Strandgut – Juli

Zur Jahresübersicht

Britische Atom-U-Boote durch Cyberattacken bedroht

Anfang Juni wurde vom British American Security Information Council (BASIC) einen Artikel mit dem Titel „Hacking UK Trident: A Growing Threat“ (Britische Trident hacken: eine wachsende Bedrohung) veröffentlicht. Dieser befasst sich mit der wachsenden Bedrohung durch Cyberattacken auf die zahlreichen Computersysteme an Bord der vier britischen U-Boote mit ballistischen Raketen (SSBN) der Vanguard-Klasse sowie in deren Infrastruktur.

BASIC ist eine kleine, in London ansässige Denkfabrik, deren höchstes Ziel und Vision die Befreiung der Welt von der nuklearen Bedrohung ist. In einem besonders dialogbasierten Ansatz setzt die anerkannt gemeinnützige Organisation sich für nukleare Abrüstung ein und möchte den politischen und gesellschaftlichen Diskurs über dieses Thema vor allem durch vertrauenswürdige Informationen fördern und so zu kreativen, neuen Lösungen der komplexen sicherheitspolitischen Probleme beitragen.

Durch das mediale Echo, das die Veröffentlichung dieses Artikels erfahren hat, dürfte den schon vorhandenen Sicherheitsbedenken bezüglich der Computersysteme der britischen SSBNs, über die im Strandgut Dezember 2016 berichtet wurde, weiter Vorschub geleistet werden. Der britische Verteidigungsminister Sir Michael Fallon versicherte noch am 15. Mai in einem BBC-Interview, dass die isoliert operierenden britischen Vanguard-Boote vollständig gegen Cyberangriffe geschützt seien und dass er vollstes Vertrauen in die britische nukleare Abschreckung habe. Die Frage, ob auf den Booten der Vanguard-Klasse noch Windows XP laufe wollte er unter Verweis auf Sicherheitsbedenken nicht beantworten, obwohl doch eine Reihe von genaueren Informationen darüber schon veröffentlicht wurden.

Der Waffenoffizier der HMS Vigilant hält den Abzug für die Raketen des Bootes in der Hand – Foto: PO(Phot) Simmo Simpson/MOD OGL

Die U-Boote der Vanguard-Klasse sollen, wie schon im Strandgut Juli 2016 beschrieben, mit ihren Trident-Raketen die nukleare Zweitschlagsfähigkeit Großbritanniens sicherstellen. Die Aussicht auf einen vernichtenden Vergeltungsschlag von einem idealerweise völlig unentdeckt mitten im Ozean operierendem Trident-Boot aus soll einen möglichen Angreifer von einem nuklearen Erstschlag abschrecken. Zur Erhaltung der Zweitschlagsfähigkeit geht die Royal Navy, anders als die US-Navy oder die russische Marine, so weit, den Besatzungen noch die Möglichkeit zu belassen, die Atomraketen aus eigenem Antrieb und ohne weitere Autorisierung der obersten Führung zu starten. Für den Fall, dass oberste britische Führung bei einem nuklearen Erstschlag ausfällt, befindet sich auf jedem der vier britischen SSBNs ein in einem speziellen Tresor gelagerter „Letter of Last Resort“ des amtierenden britischen Premierministers. Dieser handgeschriebene Brief enthält Anweisungen, wie sich der Kommandant in diesem Fall verhalten soll, speziell ob er den nuklearen Abzug, der auf Booten der Vanguard-Klasse einem Colt Peacemaker-Revolver nachempfunden wurde, drücken soll.

Die Konzentration der gesamten nuklearen Streitmacht Großbritanniens auf jeweils das eine ihrer SSBNs, welches sich gerade auf Patrouille zur Aufrechterhaltung der nuklearen Abschreckung befindet, macht dieses für einen Gegner zu einem besonders lohnenden Ziel. Schon seine Lokalisierung oder Einschränkung der Handlungsfähigkeit dieses U-Bootes versprächen ganz erhebliche strategische Vorteile für einen Gegner, von einer kompletten Neutralisierung des Bootes und damit der britischen Zweitschlagsfähigkeit ganz zu schweigen .

