immer wichtigere Rolle. So bilden Standortdaten bei autonomen Fahrzeugen und Drohnen sowie in Augmented-Reality-Anwendungen die Grundlage für korrekte Funktionen.