idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Mittlerweile befinden sich im Orbit um die Erde Tausende von Satelliten, und es werden noch viel mehr werden. Wie es aus IT-Perspektive um die Sicherheit dieser Systeme bestellt ist, haben Forschende der Ruhr-Universität Bochum und vom CISPA Helmholtz-Zentrum für Informationssicherheit in Saarbrücken untersucht. Sie analysierten drei aktuelle Low-Earth-Orbit-Satelliten und stellten fest, dass aus technischer Sicht kaum moderne Sicherheitskonzepte eingesetzt wurden. Diverse Sicherheitsmechanismen, die heute in Handys und Laptops gängig sind, waren nicht zu finden: Beispielsweise gab es keine Trennung von Code und Daten.
Interviews mit Entwicklerinnen und Entwicklern von Satelliten ergaben zudem, dass man sich in der Branche vorrangig auf Sicherheit durch Geheimhaltung verlässt. Die Ergebnisse präsentierte ein Team um den Bochumer Doktoranden Johannes Willbold, den Saarbrücker Forscher Dr. Ali Abbasi und Prof. Dr. Thorsten Holz, früher in Bochum, heute in Saarbrücken, auf dem IEEE Symposium on Security and Privacy, das vom 22. bis 25. Mai 2023 in San Francisco stattfand. Die Arbeit wurde auf der Konferenz mit einem Distinguished Paper Award ausgezeichnet.
Forschungssatelliten und kommerzieller Satellit im Test
Bei den untersuchten Satelliten handelte es sich um zwei kleine Modelle und ein mittelgroßes Modell – sowohl ein Forschungssatellit als auch ein Satellit eines kommerziellen Unternehmens –, die in geringer Entfernung die Erde umkreisen und für die Erdbeobachtung eingesetzt werden. Zugriff auf Satelliten und deren Software zu erhalten, war für das Team eine Herausforderung, da gerade kommerzielle Anbieter sich selten in die Karten schauen lassen wollen. Kooperationen mit der European Space Agency (ESA), verschiedenen Universitäten, die am Bau von Satelliten mitwirken, sowie mit einem Unternehmen ermöglichten schließlich den Zugriff.
Das Bochumer-Saarbrücker Team unterzog die drei Modelle einer aufwendigen Analyse. Sie schauten im Detail, was die Software, die auf den Geräten läuft, macht und welche Kommunikationsprotokolle verwendet werden. Sie emulierten die Systeme, bauten sie also virtuell nach, sodass sie die Software so testen konnten, als ob sie sich in einem echten Satelliten befinden würde. „Das war eine ganz andere Welt als die Systeme, die wir sonst untersuchen. Es kamen beispielsweise ganz andere Kommunikationsprotokolle zum Einsatz“, resümiert Thorsten Holz.
Systeme mit speziellen Anforderungen
Satelliten, die die Erde umkreisen, sind immer nur in einem Zeitfenster von wenigen Minuten für ihre Bodenstation auf der Erde erreichbar. Die Systeme müssen robust gegen die Strahlung im Weltall sein, dürfen nur wenig Energie verbrauchen und haben eine entsprechend geringe Leistung. „Die Datenraten sind wie bei Modems der 1990er-Jahre“, erklärt Holz die Herausforderungen, denen sich Satelliten-Entwickler gegenübersehen.
Basierend auf den Erkenntnissen der Software-Analyse erarbeiteten die Forschenden verschiedene Angriffsszenarien. Sie zeigten, dass sie die Satelliten von der Kontrolle durch die Bodenstation abschneiden und selbst die Steuerung der Systeme übernehmen konnten, um beispielsweise Bilder mit der Satellitenkamera zu machen. „Wir waren überrascht, dass das technische Sicherheitsniveau so gering ist“, sagt Thorsten Holz, schränkt aber gleichzeitig die möglichen Konsequenzen ein: „Es wäre nicht so leicht, den Satelliten an einen anderen Ort zu steuern, beispielsweise zum Absturz zu bringen oder mit anderen Objekten kollidieren zu lassen.“
Umfrage unter Entwicklerinnen und Entwicklern
Um herauszufinden, welches Sicherheitsverständnis bei den Personen herrscht, die Satelliten entwickeln und bauen, konzipierte das Forschungsteam einen Fragebogen und schickte ihn an Forschungseinrichtungen, die ESA, das Deutsche Zentrum für Luft- und Raumfahrt sowie verschiedene Firmen. 19 Personen beteiligten sich anonym an der Befragung. „Die Ergebnisse zeigen uns, dass das Sicherheitsverständnis in der Branche ein anderes ist als in vielen anderen Bereichen, nämlich Security by Obscurity“, fasst Johannes Willbold zusammen. Viele der Befragten gingen also davon aus, dass Satelliten nicht angegriffen werden könnten, weil es keine Dokumentation der Systeme gibt, also nichts über sie bekannt ist. Nur wenige gaben an, Daten bei der Kommunikation mit den Satelliten zu verschlüsseln oder eine Authentifizierung zu nutzen, sodass sichergestellt wäre, dass nur die Bodenstation mit dem Satelliten kommunizieren darf.
„Eine fehlende Dokumentation schützt aber nicht vor Angriffen“, sagt Moritz Schloegel, ein weiterer Autor der Arbeit. „Mittlerweile kann man Systeme über Reverse Engineering verstehen und ihre Schwachstellen finden. Ein Ziel unserer Arbeit war daher auch, die Satelliten- und Security-Communitys zusammenzubringen, um ein gegenseitiges Verständnis von den Herausforderungen bei der Anwendung im Weltall und von den heute üblichen Sicherheitsstandards zu fördern.“
Förderung
Die Arbeiten wurden gefördert vom Europäischen Forschungsrat (Grant 101045669), dem Bundesministerium für Bildung und Forschung (Projekt CPSec – 16KIS1564K) sowie dem NRW-Ministerium für Kultur und Wissenschaft im Rahmen des Graduiertenkollegs SecHuman.
Johannes Willbold
Systemsicherheit
Fakultät für Informatik
Ruhr-Universität Bochum
E-Mail: johannes.willbold@ruhr-uni-bochum.de
Prof. Dr. Thorsten Holz
Helmholtz-Zentrum für Informationssicherheit CISPA
Tel.: +49 681 87083 2909
E-Mail: holz@cispa.de
Johannes Willbold, Moritz Schloegel, Manuel Vögele, Maximilian Gerhardt, Thorsten Holz, Ali Abbasi: Space odyssey: An experimental software security analysis of satellites, In IEEE Symposium on Security and Privacy Proceedings, 2023, DOI: 10.1109/SP46215.2023.00131, https://www.computer.org/csdl/proceedings-article/sp/2023/933600a001/1NrbXrwDZuw
https://publications.cispa.saarland/3934/1/SatSec-Oakland22.pdf Download Preprint
Das Innere des Satellitenmodells
RUB, Marquard
Moritz Schloegel (links) und Johannes Willbold analysierten die Sicherheit von Satelliten. In den Hä ...
RUB, Marquard
Merkmale dieser Pressemitteilung:
Journalisten
Informationstechnik
überregional
Forschungsergebnisse, Wissenschaftliche Publikationen
Deutsch
Das Innere des Satellitenmodells
RUB, Marquard
Moritz Schloegel (links) und Johannes Willbold analysierten die Sicherheit von Satelliten. In den Hä ...
RUB, Marquard
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