Die Experten von BASIC gehen in ihrem Artikel, bei dessen Erstellung keinerlei geheime, sondern nur veröffentlichte, oder allenfalls whistlegeblowte, Quellen benutzt wurden, davon aus, dass die Cyber-Bedrohung nur von anderen Staaten ausgehen könne. Terroristen würden wohl eher leichter zu erreichende Ziele mit mehr Öffentlichkeitswirkung als das Trident-Waffensystem bevorzugen. Private Hacker, Hacktivisten und Cyber-Kriminelle würden nach Ansicht der Autoren nicht über das nötige Know-How und vor allem nicht über die nötigen Ressourcen verfügen, um eine komplexe Operation in einem so großem Maßstab, wie das Eindringen in das Trident-Waffensystem durchzuführen. Nur andere, nuklear konkurrierende Staaten, die im ganzen Artikel nicht beim Namen genannt werden, hätten sowohl die ausgeprägte Motivation als auch die benötigten finanziellen und gerade auch geheimdienstlichen Ressourcen um zu versuchen, sich durch das Hacken des Trident-Waffensystems einen erheblichen nuklearstrategischen Vorteil zu verschaffen.

Die Autoren skizzieren in ihrem Artikel viele mögliche Wege, auf denen Cyber-Angreifer Zugang zu den Computersystemen der Vanguard-U-Boote erlangen könnten.

Die isolierten Computersysteme – Air Gap

Die Computersysteme eines Vanguard-U-Bootes auf Patroullie sind weder logisch noch physisch mit einem anderen Computersystem oder Netzwerk verbunden, was in diesem Fall auch als besonders offensichtlich erscheint. Der Ansicht des britischen Verteidigungsministeriums, dass schon dieses Faktum allein den Systemen eine höhere Sicherheit gegen Cyberangriffe verleihe, wird in dem Artikel energisch widersprochen. Damit diese hochkomplexen Computersysteme jederzeit optimal funktionieren, müsste zwangsläufig zumindest zeitweise ein Austausch von Nutzdaten zwischen diesen und anderen Systemen stattfinden. Die physische Trennung, in der Informatik dann als Air Gap bezeichnet, wird dabei durch irgendeine Form von Speichermedium überwunden. Über dieses Speichermedium könnten allerdings auch Schadprogramme auf die U-Boote übertragen werden, wenn es Cyber-Angreifern besipielsweise gelänge, eines der Quellsysteme der Nutzdaten, z. B. eines zivilen Zulieferbetriebes, zu infiltrieren. Als Beispiel hierfür wird unter Anderem das prominente Schadprogramm Stuxnet angeführt. Dieser hochentwickelte Computerwurm hatte 2010 neben anderen Zielen den Betrieb der iranischen Urananreicherungsanlage in Natanz gestört, indem er die Computersteuerung der Elektromotoren der dortigen Gaszentrifugen manipulierte. Stuxnet gelangte über spezielle Notebooks zur Programmierung in diese ansonsten völlig isolierten Computersysteme und führte nach seiner Entdeckung so der Weltöffentlichkeit die Gefahr von Cyber-Angriffen auf spezielle Infrastruktur bzw. Industrie deutlich vor Augen.

Kaskaden von Gaszentrifugen einer Urananreicherungsanlage in den USA. Jede der Zentrifugen muss jeweils mit einer exakten Drehzahl im Bereich von über 50.000 Umdrehungen pro Minute laufen, um die optimale Funktion der Anlage sicher zu stellen. Foto: U.S. Department of Energy

Der menschliche Faktor – Social Engineering

Durch gezielte zwischenmenschliche Beeinflussung von Personen, die Zugang zu anvisierten Computersystemen haben, können Cyber-Angreifer meist effektiver und schneller Ergebnisse beim Eindringen in fremde Systeme erzielen als mit rein technischen Methoden allein. Für diese Methode – auch als Social Engineering bezeichnet – wird eine Zielperson zunächst ausspioniert, um sie später unter Ausnutzung ihrer Schwächen gezielt manipulieren zu können.

