Die gehäuften Pannen bei den Regierungsflugzeugen der Flugbereitschaft der Bundeswehr ließen Gedanken an absichtliche Fehler aufkommen. Die Worte Sabotage und sogar Cyberangriffe machten auch bei den offiziellen Ermittlern die Runde.
Bestätigt wurden diese Gerüchte im Zuge der Ermittlungen bisher nicht. Dennoch lässt sich natürlich die Frage stellen, ob Cybersabotage an Regierungsfliegern prinzipiell möglich ist.
Ein Flugzeug ist mittlerweile nicht mehr nur ein Rechnerverbund, sondern vielmehr ein Rechenzentrum inklusive Datencloud. Jedes einzelne Element – Triebwerk, Hilfstriebwerk, Fahrwerk, Klimaanlage, Kommunikation usw. – hat seinen eigenen Steuerungsrechner. Alle einzelnen Elemente werden von verschiedenen Herstellern mit Software bestückt, gewartet, unterstützt und geupdated. Das Zusammenspiel aller einzelnen Elemente stellt zwar der Flugzeughersteller als Generalunternehmer sicher – und die Software wird wie jedes andere Element auch Stresstests unterzogen – dennoch kann der Hersteller kaum jede einzelne Zeile der Codes der Zulieferer überprüfen.
Zu viele Hände
Selbst wenn das Flugzeug bei der Auslieferung nicht kompromittiert ist, kommen im Zuge der Wartung unzählige Updates und Patches, zusätzliche Softwarefragmente in das System. Diese sind zwar alle dokumentiert, deren Inhalt in Gänze allerdings als eher wenig geprüft angesehen werden muss. Hier kommt die Gewissensfrage, ob bei den vielen Angestellten in den vielen Unternehmen während der vielen Zwischenschritte wirklich kein einziger Mitarbeiter von potenziellen Gegnern eingekauft wurde, um ein spezielles Update einzuschleusen. Beispiele, dass solches geschehen kann, gibt es aus der Vergangenheit genug. Schließlich sollte kaum ein Element so sicher sein wie die Software eines Atomkraftwerkes. Dennoch konnte das Virus Stuxnet genau hierhin gelangen. Auch den streng geheimen Ort des sogenannten Regierungsbunkers im Ahrtal bei Bonn, in den sich die Bundesregierung im Krisenfall zurückziehen sollte, kannte die Sowjetunion genau – wie auch das Belüftungssystem, da die Pläne aus dessen Installationsfirma direkt den Weg nach Moskau fanden.
Wenn also die Frage gestellt wird, ob es möglich ist, dass sich Schadsoftware auf den Flugzeugen der Bundeswehr befindet, muss die Antwort „Ja“ lauten. Bei der Frage nach Sabotagesoftware als Ursache der jüngsten Pannenserie der Flugbereitschaft ist die Antwort allerdings ein klares „Nein“. Dies hat mehrere Gründe.
Komplexität der Aufgabe
Es dauert Monate bis Jahre, eine wirksame Schadsoftware für eine Spezialumgebung wie einen einzelnen Flugzeugtyp zu schreiben. Diese Frist kann nur erreicht werden, wenn sich ein Team aus hochbezahlten Spezialisten nur mit dieser einen Aufgabe befasst. Bei Stuxnet vermutete Roel Schouwenberg, Senior Researcher bei Kaspersky Lab, dass ein Team von zehn Codern rund drei Jahre an der Malware gearbeitet hat, bevor sie in der dann eingespeisten Form fertig war.
Diese Software in die Flugzeuge zu bringen, ist ebenfalls zeit- und kostenintensiv. Dafür müssen komplizierte Wege beschritten werden. Der Nutzen muss sich dementsprechend rechnen. Im Falle eines Krieges wäre er sicher gegeben, wenn man beispielsweise mit dieser Schadsoftware die Tornados (die auch Atomwaffenträger sein können) im Konfliktfall grounden könnte. Der kurze Lacher, wenn die deutsche Kanzlerin mit einem Linienflugzeug nach Argentinien muss oder der Bundespräsident einen Tag länger in Afrika sitzt, scheint diesen Aufwand kaum wert.
Hinzu kommt, dass die entsprechenden Spezialisten in allen Ländern Mangelware sind. Es ist kaum denkbar, dass ein Land auf einen Überfluss an solchen Teams zurückgreifen kann. Dementsprechend kann sich das Team entweder mit Möglichkeiten, die Tornado-Flotte auszuschalten, oder mit Möglichkeiten zum „Grounden“ der Kanzlerin befassen. Im Kriegsfall wäre die erste Alternative wahrscheinlich sinnvoller.
Arbeit im Geheimen
Solche teuren Entwicklungen müssen zwar mit einer gewissen Voraussicht produziert und eingebracht werden, wie das Beispiel Stuxnet zeigt, sollen aber eher im Verborgenen schlummern, bis sie im Ernstfall zur Anwendung kommen. Jede moderne Armee fürchtet solche Schläferviren, die dann beispielsweise das Radar blind für feindliche Flugzeuge machen.
