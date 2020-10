Flugzeugbauer wie Airbus und Boeing prüfen ihre Luftfahrzeuge zwar umfassend auf mögliche Schwächen im Bereich Cybersicherheit, erkennt das Government Accountability Office (GAO) in einem am Freitag veröffentlichten Bericht an. Es gebe auch keine Meldungen über erfolgreiche Hackerattacken auf die Bordelektroniksysteme von Flugzeugen. Allerdings könnte die verstärkte Vernetzung zwischen Flugzeugen und anderen Systemen im Lichte allgemein wachsender Bedrohungen im Bereich IT-Security zu "zunehmenden Risiken für die künftige Flugsicherheit führen".

Sicherheitsupdates und Schadprogramme

Moderne Flieger seien mit Netzwerken und Systemen ausgestattet, die etwa für die Navigation oder den Wetterbericht umfangreich Daten mit Piloten, Passagieren, Wartungsbesatzungen, anderen Flugzeugen und Fluglotsen austauschten, schreibt die mit dem Bundesrechnungshof vergleichbare Behörde in ihrer Analyse. Dazu kämen etwa Anlagen für Internet oder Unterhaltung an Bord. Wenn solche Avioniksysteme aber nicht angemessen geschützt seien, "könnten sie einer Vielzahl potenzieller Cyberattacken ausgesetzt sein".

Verwundbarkeiten sieht das GAO etwa gegeben, wenn bei kommerzieller Software Sicherheitsupdates (Patches) nicht eingespielt oder Schadprogramme eingeschleust werden beziehungsweise die Lieferketten unsicher sind. Auch veraltete Systeme in älteren Flugzeugen sehen die Prüfer besonders gefährdet. Zudem könnten Flugdaten gefälscht werden.

Fehlendes Schulungsprogramm

Angesichts dieser potenziellen Schwachstellen ruft das GAO nach einer stärkeren Kontrolle durch die US-Bundesluftfahrtbehörde. Die Federal Aviation Administration (FAA) habe zwar ein Verfahren für die Zulassung und Überwachung aller US-Verkehrsflugzeuge eingeführt, heißt es in der Studie. Eingeschlossen sei der Betrieb kommerzieller Luftfahrtunternehmen. Die FAA habe ferner die Cybersicherheit der Bordelektronik als potenzielles Sicherheitsproblem ausgemacht. Schlüsselpraktiken, die für ein "risikobasiertes Cybersicherheits-Aufsichtsprogramm erforderlich sind", würden aber nicht vollständig umgesetzt.

Vor allem habe die FAA ihren Prüfmechanismus nicht bewertet, um eine Rangfolge von Cybersicherheitsrisiken an Bord zu bestimmen, moniert das dem Kongress unterstellte Untersuchungsorgan. Zudem existiere bei der Behörde kein Schulungsprogramm, sie gebe keine Leitlinien für unabhängige Cybersicherheitstests heraus und habe keine regelmäßigen Proben als Teil ihres Überwachungsprozesses vorgesehen. So könne die FAA möglicherweise keinen Schutz vor "den sich entwickelnden Cybersicherheitsrisiken" in Verkehrsfliegern sicherstellen.

Korrekturmaßnahmen empfohlen

Das GAO hat der Fachbehörde daher sechs Korrekturmaßnahmen empfohlen. Demnach soll die FAA etwa ihren Personal- und Schulungsbedarfs für Inspektoren ermitteln, die sich speziell mit der IT-Sicherheit der Bordelektronik befassen. Die Aufsicht müsse auch Leitlinien für einschlägige unabhängige Tests neuer Flugzeugdesigns entwerfen und die Wirksamkeit der Kontrollen der bereits eingesetzten Flotte überprüfen. Die FAA versprach dem Bericht zufolge, die Ratschläge fast alle zu berücksichtigen. Bei den bestehenden Testmechanismen gebe es aber keinen Korrekturbedarf.

