Unmanned Aerial Vehicles

Wie Drohnen Unternehmen bedrohen

12.08.2020
Von Jaikumar Vijayan
Unmanned Aerial Vehicles stehen nicht nur bei Unternehmen hoch im Kurs. Lesen Sie, welche Risiken Sie in Zusammenhang mit Drohnen auf dem Zettel haben sollten - unabhängig davon, ob Sie sie selbst zum Einsatz bringen.
Unmanned Aerial Vehicles (UAVs) versprechen im Unternehmenseinsatz viele Vorteile. Doch Drohnen bringen auch neue Security-Risiken mit sich, denen es zu begegnen gilt.
Unmanned Aerial Vehicles (UAVs) versprechen im Unternehmenseinsatz viele Vorteile. Doch Drohnen bringen auch neue Security-Risiken mit sich, denen es zu begegnen gilt.
Foto: Agon Nimani - shutterstock.com

Die meisten Security-Entscheider sind sich nicht im Klaren darüber, dass Drohnen zu den Bedrohungen für die IT-Sicherheit gehören, gegen die sie sich unbedingt wappnen sollten - selbst wenn sie diese nicht selbst einsetzen.

"Damit bringen Sie jede Technologie in die Luft"

Unmanned Aerial Vehicles (UAVs) oder Unmanned Aerial Systems (UAS), besser bekannt als Drohnen, kommen für eine Vielzahl von Anwendungsfällen zum Einsatz. Amazon hat in der Vergangenheit mit seinem geplanten Prime Air Lieferservice für Furore gesorgt - andere haben ihre eigenen Drohnenprojekte lieber still und heimlich vorangetrieben. Der Energieversorger Southern Company setzt sie beispielsweise für die Inspektion von Infrastruktur ein, der Versicherer Allstate Insurance nutzt UAVs, um Sachschäden aufzunehmen und Shell überwacht mit der Technologie weltweit seine Schiefergasbestände. Die Logistikdienstleister CVS und UPS haben sich indes zusammengeschlossen, um einen Drohnen-basierten Lieferdienst für Medikamente auf die Beine zu stellen.

Das Analystenhaus Gartner geht davon aus, dass die mit Drohnen erzielten Produktivitätsgewinne im Enterprise-Umfeld dazu führen wird, dass die Nachfrage weiter steigen wird: Bis zum Jahr 2028 soll die installierte Basis in diesem Bereich von 324.000 (2019) auf circa neun Millionen klettern.

Höchste Zeit also, sich der neuen Security-Gefahren, die der Einsatz von Drohnen mit sich bringt, bewußt zu werden, wie James Acevedo vom Security-Beratungshaus Star River weiß: "Eine Drohne ist ein Werkzeug, das in nahezu jeder Situation eingesetzt werden kann. Fotos zu Spionagezwecken sind damit ebenso möglich wie Lauschangriffe oder WiFi-Hacks - damit bringen Sie jede Technologie in die Luft."

UAVs als perfekte Spionagewerkzeuge

Wie Max Klein, Chief Technology Officer beim Luftfahrtspezialisten SCI Technology, erklärt, mache ihre Funktionsweise die Drohne in den falschen Händen zu einer potenten Waffe: Sie überwinde traditionelle, physische Abwehrmaßnahmen mit Leichtigkeit, während der Angreifer dabei nicht einmal vor Ort sein muss. Genau deswegen verlasse man sich beispielsweise beim Militär schon seit längerem auf die Eigenschaften von UAVs und UAS - zu Überwachungszwecken und um Informationen zu gewinnen.

"Traditionelle physische Sicherheitsmaßnahmen können gegen Bedrohungen schützen, die schwimmen, kriechen, gehen oder rennen - aber in den meisten kommerziellen Umgebungen gibt es keinerlei Schutzmaßnahmen gegen Bedrohungen aus der Luft", so Klein. Die Chance, dass Unmanned Aerial Systems von Perimeter-Intrusion-Detection-Systemen erkannt werden, sei gleich Null, so der CTO weiter. Sogar wenn wirksame Abwehrmaßnahmen gegen UAS etabliert würden, sei es wegen des kabellosen oder sogar vorprogrammierten Remote-Betriebs nur sehr schwer, dem Betreiber des Fluggeräts auf die Schliche zu kommen.

Insbesondere zu Überwachungszwecken eigneten sich Drohnen besonders gut, so Klein. Sie seien schon aus wenigen hundert Metern Entfernung kaum mehr wahrzunehmen - weder optisch noch akustisch. Die verbauten Kameras seien hingegen sehr wohl in der Lage, aus dieser Entfernung Individuen zielgenau zu identifizieren. UAVs sind damit quasi perfekte Spionagewerkzeuge, denn ihre Fähigkeiten sind nicht auf optische Spionage beschränkt: "Man kann sie mit Hilfe simpler Hardware wie einem Raspberry PI auch mit Pentesting Software kombinieren, um ungesicherte Wireless Devices innerhalb der physischen Grenzen "abgesicherter" Umgebungen zu identifizieren und kompromittieren. Ohne nachhaltige Network Security genügt eine einzige Schwachstelle als Startpunkt für einen großangelegten Hackerangriff."

Technologien zur Abwehr von Drohnen sind mittlerweile auf breiter Basis verfügbar. Dabei sollten Sie jedoch in jedem Fall die jeweils geltenden, rechtlichen Vorschriften beachten.

