Wie angreifbar sind unsere Satelliten?

Nicht sicher: Die meisten Satelliten im Erdorbit sind kaum gegen Hackerangriffe und Manipulation geschützt, warnen Informatiker. In einem Test gelang es ihnen, drei Satelliten zu hacken und bei zweien die volle Kontrolle zu übernehmen. Möglich ist dies aufgrund der meist ungenügend geschützte Bordsoftware solcher Satelliten: In puncto Sicherheit hinkt ihre Firmware den gängigen Protokollen irdischer Computersysteme weit hinterher, wie die Forschenden berichten. Angesichts der rasant wachsenden Satelliten-Konstellationen im Orbit bestehe hier dringender Handlungsbedarf.

Seit dem Start des ersten Satelliten „Sputnik“ im Jahr 1957 hat sich in der Erdumlaufbahn viel verändert: Heute kreisen mehr als 7.000 aktive Satelliten im niedrigen Erdorbit, darunter einige große Erdbeobachtungs-, Forschungs- und Wettersatelliten, Kommunikationssatelliten und militärische Spionagesatelliten. Dazu kommen tausende Kleinsatelliten von Mega-Konstellationen wie Starlink, OneWeb oder Projekt Kuiper, die einen orbitgestützten Breitband-Internetzugang erlauben.

„Paradigmenwechsel im Orbit“

Doch diese neuen Konstellationen haben auch einen tiefgreifenden Wandel im Zugang zu solchen Satelliten ausgelöst: Früher war der Zugriff auf orbitale Vehikel nur über spezielle, gut geschützte Bodenstationen möglich. Satellitenbetreiber verließen sich daher darauf, dass ihre Satelliten für potenzielle Angreifer schwer auffindbar und nicht kontaktierbar waren – das Motto lautete „Sicherheit durch Verborgenheit“.

Weil Starlink und Co aber Internet für alle und überall bieten sollen, bieten die Nutzerterminals eine direkte Verbindung zur Konstellation. „Damit findet gerade ein Paradigmenwechsel statt. Und jeder Paradigmenwechsel bringt Sicherheitsprobleme mit sich“, erklärt Ali Abbasi vom Helmholtz Zentrum für Informationssicherheit CISPA. Denn jetzt sind Satelliten deutlich zugänglicher als früher und das wirft die Frage auf, wie gut ihre Software gegen Hacker und unautorisierte Zugriffe geschützt ist.

„Weil diese Satelliten über kabellose Verbindungen kontrolliert werden und Mikrokontroller besitzen, sind sie potenziell ähnlich anfällig für Angriffe wie jede andere vernetzte IT-Plattform auf der Erde“, erklären Abbasi und seine Kollegen.

Wo ist ein Satellit angreifbar?

Wie anfällig Satelliten tatsächlich sind und wo die Schwachstellen liegen, hat Abbasis Team gemeinsam mit Kollegen von der Ruhr-Universität Bochum genauer untersucht. Typischerweise ist der Zugriff vor allem bei größeren Satelliten zweigeteilt: Es gibt einen Zugang zum Kontrollmodul des Satelliten, über die der Betreiber Grundfunktionen und Flugmanöver steuert,und einen zweiten Zugang, über den der Datenverkehr der Nutzlast, beispielsweise eines wissenschaftlichen Instruments oder Internetmoduls, läuft. Nutzlast und Kontrollmodul sind jedoch meist über eine Verbindung verknüpft.

Gelingt es einem Hacker, entsprechende Befehle in die Funkverbindung einzuschleusen, kann er damit beispielsweise Funktionen der Nutzlast manipulieren – etwa Beobachtungsdaten löschen und verändern. Denkbar wären aber auch Angriffe, durch die ein Hacker Zugriff auf das Kontrollmodul erlangt und damit den gesamten Satelliten unter seine Kontrolle bringen kann. Eine dritte Möglichkeit sind Angriffe wie eine Denial-of-Service-Attacke, die das angegriffene Modul blockieren oder lahmlegen.

Hacking-Attacke auf drei Testsatelliten

Ob solche Angriffe praktisch möglich sind, haben Abbasi und sein Team am Beispiel dreier unterschiedlich komplexer Satelliten getestet: einem estländischen CubeSat, der in Kooperation mit dem Deutschen Zentrum für Luft- und Raumfahrt (DLR) entwickelt wurde, dem OPS-Sat-CubeSat der Europäischen Weltraumorganisation ESA und dem „Flying Laptop“ von Airbus und der Universität Stuttgart. „Er ist ein gutes Beispiel für einen größeren und komplexeren Satelliten, weil sein Computersystem ähnlich arbeitet wie bei diesen“, erklärt das Team.

Das Ergebnis: „Alle drei Satelliten zeigen verschiedene Formen von angreifbaren Software-Schwachstellen und sind im Großen und Ganzen unzureichend gegen Attacken geschützt“, berichten Abbasi und sein Team. Bei den beiden CubeSats gelang es den Forschern zudem, Befehle in das Kontrollmodul der Satelliten einzuschleusen und ausführen zu lassen. „Dies erlaubte es uns, mithilfe der Firmware-Schwachstellen Kontrolle über den Satelliten zu erlangen – das wurde bisher noch nie demonstriert“, so die Forscher.

Schutzstandards hinken 20 Jahre hinterher

Nach Ansicht der Informatiker demonstrieren diese Ergebnisse, dass wahrscheinlich nicht wenige Satelliten im niedrigen Erdorbit anfällig gegen Hackerangriffe sind. Eine Auseinandersetzung mit der Software-Sicherheit von Satelliten sei daher dringend nötig. „Unsere Resultate unterstreichen auch, dass die vorherrschenden Annahmen der Sicherheit durch Unzugänglichkeit überholt sind“, erklären sie.

Die Tests enthüllten außerdem, dass die aufgedeckten Schwachstellen in der Satelliten-Software erstaunlich gewöhnlich sind: „In der Linux- oder Windows-Welt untersuchen wir Softwarefehler dieser Art schon seit vielen Jahren“, erklärt Koautor Thorsten Holz vom CISPA. „Aber bei den vorliegenden, eingebetteten Systemen liegen die Schutzstandards 20 Jahre hinter dem zurück, was wir von herkömmlichen Systemen kennen.“

Um Satellitensysteme besser zu schützen, müssen nun Forschende, Betreiber und Software-Entwickler zusammenarbeiten. Die Eigentümer der drei getesteten Satelliten wurden bereits über die entdeckten Softwareprobleme informiert. „Diejenigen, die ihre Satelliten-Firmware mit uns geteilt haben, haben Mut bewiesen, denn kurzfristig haben sie damit nichts gewonnen. Langfristig haben sie aber geholfen, Weltraumsysteme zu schützen“, sagt Holz. (IEEE Symposium on Security and Privacy, 2023; Preprint)

Quelle: CISPA Helmholtz Center for Information Security