Wie werden Drohnen hackersicher?

6. Juli 2023

Immer mehr Drohnen heben für professionelle Einsätze ab: Sie machen Film- und Fotoaufnahmen von oben oder begutachten Achterbahnen und Windkraftanlagen aus der Luft. Künftig sollen die unbemannten Flugobjekte in größerem Stil auch Pakete, Medikamente oder das Mittagessen liefern. Damit sie auf ihren Wegen nicht gekapert werden können, muss ihre IT-Sicherheit gewährleistet sein. TÜV NORD hat die weltweit erste Cybersecurity-Zertifizierung für ein Drohnensystem durchgeführt.

#explore: Herr Springer, wie und mit welchen Folgen können Drohnen von Hackerinnen und Hackern manipuliert werden?

Drohnen sind heute nicht mehr nur per Handsteuerung des Piloten am Boden verbunden, sondern werden auch automatisch von Leitständen weit außer Sichtweite gesteuert. Jeder Funkkanal, ob Bluetooth, WLAN oder 5G, öffnet Einfallstore für Cyberkriminelle. Sind die Schnittstellen für diese vernetzten Funktionen nicht ausreichend gesichert, kann sich eine Hackerin oder ein Hacker beispielsweise gegenüber der Drohne als Leitstelle ausgeben; man spricht hier von einem sogenannten „Man in the Middle“-Angriff. Dann kann sie gekapert und umgelenkt werden, um die Lieferung zu stehlen oder um die Drohne für Terrorangriffe zu missbrauchen.

TÜV NORD hat die weltweit erste Cybersecurity-Zertifizierung für solche Drohnensysteme durchgeführt. Wie läuft eine solche Zertifizierung ab?

Wir starten mit einer Risikoanalyse. Wir fragen uns: Welche Angriffsszenarien sind denkbar? Aus diesen Szenarien greifen wir den Worst Case heraus und bauen auf dieser Basis ein mehrstufiges Schutzsystem auf. Denn wenn man die Maximalanforderungen abdeckt, sichert man die Systeme zugleich gegen kleinere Angriffsszenarien ab. Gestützt auf unsere Risikoanalyse und den Anforderungskatalog geht das zu zertifizierende Unternehmen, in diesem Fall HHLA Sky, anschließend in die konkrete Entwicklung und Programmierung. Dabei gleichen wir in regelmäßigen Abständen mit dem Unternehmen ab, ob die Entwicklung in die richtige Richtung geht. Wir verfolgen also einen sogenannten „Security by Design“-Ansatz, bei dem die IT-Sicherheit integraler Bestandteil der Produktentwicklung ist. Sicherheitslücken werden auf diese Weise von vornherein vermieden, statt sie im Nachhinein beheben zu müssen. Unsere Fachleute aus einer anderen Abteilung können in einem nächsten Schritt prüfen, ob die Schutzmaßnahmen Cyberangriffen tatsächlich standhalten können. Dazu versuchen sie ihrerseits, sich auf unterschiedlichen Wegen in die Systeme zu hacken.

Zur Person

Matthias Springer leitet den Bereich Funktionale Sicherheit und Security bei TÜV NORD CERT.

Derartige Schutzmaßnahmen gewährleisten also eine hackersichere Kommunikation zwischen Drohne und Leitstelle?

Um diese Kommunikation abzusichern, haben wir sehr viel Wert auf sichere Authentifizierungsverfahren gelegt, also darauf, dass sich Drohne und Leitstelle eindeutig identifizieren und ausweisen können. Wir arbeiten dabei mit zertifikatsbasierten Systemen, wie man sie auch von Internetprotokollen kennt. Bei dieser sogenannten Public-Key-Infrastruktur werden digitale Schlüssel zwischen Drohne und Leitstand ausgetauscht, die bei jeder Kommunikation aufs Neue belegen: Bist du tatsächlich der, der du zu sein behauptest? Die Kommunikation zwischen Leitstelle und Drohne ist zudem hoch verschlüsselt, damit Steuerinformationen nicht abgefangen und manipuliert werden können. Um einen weiteren Schutzwall gegen eine feindliche Übernahme aus der Ferne einzuziehen, kann man außerdem festlegen, dass eine autorisierte Person mit der Drohne physisch in Kontakt sein muss, wenn eine neue Mission aufgespielt wird.

© HHLA/Thies Rätzke
Ein Drohnenschwarm könnte zum Beispiel die Elbe rauf- und runterfliegen und schauen, ob unerlaubt Flüssigkeiten abgelassen wurden und dabei gleichzeitig die Dämme kontrollieren.

Wie können Gegenmaßnahmen bei einem Angriff aussehen? Wie kann und sollte die Drohne in einem solchen Fall reagieren?

Erkennt die Drohne, dass sie angegriffen wird, oder erhält sie vom Leitstand eine entsprechende Warnung, fliegt sie einen der Notlandeplätze an, die vorab auf der Einsatzroute festgelegt wurden. Ist das nicht mehr möglich, stellt sie automatisch einen sicheren Zustand her. Das heißt, sie schaltet sich ab und steigt mit einem Fallschirm ab. Auf diese Weise werden die Folgen des Falls gedämpft und Personenschäden bestmöglich vermieden.