Es ist ein Merkmal der so gennanten „new space era“, dass eine stetig wachsende Zahl an Satelliten die Erde umkreist. Ein großer Teil davon besteht aus LEO-Satelliten, die aufgrund ihrer geringen Größe und Kosten nicht nur für Staaten und Großunternehmen, sondern auch für kleinere Einrichtungen und Firmen zugänglich geworden sind. So bietet Amazon inzwischen Satellitenkommunikation On-Demand an und vermietet Bodenstationen als Dienstleistung. Laut Orbiting Now, einer Website, die Satellitendaten sammelt, wurden im Mai dieses Jahres 7.004 aktive LEO-Satelliten gezählt. Abhängig von ihrer Nutzlast können diese Satelliten verschiedene Zwecke erfüllen, wie etwa Erdbeobachtung, Wettervorhersage, Navigation, Kommunikation und Weltraumforschung.
Es war diese plötzliche, breite Verfügbarkeit von LEO-Satelliten, die das Interesse der CISPA-Forscher Ali Abbasi und Thorsten Holz weckte. "Es findet gerade ein Paradigmenwechsel statt. Und jeder Paradigmenwechsel bringt Sicherheitsprobleme mit sich", sagt Abbasi. Die Überzeugung, lang gehegt von Satelliteningenieuren, dass Unsichtbarkeit Sicherheit garantiert, zählt nicht länger. Abbasi erklärt: "Lange Zeit ging man davon aus, dass Satelliten nicht erreichbar und somit auch sicher sind. Aber LEO-Satelliten verfügen über zahlreiche Konnektivitätsfunktionen". Das Fehlen offizieller Sicherheitsstandards für Satelliten ist ein zusätzlicher Anlass zur Sorge, wie Holz anführt: "Einen Satelliten kann man nur über ein proprietäres Funkprotokoll kontaktieren. Aber die Frequenzen, auf denen Satelliten kommunizieren, sind nicht geregelt".
Space Oddities, oder: Wie sicher sind Satelliten?
Satelliten werden über ein so genanntes Bussystem gesteuert, über das sie auch kommunizieren. Der Bus besteht aus dem Kommunikationsmodul (COM), das Funknachrichten von der Bodenstation empfängt, und dem Command and Data Handling System (CDHS), das alle eingehenden Befehle verarbeitet und ausführt. Das COM ist sozusagen das Ohr des Satelliten, während das CDHS als sein Gehirn fungiert: Es beinhaltet eine Computerplattform, die auf der Grundlage einer vorinstallierten, bordseitigen Software, der Firmware, arbeitet. Satelliten ähneln somit anderen, gängigeren Computersystemen und sind auch ähnlich anfällig für Software-Angriffe. Ausgehend von der Annahme, dass Satellitensysteme weniger sicher sind als moderne Windows-, Linux- oder MacOS-Systeme, konzentrierten sich die Forscher auf die Angriffsflächen der Satelliten-Firmware.
Als Ausgangspunkt für ihre Untersuchung erstellten sie eine Taxonomie möglicher Bedrohungen für die Satelliten-Firmware. Sie identifizierten drei übergeordnete Angreiferziele und skizzierten alle denkbaren Angriffswege, die zu deren Verwirklichung genutzt werden könnten. Ein Angriff kann darauf abzielen, die Verfügbarkeit des Satelliten zu stören, Zugang zu Satellitendaten zu erhalten, oder gleich die Kontrolle über den gesamten Satelliten zu erlangen. Dieses letztgenannte Angreiferziel birgt gleichzeitig das größte Schadenspotenzial: Wird ein Satellit gekapert und für den Angriff auf einen anderen genutzt, können die beim Aufprall entstehenden Trümmer einen Dominoeffekt auslösen, bei dem der Weltraum mit losen Satellitenteilen geschwemmt wird. Dieser als Kessler-Syndrom bezeichnete Effekt ist nach Abbasis Worten jedoch größtenteils "Hollywood-Kram".
"Wenn Angreifende erstmal Zugang erlangen, hat man Pech": Schwachstellen in der Firmware
Ob Hollywood-Kram oder nicht, das Forscherteam um den Doktoranden Johannes Willbold konnte erfolgreich Fehlerzustände auf dem CDHS auslösen und im angewandten Teil der Studie die vollständige Kontrolle über zwei von drei realen LEO-Satelliten übernehmen. Den Zugang zu den Firmware-Images dieser Satelliten hatten die Forschenden zum Zweck einer Sicherheitsanalyse erhalten. Zu den institutionellen Eigentümern der Satelliten hatten sie zuvor belastbare, vertrauensvolle Arbeitsbeziehungen aufgebaut.
Die Ergebnisse dieser drei Fallstudien verdeutlichen, dass eine wissenschaftliche Auseinandersetzung mit der Sicherheit von Satelliten überfällig gewesen ist. Die wichtigsten Erkenntnisse der Studie betreffen die Sicherheit des COM. Als Eingangspunkt für Funknachrichten von der Bodenstation sollte das COM idealerweise eine Türsteherfunktion ausüben und verdächtige Befehle abwehren. Erfüllt es diese Rolle nicht, kann das CDHS durch unvorhergesehene Eingaben angegriffen werden. Wenn es diesen Eingaben gelingt, einen Fehlerzustand in der Onboard-Software auszulösen, greifen sie sozusagen direkt in das Gehirn des Satelliten ein.
Obwohl es sich bei Satelliten um hochkomplexe Systeme handelt, sind die in der Studie aufgedeckten Software-Schwachstellen erstaunlich gewöhnlich. Holz erklärt: "In der Linux- oder Windows-Welt untersuchen wir Softwarefehler dieser Art schon seit vielen Jahren. Aber bei den vorliegenden, eingebetteten Systemen liegen die Schutzmaßnahmen 20 Jahre hinter dem zurück, was wir von herkömmlichen Systemen kennen.“ Willbold betont, dass der wirksamste Schutzmechanismus derzeit außerhalb des Systems liegt: "Die Barriere ist der Zugang. Aber wenn Angreifende erst einmal Zugang erlangen, hat man Pech."
Verantwortungsvolle Offenlegung: Für mehr Satellitensicherheit
Vor der Veröffentlichung ihrer Studie meldeten die Forschenden alle entdeckten Softwareprobleme an die Eigentümer der drei Satelliten. Dieses Verfahren, die so genannte verantwortungsvolle Offenlegung, ist Teil ihres beruflichen Verhaltenskodex. Und auch für die Förderung der Satellitensicherheit ist sie unerlässlich. Künftig können diese Systeme nur geschützt werden, wenn Forschende, Betreiber:innen und Entwickler:innen zusammenarbeiten, wie Abbasi betont: "Diejenigen, die ihre Satelliten-Firmware mit uns geteilt haben, haben Mut bewiesen. Ihnen liegt die Cybersicherheit wirklich am Herzen, denn kurzfristig haben sie damit nichts gewonnen: Es gibt vielleicht ein Problem mit ihrer Software, aber mit jeder Software gibt es Probleme. Langfristig haben sie aber geholfen, Weltraumsysteme zu schützen".