Die Schadware wird natürlich in der heimischen Testumgebung geprüft und erprobt, aber im Ziel soll sie sich ruhig verhalten, bis sie wirkungsvoll zum Einsatz kommt.
Die Ursachen für das Nichtfliegen der Flugbereitschaft waren zudem vielfältig, von Schäden in der Kabelanlage (wahrscheinlich Mäuse) über Fehler in der Auxiliary Power Unit, dem Ausfall der Bordelektronik bis hin zu Problemen mit der Flugsteuerung reichen die Vorkommnisse der jüngsten Zeit. Jedes einzelne dieser Systeme hat eine eigene Steuerung, um alle diese Vorfälle – bis auf die Mäuse – zu erklären, müsste die Malware Einfluss auf den Master haben. Es ist allerdings kaum denkbar, dass so eine komplexe Schadware – gegen die Stuxnet doch sehr einfach aussähe – entwickelt und verbracht wurde, nur um damit ab und zu einmal deutsche Regierungsvertreter am Weiterfliegen zu hindern. Im Zuge der Untersuchungen ist das Risiko der Entdeckung von Software und deren Verbringer doch ziemlich groß.
Hinzu kommt ein weiteres Problem: Gute Malware wird nach der Entdeckung oftmals untersucht und mit eigenen Elementen verbessert, um dann als Waffe in das Arsenal des ehemals Angegriffenen zu wandern. Dies zeigte sich in der Vergangenheit bei vielen entdeckten Advanced Persistent Threats (APT), also hochentwickelter Malware.
Komplexitätsfalle
Viel wahrscheinlicher als der hochgerüstete Cyberangriff scheint ein mittlerweile immer häufiger auftretendes Problem zu sein: die Komplexität der Systeme. Jedes ursprünglich noch so einfache Element bekommt immer mehr Funktionen und Softwareschnipsel zur Kontrolle der Bereitschaft, Funktionalität und des Zusammenspiels, sodass alles zu einem gigantischen Netzwerk unterschiedlichster Verknüpfungen, hin und her laufender Befehle und Abfragen wird, bis schließlich die Software anfängt, sich seltsam zu benehmen. Ein einziges Patch oder Update kann das Fass zum Überlaufen bringen, ein Steuerbefehl die Kette auslösen.
Die Flieger kamen zum Teil frisch aus der Wartung, und Wartung bedeutet heute immer auch, noch ein paar Softwareschnipsel dem Gesamtsystem hinzuzufügen. Die meisten Cyberausfälle sind nicht durch Hacking oder Malware verursacht, sondern durch Überkomplexität. Manche Informatiker sprechen schon davon, dass komplexe IT-Systeme das Verhalten chaotischer Umgebungen zeigen, also in den Bereich der Chaostheorie zu rechnen seien. Hier liegt ein Problem für alle Nutzer, das einen umfassenden Neuaufbau der Systeme erfordern würde.
Allerdings ist festzuhalten, dass nur ein Teil der Pannen auf Softwareversagen beruht, bei vielen gab es doch handfestere Ursachen, die in schlampiger Wartung zu suchen sind. Die Flugbereitschaft verfügt dabei über zu wenig Flugzeuge, um einen Ausfall aufzufangen. Laut den offiziellen Zahlen der Luftwaffe führt die Flugbereitschaft der Bundeswehr im Durchschnitt 2.500 Flüge im Jahr durch. Die Ausfallrate beträgt dabei zwei Prozent. Eurowings antwortete auf Anfrage, dass sie im Durchschnitt 700 Flüge pro Tag durchführen. „Eurowings weist seit Monaten – und weiterhin anhaltend – einen Zuverlässigkeitswert von 99 Prozent auf. Diese Angabe bezieht sich auf die tatsächlich durchgeführten Flüge. Somit liegt der Anteil der nicht durchgeführten Flüge bei einem Prozent“, so die Antwort einer Sprecherin des Unternehmens.
Bei vielen Maschinen sind natürlich auch viele Umbuchungen und somit Ersatzrouten möglich, auf denen die Reisenden vom Start zum Ziel gebracht werden können. Die zusätzliche Beschaffung von mehr Maschinen ist somit zumindest eine mögliche Lösung, um zumindest Kanzlerin und Bundespräsident sicher zu transportieren.
Die Cybergefahr wird immer bleiben, aber eher durch Blackout des überkomplexen Softwaresystems als durch Sabotage.
Autor: Dorothee Frank
Verwandte Themen
Bundeswehr erhält Airbus A321 Drei neue A350 für die Flugbereitschaft BMVg Zweite A350 der Bundeswehr wird umgerüstet Erweiterter Vertrag zur Betreuungskommunikation Sondervermögen Bundeswehr: Der reale Wert von 100 Milliarden Euro Langstreckenfähigkeit für den Schweren Transporthubschrauber Open Skies – Bundeswehr erhält neues Aufklärungsflugzeug Schwerer Transporthubschrauber – Entscheidung steht weiterhin aus Mienenspiele – Berliner Prisma April 2019