Eine Form des Social Engineering ist das Phishing, bei dem gefälschte Websites, Emails, jegliche Form von Kurznachrichten oder andere Kommunikationsmittel dazu genutzt werden, die Zielpersonen zu täuschen und so zur Preisgabe von persönlichen Daten, vornehmlich Passwörtern oder Ähnlichem, zu verleiten. Phishing richtet sich meist gegen eine Gruppe von Personen, fokussieren die Cyber-Angreifer hingegen ihre Bemühungen auf eine einzelne Person, spricht man von Spear-Phishing.

Es wird davon ausgegangen, dass rund 80 % der weltweiten Cyberangriffe unter Verwendung dieser beiden Methoden, die nur menschliche Schwächen ausnutzen, durchgeführt werden, insofern erscheint es den Autoren des Artikels höchst wahrscheinlich, dass Cyber-Angreifer der Vanguard-U-Boote auch den Menschen als schwächstes Glied in diesem hochkomplexen System ins Visier nehmen würden. Zielpersonen müssten dabei nicht unbedingt der U-Boot-Besatzung angehören, auch Personen im Stützpunkt, in den Stäben oder von privaten Zulieferbetrieben könnten – mit oder ohne deren Wissen – Angreifern so das Eindringen in das System ermöglichen.

Die HMS Victorious läuft zu einer Übungsfahrt aus seinem schottischen Stützpunkt Faslane-on-Clyde aus. Foto: LA(Phot) Will Haigh/MOD OGL

Angriffe, die sich Social Engineering bedienen, sind generell nur schwer abzuwehren. Alle möglichen Zielpersonen, die mit einem System arbeiten müssten stets ein hohes Sicherheitsbewusstsein haben, ohne dabei so misstrauisch zu sein, dass die Zusammenarbeit darunter leidet. Die Enthüllungen des britischen Whistleblowers William McNeilly aus dem Jahr 2015 ließen seinerzeit erhebliche Zweifel an dem generellen Sicherheitsbewusstsein des Personals, das im Umfeld der Vanguard-Boote tätig ist, aufkommen. In einem online veröffentlichten 19-seitigen Bericht benennt er zahlreiche Missstände auf den britischen SSBNs und in ihrem Umfeld. Bezüglich der Sicherheit stellt er die These auf, das es schwieriger sei, in die meisten Londoner Nachtclubs zu gelangen, als in die Zentrale eine Vanguard-U-Boote. McNeilly wurde für seine Veröffentlichungen unehrenhaft aus der Royal Navy entlassen, aber ansonsten nicht weiter strafrechtlich verfolgt.

Kleine Ursache – Große Wirkung

Anhand von vielen Zeitzeugenberichten und anderen Unterlagen im U-Boot-Archiv lässt sich zum Teil sehr anschaulich nachvollziehen, wie wichtig es ist, dass jedes Mitglied der Besatzung eines U-Bootes an Bord seinen speziellen Dienst jederzeit korrekt verrichtet. Schon zunächst klein anmutende Fehlbedienungen der komplexen Maschinerie eines U-Bootes des zweiten Weltkrieges konnten gravierende Konsequenzen bis hin zum Verlust des Bootes nach sich ziehen. Außerdem lassen sich zahlreiche Beispiele dafür finden, wie der Ausfall eines auf den ersten Blick unbedeutend erscheinenden Subsystems die Einsatzbereitschaft eines Bootes eingeschränkt, wenn nicht sogar zunichte gemacht hat.

