Auf Anraten seines Anwalts schweigt Chris Roberts, doch der Schaden ist angerichtet: Mit seiner Behauptung, über das Unterhaltungssystem wiederholt in die Steuerung eines Flugzeugs eingegriffen zu haben, versetzt der US-Hacker die halbe Welt in Aufruhr. Aus einem Untersuchungsbefehl des FBI geht hervor, dass die US-Bundespolizei die Bedrohung offenbar ernst nimmt und den Hacker mehrmals befragt hat.
Doch ist so etwas wirklich möglich? Auf Twitter ist eine Aufnahme aufgetaucht, die zeigen soll, wie einfach der Zugriff auf die Box des Unterhaltungssystem unter dem Sitz sein soll (siehe unten). Man kann offenbar zwischen zwei Ports wählen, Ethernet oder USB. Fehlen nur noch ein passendes Kabel und ein Laptop – die Standardausrüstung jedes Geschäftsreisenden.
Is this the SEB they are accusing you of prying open @Sidragon1? Looks pretty accessible to me :) #757 pic.twitter.com/9p5w5NCmxV
— OMG ΉΆXOR (@SynAckPwn) 17. Mai 2015
Die Frage ist, wie viel Schaden sich damit anrichten lässt. Nicht viel, ist Christoph Regli überzeugt. Der Aviatik-Dozent der ZHAW ist studierter Informatiker, selber Pilot und war früher Sicherheitsinspektor beim Bundesamt für Zivilluftfahrt (BAZL). Unterhaltung und Steuerung seien getrennte, voneinander unabhängige Systeme. «Das Schlimmste, was man über diese Box anrichten kann, wäre die Filme des Bordunterhaltungssystems zu löschen», so Regli gegenüber watson.
Ganz getrennt sind die beiden Systeme allerdings nicht: Jeder Reisende kennt die animierten Karten, die Standort und Flugroute sowie die Restflugzeit auf dem Bildschirm anzeigen.
Die Informationen dazu liefert das Navigationssystem aus dem Cockpit. Dennoch: «Das ist Einweg-Kommunikation», so Regli. Daten in die andere Richtung zu schicken, sei nicht vorgesehen.
Anders würde es aussehen, wenn ein Flugzeug von aussen zu steuern sein müsste, wie das einige nach der Germanwings-Tragödie forderten. «Dann wären diese Systeme tatsächlich offen und auf Hacker-Angriffe anfällig», so Regli. «Genau diese Gefahr besteht auch bei Drohnen, die ja per Definition von aussen gesteuert werden, und dementsprechend verschlüsselte Kanäle benutzen.»
Auch Daniel Knecht, Pilot und Leiter des Untersuchungsdienstes der Schweizerischen Sicherheitsuntersuchungsstelle SUST, hegt Zweifel an den Behauptungen von Chris Roberts. Gleichzeitig ist er gespannt auf die Ergebnisse der FBI-Untersuchung: «Es ist immer schwierig, im Bereich der Sicherheit etwas auszuschliessen. Man sollte das grundsätzlich nie tun», so Knecht gegenüber watson.
Erstaunt hat Knecht, dass ausgerechnet Flugzeuge vom Typ Boeing 737/757 sowie Airbus A320 gehackt worden sein sollen. «Das sind relativ alte und damit sehr bewährte Flugzeuge. Kinderkrankheiten, und dazu gehören auch Sicherheitslücken, treten erfahrungsgemäss eher bei neuen Flugzeugen auf.» Jene der neuesten Generation hätten viel mehr elektronische Komponenten und wären zumindest in der Theorie anfälliger auf Hacking, so Knecht.
Angenommen, einem Hacker gelänge es tatsächlich, sich elektronischen Zugriff auf die Steuerungssysteme zu verschaffen, wären da immer noch zwei Piloten: «Wenn sich ein System nicht so verhält, wie es der Pilot erwartet, muss er es abschalten. Das heisst, er würde den Autopiloten oder die Schubregelung deaktivieren und manuell fliegen», so Knecht.
Manuelle Befehle des Piloten zu übersteuern, dürfte noch schwieriger sein als solche eines automatischen Systems wie dem Autopiloten. «Bei rein mechanischen (hydraulischen) Systemen ist es unmöglich», sagt Knecht. Und selbst bei elektronischen Komponenten reiche eine Datenverbindungen nicht mehr aus, sondern ein Hacker bräuchte physischen Zugang zu elektrischen Kabeln oder Sensoren. «Dann wäre es theoretisch möglich, auch Steuereingaben des Piloten zu manipulieren. Aber das hat nichts mehr mit Hacking zu tun.»
Die Vorwürfe stehen im Raum, die Branche ist aufgeschreckt, was wird nun passieren? Aviatik-Dozent Regli vertraut auf die «ausgeprägte und fortschrittliche Fehlerkultur» in der Luftfahrt: «Heute werden nicht mehr einfach Piloten entlassen, die Fehler gemacht haben, sondern auch die kleinsten Zwischenfälle proaktiv untersucht.» Er ist überzeugt, dass die Hersteller den Behauptungen nachgehen werden.
Vielleicht war dann am Schluss die ganze Aufregung unbegründet. Schliesslich behauptete derselbe Chris Roberts vor drei Jahren, auch die Internationale Raumstation ISS gehackt zu haben. Ist dieser Mann überhaupt ernst zu nehmen? Regli formuliert es diplomatisch: «Obwohl konkrete Anhaltspunkte fehlen, hat er eine gewisse mediale Aufmerksamkeit erreicht.»