CYD Campus identifiziert Sicherheitslücken im Kollisionswarnsystem TCAS II von zivilen Flugzeugen
Letzte Woche bestätigten amerikanische Sicherheitsbehörden gravierende Schwachstellen im Kollisionswarnsystem der zivilen Luftfahrt. Ein im Vorfeld durchgeführtes Forschungsprojekt des Cyber-Defence Campus (CYD) von armasuisse Wissenschaft und Technologie (W+T) in Zusammenarbeit mit italienischen Forschenden hat wesentlich zur Aufdeckung der Schwachstellen beigetragen.
Samuel Albrecht und Andrea Thäler, Fachbereich Cybersicherheit und Data Science, Kompetenzbereich Wissenschaft und Technologie
In Kürze
Der CYD Campus vom Bundesamt für Rüstung hat dem Kollisionswarnsystem «Traffic Alert and Collision Avoidance System (TCAS) II» der zivilen Luftfahrt einer umfassenden technischen Sicherheitsanalyse unterzogen. Die Hersteller und Luftfahrtbehörden wurden in Europa und den USA informiert. Die veröffentlichten Schwachstellen wurden von der amerikanischen Cyber Defence Agentur (CISA) und der Federal Aviation Authority (FAA) der USA als mittelschwer, respektive schwer eingestuft.
Am 11. Dezember 2024 ist eine Boeing 737-800 im Landeflug auf den John F. Kennedy Flughafen in New York City. Was zuerst nach einer normalen Landung aussieht, wird plötzlich ungewöhnlich. Auf dem TCAS-Display des Flugzeugs erscheint eine Kollisionswarnung. Der Pilot wird vom TCAS-System aufgefordert, sofort die mögliche Kollision zu vermeiden und auf 3700 Fuss zu steigen, was er vorschriftsgemäss befolgt. Im Nachgang wird von der Flugsicherung und vom Piloten festgestellt, dass kein anderes Flugobjekt in der Nähe war und zu keinem Zeitpunkt eine Kollisionsgefahr bestand. Handelt es sich hier um ein technisches Problem oder eine neue Art von Cyberangriffen?
Forschung im CYD Campus
Mit diesem Thema beschäftigen sich Forschende des CYD Campus bereits seit über 5 Jahren. Das dafür aufgebaute Cyber Avionics Lab in Thun erlaubt es, Cyberangriffe auf zertifizierte Luftfahrtsysteme zu untersuchen. Bereits vor Jahren haben Forschende des CYD Campus auf diesem Gebiet Pionierarbeit geleistet. Diverse Systeme wie ADS-B, MLAT, CDPLC und GPS wurden dabei unter die Lupe genommen, um aufzuzeigen wie diese digitalen Aviatik Systeme auf realistische Cyberangriffe reagieren würden.
In den letzten zwei Jahren hat sich ein Team vom CYD Campus zusammen mit italienischen Forschenden mit der Untersuchung von TCAS II intensiv befasst. Dieses System ist in der zivilen Luftfahrt für Flugzeuge ab 5,700 kg Gewicht oder mehr als 19 Passagiere vorgeschrieben und dient als letzte Massnahme zur Kollisionsvermeidung, wenn alle anderen Prozeduren zur Einhaltung der Distanz zwischen Flugobjekten versagt haben. Die Piloten sind verpflichtet sofort auf TCAS-Kollisionswarnungen zu reagieren, wie beispielsweise mit einer Anpassung ihrer Flughöhe nach oben oder nach unten. Im Nachgang an die Flugzeugkollision von Überlingen im Jahr 2002 verpflichtete man sich dazu den TCAS-Weisungen zu folgen.
Im Herbst 2023 ist es dem Team gelungen, in ihrem Labor auf einem zertifizierten TCAS-Prozessor von Garmin mit einem eigenen Funk-Setup falsche Warnungen auf einem Pilot Cockpit auszulösen. Diese Ergebnisse wurden anschliessend im Sommer 2024 an der DEF CON Hacker Konferenz in Las Vegas und an der Usenix Sicherheitskonferenz in Philadelphia demonstriert.
Seit der initialen Meldung des CYD Campus im Sommer 2024 haben sich weltweit verschiedene Sicherheits- und Luftfahrtbehörden mit diesem Problem auseinandergesetzt. Die amerikanische Cyber Agentur CISA des Department of Homeland Security hat zusammen mit der FAA der USA als erste Organisation am 21. Januar 2025 eine Sicherheitsmitteilung herausgegeben. Sie stufen die zwei gefunden Schwachstellen vom CYD Campus als mittelschwer, respektive schwer ein. Diese Einstufung ist wegweisend für weitere betroffenen Regionen ausserhalb der USA, welche TCAS vorschreiben, inklusive Europa.
Ausblick und Fazit aus Sicht CYD Campus
Gemäss FAA gibt es zurzeit keine praktischen Gegenmassnahmen. Hingegen ist eine erfolgreiche Durchführung eines solchen Angriffs in der Praxis mit einigen Einschränkungen und mit einer hohen Komplexitätsstufe verbunden. Dennoch sollte das Risiko nicht unterschätzt werden und es wird den betroffenen Organisationen empfohlen, kompensatorische Massnahmen zur Erkennung solcher Angriffe zu ergreifen, um im Falle eines Falles angemessen reagieren zu können.