Satellitensicherheit
Copyright (C) 03/2003 by Howard Fuhs
Über die Sicherheit oder besser die Unsicherheit von Satellitensystemen wird anscheinend nur wenig veröffentlicht, denn eine entsprechende Suche fördert nur wenige Quellen zutage. Dabei sollten gerade die Anwender und Nutzer einer solchen Infrastruktur über die damit verbundenen möglichen und spezifischen Risiken und Probleme informiert sein. Es scheint sich um ein Tabu-Thema zu handeln, über das entweder keiner etwas zu sagen hat oder etwas sagen darf.
Wie jede andere Kommunikationsinfrastruktur auch, sind Satellitensysteme angreifbar und können missbraucht werden. Jeder der aus den Reihen des Militärs kommt und dort im Bereich der Elektronischen Kriegführung tätig war, wird dies bestätigen können. Die Frage ist nur, wie hoch ist der Einsatz für einen Angreifer, um in der Liga des Satellitenmissbrauchs mitspielen zu dürfen? Während die Aussagen von Satelliten-Service Providern von "unmöglich" bis "viel zu teuer" reichen, etabliert sich seit einigen Jahren ein Untergrund, der mit Investitionen von einigen hundert Euro bereits Erfolge vorweisen kann. Waren es vor einigen Jahren noch analoge Systeme, die abgehört oder manipuliert werden konnten, wird in letzter Zeit zunehmend auch in die angeblich so sicheren digitalen Systeme erfolgreich eingedrungen. Wer bestimmte Newsgroups im Internet regelmäßig mitliest, wird bestätigen können, dass Hinweise auf Anleitungen (sogenannte HowTo's) immer wieder dezent veröffentlicht werden.
Es sollte eigentlich allen Beteiligten, vom Hersteller über den Provider bis hin zum Kunden klar sein, dass Satelliten eine teure und wertvolle Infrastruktur darstellen. Nach dem Anschlag in New York auf die beiden Türme des World Trade Centers wurden in den Vereinigten Staaten neue Behörden geschaffen, wie z.B. das Office of Homeland Security oder das Critical Infrastructure Assurance Office (CIAO), die u.a. die Aufgabe hatten, kritische Infrastrukturen zu identifizieren und Vorschläge zum Schutz dieser kritischen Infrastrukturen (z.B. die National Strategy for Homeland Security) zu erarbeiten. Dazu sollten auch die Satellitensysteme gehören. Doch viele Behörden verderben den Brei.
Von der Öffentlichkeit nur wenig beachtet, hat das amerikanische General Accounting Office im November 2002 einen Report unter dem Titel "Critical Infrastructure Protection - Commercial Satellite Security Should Be More Fully Addressed" im Internet (www.gao.gov/cgi-bin/getrpt?GAO-02-781) herausgegeben. Dabei wurde dieser Report bereits im August 2002 verfasst und zuerst den unmittelbar Beteiligten für Kommentare zur Verfügung gestellt, bevor der Report veröffentlicht wurde. Wer diesen Report aufmerksam durchliest, wird feststellen müssen, dass bei der Identifizierung von kritischen Infrastrukturen in den USA offensichtlich geschlafen wurde, denn kommerzielle Satellitensysteme wurden in den entsprechenden Sicherheitsplanungen nicht oder nur wenig berücksichtigt. Auch die Fragen, die das GAO and Satellitenbetreiber gestellt hat und die Antworten, die es darauf bekam, sind recht vielsagend. Vor allem, wenn man sich nebenher auch etwas mit dem Untergrund der Satellitenhacker befasst. So beschleicht einen das Gefühl, dass zwar die richtigen Fragen gestellt, nur die falschen Leute gefragt wurden.
Mit diesem Report hat das GAO einen Wake-Up-Call an die Betroffenen gesendet, der dort aber immer noch nicht angekommen zu sein scheint. Zumindest lassen die Reaktionen darauf schließen. In Stellungnahmen konnte man geradezu die Vogel-Strauß-Politik heraushören. Dabei war für viele Betroffene nicht der Inhalt des Reports peinlich, sondern die Tatsache, dass das GAO den Report der Öffentlichkeit zugänglich gemacht hat. Nichts in dem Report ist wirklich neu. Jeder bessere Satellitentechniker wird den Inhalt bestätigen können. Nur darf er das nicht in der Öffentlichkeit, ohne das Risiko einzugehen seinen Arbeitsplatz zu verlieren. Wobei wir bei einer der ältesten Sicherheitstechniken angekommen sind - Security-By-Obscurity.
Dieses Sicherheitskonzept wurde im Computerbereich vermeintlich erfolgreich seit Bestehen des ersten Computers eingesetzt und im Laufe der Jahre immer mehr und mehr ad absurdum geführt. Es ist seit mehr als zehn Jahren im Bereich der Computersicherheit eine anerkannte Tatsache, dass mit Security-By-Obscurity kein System wirklich sicher gemacht wird. Es hat noch viele Jahre gedauert, bis dieser Erkenntnisprozess auch bei der Computer- und hier vor allem bei der Software-Industrie ankam und langsam in die Produkte einfloss. Und jetzt soll alles wieder von vorne beginnen, nur diesmal im Telekommunikationsbereich und in der Satellitentechnik. Wäre es für die Industrie in diesen Bereichen nicht einfacher und kostengünstiger, aus den Fehlern der Computer-Industrie zu lernen, als die gleichen Fehler wieder zu begehen? Immerhin leben wir im 21. Jahrhundert, mit Internet und einer Computer-Durchdringung von über 60% in den technologisch fortschrittlicheren Gesellschaften. Getreu dem Gates'schen Motto "Information at your fingertips" kann Sicherheit durch Geheimniskrämerei nicht mehr funktionieren.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 03/2003 by Howard Fuhs