Wenn Sie sich den sichersten Ort der Welt vorstellen müssten, würden Sie vielleicht zunächst an einen Militärbunker oder spezielle Rückzugsgebäude des US-Präsidenten denken. Doch für uns Normalmenschen ist die stärkste Sicherheit, mit der wir in Berührung kommen, am Flughafen zu finden. Bewaffnete Sicherheitsbeamte, sowie mehrfache Security-Prüfungen und Passkontrollen bilden einen 360-Grad-Rundumschutzbereich, durch den Terroristen und Kriminelle nicht einfach so an Bord großer Boeings und Airbusse spazieren können. Deshalb hat es mich schockiert zu hören, dass die amerikanische Flugaufsichtsbehörde TSA, sowie ähnliche Agenturen anderer Länder, sich mehr auf die physikalische Sicherheit konzentrieren als auf die Cyber-Sicherheit.
Beim Security Analysts Summit 2014 von Kaspersky Lab präsentierten die Qualys-Experten Billy Rios und Terry McCorkle ihren Forschungsbericht: Sie erklärten, wie Sie ein wichtiges Element der Flughafensicherheit genau untersuchten: die Röntgenmaschine, ein sogenanntes X-Ray Introscope. Kurz zur Erklärung: Dieses Introscope ist bei der Sicherheitskontrolle das Gehäuse am Laufband, das Ihre Taschen schluckt und deren Inhalt mit solarisierten Farben auf dem Bildschirm der Sicherheitsbeamten anzeigt. Das Gerät wird über eine spezielle Tastatur gesteuert und sieht nicht gerade wie ein Computer aus, ist aber im Grunde nichts anderes, als ein hochspezialisierter Scanner, der an einen normalen PC angeschlossen ist, auf dem unter einem normalen Windows-System eine spezielle Software läuft.
Rios und McCorkle haben sich für ihre Untersuchung über eine Online-Auktion ein gebrauchtes Rapiscan-522B-Introscope besorgt und dessen Software-Komponenten überprüft. Das Ergebnis war für die erfahrenen Sicherheits-Experten schockierend. Zum einen läuft der Computer unter Windows 98, das mittlerweile über 15 Jahre alt ist. Microsoft unterstützt das Betriebssystem seit Jahren nicht mehr und Sie können sich vorstellen, wie viele ausnutzbare und ungepatchte Sicherheitslücken auf alten Computern mit Win98 noch existieren. Damals war es noch möglich, einen Computer zu infizieren, indem man einfach eine Verbindung mit dem Netzwerkanschluss herstellte und direkt mit dem Betriebssystem kommunizierte, ohne etwas über die Software-Konfiguration usw. zu wissen. Zum zweiten stellte sich heraus, dass sich die spezielle Sicherheits-Software sehr auf physikalische Sicherheit, also auf den Inhalt von Taschen, konzentriert. Die Sicherheit des Computers ist definitiv keine Priorität. Benutzerpasswörter sind im Klartext gespeichert und es gibt zahlreiche Möglichkeiten, sich an dem System anzumelden, ohne Nutzernamen oder andere Kleinigkeiten zu kennen. „Das System teilt zwar mit, dass ein Fehler aufgetreten ist, meldet Sie aber dann trotzdem an“, sagt Rios dazu. Die wichtigste Erkenntnis aus der Untersuchung ist aber die dritte.
Virtelle Gewehre
Das Bild, das die Sicherheitsbeamten auf dem Bildschirm sehen, ist im Grunde eine Computersimulation, denn die Röntgenbilder enthalten keine Farben. Der Computer nutzt eine spezielle, maßgeschneiderte Bildbearbeitung, die dem Beamten vor dem Bildschirm dabei hilft, schnell bestimmte Dinge, etwa metallische Objekte oder Flüssigkeiten, herauszuheben. Dabei stehen mehrfache „Filter“ zur Verfügung, doch die Software geht noch viel weiter.
Da die Bedrohung bei der Sicherheitskontrolle mit dem Introscope sehr gering ist (denn keiner wird heutzutage versuchen, eine Waffe ins Flugzeug zu bringen), halten die Aufseher die Sicherheitsbeamten wachsam, indem sie sporadisch Bilder von Waffen in die echten Tascheninahlte einfügen. Wenn der Beamte eine Pistole oder ein Messer sieht (das System bietet Dutzende solcher Bilder), muss er den Alarmknopf drücken. Bei diesem Tranings-Szenario wird zwar kein echter Alarm ausgelöst, doch das interne Bewertungssystem notiert die Aufmerksamkeit des Beamten. Dieser Trick ist schlau, wirft aber auch Fragen auf. Welche Arten der Grafikbearbeitung können mit dem Taschenbild noch gemacht werden? Wäre es möglich, ein neutrales Bild hinzuzufügen, das eine echte Waffe auf dem Bildschirm überdeckt? So etwas ist theoretisch möglich,wenn man bedenkt, wie veraltet und anfällig die Software-Konfiguration auf dem geprüften Scanner ist.
Keine Bedenken?
Stornieren Sie nicht gleich Ihren nächsten Flug, so schlimm ist das alles nicht. Zum einen sind die Computer im Sicherheitsbereich von Flughäfen nicht mit dem Internet verbunden. Man kann sie zwar lokal hacken, doch das ist für einen hypothetischen Angreifer eine ganz schöne Herausforderung. Zum zweiten gibt es zahlreiche Anbieter von Röntgengeräten und die Qualys-Forscher haben nur ein einziges Gerät getestet (das nicht neu war). Ich hoffe wirklich, dass andere sicherer sind.
Zum dritten ist die Flughafensicherheit vielschichtig und viele Spezialisten sind der Meinung, dass die gut sichtbaren Metalldetektoren und Introscopes die unwichtigsten Teile davon sind. Und selbst im unwahrscheinlichen Fall, dass die Scanner nicht richtig funktionieren, gibt es noch andere Sicherheitsmaßnahmen. Allerdings zeigt uns die Untersuchung von Qualys, dass traditionelle Sicherheitsmaßnahmen wie die Zugangskontrolle und das so genannte „Airgapping“ (Netzwerkisolierung), kein Ersatz für spezielle Schichten für die Cyber-Sicherheit sind. Die TSA hat sehr detaillierte Standards, die die Konfiguration der Sicherheitskontrollen beschreiben, inklusive kleiner Details wie der Größe der Plastikschalen für die Passagiere. Diese Standards müssen auch detaillierte Beschreibungen der IT-Sicherheitsmaßnahmen enthalten, denn Flughafen-Sicherheitssysteme fallen auf jeden Fall in die Kategorie kritische Infrastrukturen. Nur dann kann die langfristige Sicherheit auf Flughäfen und in Flugzeugen sichergestellt werden.
P.S.: Dieser Artikel wurde komplett an Bord eines Airbus A330 geschrieben, auf dem Weg von Teneriffa nach Moskau. Trotz mancher Sicherheitslücken habe ich nach wie vor keine Angst vor dem Fliegen.