Feindliche Drohnenübernahme

Sind UAVs bereits auf dem Werksgelände im Einsatz, besteht die Gefahr, dass diese gehackt, beziehungsweise zweckentfremdet werden. Im Dezember 2011 behauptete die iranische Regierung etwa, ihre Cybereinheit habe erfolgreich eine US-Spionagedrohne lahmgelegt und sie so konfiguriert, dass sie statt ihrer Basis in Afghanistan im Iran gelandet wäre. Schon einige Jahre zuvor hatte der Iran behauptet, Live Video Feeds von US-Drohnen abgefangen zu haben. Auch wenn sich Experten bis heute uneinig sind, wieviel an den Informationen tatsächlich dran ist: Unternehmen sollten sich darüber im Klaren sein, dass ihre Drohnen auf ähnliche Art und Weise manipuliert oder gehackt werden können. Bislang gibt es zwar kaum bekannte Fälle, in denen Angreifer eine kommerzielle Drohne "übernommen" haben. Es existieren allerdings zahlreiche Untersuchungen, die belegen, dass das technisch machbar ist. Schon 2013 demonstrierte ein Security-Experte beispielsweise, wie ein Angreifer eine Drohne so konfigurieren kann, dass sie andere UAVs in ihrer Nähe über das WiFi-Signal aufspürt, sie kompromittiert und fremdsteuert.

Sowohl die Kommunikation zwischen dem Remote Controller und dem UAV, als auch die elektronischen Flugkontrollsysteme sind angreifbar. Besonders besorgniserregend ist dabei, dass ein hoher Prozentsatz der kommerziellen Drohnen auf Open-Source-Technologie basiert, die nicht ausreichend auf Sicherheitslücken überprüft wurde, wie Security-Spezialist Acevedo weiß: "Out-of-the-box sind diese Devices alles andere als sicher."

Eine Sicherheitsanalyse von Drohnen vom Mai 2020 förderte zahlreiche verschiedene Bedrohungen und Sicherheitslücken in UAVs zu Tage. Dazu gehörten etwa GPS Spoofing, Malware-Infektionen, das Abfangen von Daten und bösartige Manipulationen. So ist das Video- und Daten-Streaming bei vielen Drohnen-Modellen nicht verschlüsselt, was die Kommunikation anfällig macht. Entsprechend kommt das Research Paper auch zu dem Fazit: "Viele UAVs weisen ernsthafte Designfehler auf und die meisten Modelle haben keinerlei Wireless-Schutzvorkehrungen an Bord."

UAV-Daten in Gefahr

Unternehmen, die Drohnen - zu welchem Zweck auch immer - einsetzen, brauchen sowohl eine Strategie, als auch Prozesse, um die Daten, die diese Systeme aggregieren, schützen zu können. Dazu sollten sie sich folgende Fragen stellen:

  • Wer sammelt die Daten und zu welchem Zweck?

  • Wer managt und kontrolliert die Daten?

  • Wer hat Zugriff auf die Daten?

  • Welche Maßnahmen kommen zum Schutz der Daten zur Anwendung?

Vielleicht denken Sie an dieser Stelle, dass die Daten einer Drohne ohnehin keinen Wert für Konkurrenten oder Angreifer haben. Allerdings können bereits routinemäßig gesammelte Geodaten oder solche, die mit der Infrastruktur in Zusammenhang stehen, für Rivalen nützlich sein.

Um die Gefahr eines Datenabflusses oder Datendiebstahls zu minimieren, können viele UAVs zum Beispiel so konfiguriert werden, dass sie während des Betriebs keine Verbindung zu Wireless-Netzwerken aufnehmen. Ist die Drohne wieder auf festem Boden gelandet, gilt es, einen Prozess für die Datenextraktion aufzusetzen. Auch dieser sollte nach Möglichkeit ohne eine Netzwerkverbindung vonstatten gehen - zum Beispiel mit Hilfe eines separaten USB-Drives. Ist die Extraktion abgeschlossen, sollten die Daten auf dem UAV gelöscht werden.

Handelskrieg mit Drohnen

Der sich immer weiter zuspitzende Handelskrieg zwischen China und den USA macht auch vor Drohnen nicht halt: Das Pentagon kündigte bereits vor einiger Zeit an, keine Drohnen mehr vom marktführenden chinesischen Hersteller DJI einzusetzen. Per Kongressbeschluss wurde festgelegt, dass US-Behörden und -Institutionen keine UAVs ausländischer Hersteller mehr einsetzen dürfen.

Ob diese Entscheidungen politisch motiviert sind oder nicht sei einmal dahingestellt - dennoch rücken diese Entwicklungen einen weiteren, entscheidenden Punkt ins Rampenlicht: Unternehmen sollten sich darüber im Klaren sein, wo und von wem ihre UAVs hergestellt werden. Schließlich können viele Drohnen zum Zweck von Updates "nach Hause telefonieren". Dass dabei auch andere Daten übertragen werden, ist eine gängige Sorge. Da die Remote-Control-Software und die Kommunikation dieser Systeme überaus komplex ist, sind sie auch in Sachen Security nicht so einfach zu analysieren.

Unternehmen sollten im Sinne einer Due Diligence Nachforschungen über den Hersteller einholen, um herauszufinden, wo der Code geschrieben wurde und aus welchen Komponenten das Device genau besteht. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.