Eine Innenaufnahme der HMS Victorious – Foto: LA (PHOT) Ioan “Iggy” Roberts/MOD OGL

An Bord aller modernen U-Boote, also auch auf der Vanguard-Klasse, sind alle kritischen Systeme digital automatisiert. Wenn man die Erfahrungen deutscher U-Boote des zweiten Weltkrieges auf die modernen Atom-U-Boote der Royal Navy übertragen möchte, müsste man konstatieren, dass es wichtig ist, dass jedes Mitglied der Besatzung eines U-Bootes an und mit seinem internen Netzwerkclient – seinem Computer – seinen speziellen Dienst jederzeit korrekt verrichtet. Schon beispielsweise das Anzeigen nicht korrekter Daten bei einem Subsystem wie der Antriebs- oder Reaktorsteuerung oder der Navigation durch Schadprogramme könnte letztlich eine unter Umständen schwer wiegende Einschränkung der Einsatzbereitschaft des Bootes und damit der Zweitschlagsfähigkeit Großbritanniens zur Folge haben. Wenn man den missglückten Raketentest eines Vanguard-Bootes, über den im Strandgut Januar 2017 berichtet wird, als eine mögliche praktische Ausprägung eines erfolgreichen Cyber-Angriffs betrachtet, wird deutlich, wie ein Angriff auf nur ein einziges Subsystem, in diesem Fall der Raketensteuerung, das gesamte Waffensystem SSBN letztlich wertlos machen könnte. Es scheint allerdings nicht besonders opportun für einen potenziellen Cyber-Angreifer, seine bisher unerkannten Schadprogramme schon während der Erprobung eines Waffensystems zu aktivieren, da er sie damit einem höheren Entdeckungsrisiko aussetzen würde. Insofern ist beinahe auszuschließen, dass es sich bei dem missglückten Raketentest tatsächlich um eine Cyber-Attacke gehandelt hat.

Die Autoren des Artikels arbeiten eine Fülle von U-Boot-Systemen hinsichtlich ihres Gefährdungspotenzials durch Cyber-Angriffe durch, allerdings ohne dabei so konkret zu werden, als dass potenzielle Cyber-Angreifer auch nur den geringsten Vorteil daraus ziehen könnten. Im Besonderem betrachten sie auch eine Cyber-Bedrohung, die sie als Advanced Persistent Threat – als hochentwickelte, dauerhafte Bedrohung – bezeichnen. Dabei werden Schadprogramme zu einem möglichst frühen Zeitpunkt, wohl möglich schon während der Entwicklungs- oder Bauphase eines Bootes, in dessen Systeme injiziert, um sich dort bis zu ihrer möglicherweise sehr lange Zeit später stattfindenden Aktivierung zu verbergen. Diese Aktivierung muss dabei nicht notwendigerweise von außen vorgenommen werden, sondern könnte auch durch bestimmte Ereignisse in den Computersystemen selbst ausgelöst werden.

Fazit

Der Start von einem U-Boot einer unbewaffneten, amerikanischen Trident II D 5 – Foto: US-Navy

Im Strandgut Dezember 2016 konnte lediglich bezüglich eines spezifischen Risikos durch die Wahl des Betriebssystems der britischen Vanguard-Klasse Entwarnung gegeben werden. Die im „Hacking Trident“-Artikel erläuterten Risiken bestehen so auch für alle denkbaren Betriebssysteme. Auch mit größtem Aufwand werden diese Risiken sich nur minimieren, aber nie gänzlich eliminieren lassen. Die gerade auch vom britischen Verteidigungsminister viel beschworene absolute Sicherheit der Computersysteme der Vanguard-Boote und ihrer Trident-Raketen durch ihre Isolation kann es gar nicht geben, denn kein System ist wirklich sicher oder wird es je sein. Daher sollten diese letztlich unvermeidbaren Cyber-Risiken, wie auch andere Risiken klar dargestellt werden. Nur dann könnten diese Risiken in angemessenem gesellschaftlichem Diskurs gegen den angenommenen Nutzen der britischen Nuklearwaffen abgewogen werden. Da Großbritannien als einzige Atommacht allein auf U-Boot-gestützte Atomraketen setzt, ist die Debatte über die britische Nuklearbewaffnung notwendigerweise auch eine Debatte über U-Boote und wird als solche beim Deutschen U-Boot-Museum – auch für unsere Leser – mit Interesse verfolgt.

Weblinks:

zur Cyber-Bedrohung:

zu Stuxnet:

zum Whistleblower William McNeilly: