Was man von einem Segelboot über Cybersecurity lernen kann

Nur alle vier Jahre findet die Vendée Globe statt – ein Nonstop-Segelrennen um die ganze Welt, bei dem die Teilnehmerinnen und Teilnehmer ohne fremde Hilfe einige der gefährlichsten Gewässer der Erde passieren.

Die Skipper sind auf sich allein gestellt und haben während des 80-tägigen Rennens nur im Notfall Kontakt mit ihrem technischen Team. Zum Einsatz kommen spezielle Segelyachten, sogenannte IMOCAs. Die 18 Meter langen Boote sind aus Kohlefasern hergestellt und beherbergen jede Menge Technik: Solarzellen, Hydrogeneratoren, Dieselmotoren zum Laden der Batterien, High-Speed-Satellitenverbindungen, Autopiloten und Navigationssysteme sowie reichlich OT-Equipment.

Wie bei einer Produktionsanlage, die aus vielen verschiedenen vernetzten Komponenten besteht, benötigen auch IMOCAs eine effiziente Cyberabwehr. Zum einen verfügen sie über eine Internetverbindung via Satellit, die für Cyberattacken genutzt werden kann. Zum anderen könnte das Wifi an Bord an Hafenladeplätzen für Angriffe genutzt werden. Mögliche Angriffsszenarien sind Ransomware- und DoS-Attacken. Aber auch die Kommunikationsverbindung kann zur Zielscheibe werden. In Gefahrensituationen hängt das Leben des Skippers von der Verfügbarkeit dieser Systeme ab. Eine Cyberstrategie ist daher für die IMOCAs unerlässlich.

Wie sichert man ein Segelboot gegen Cyberattacken ab?

aDvens, ein Unternehmen für Cybersicherheit in Europa, sponsort mit der Vulnerable I und II zwei IMOCA-Boote und hat sie fit gegen Cyberattacken gemacht.

Im ersten Schritt erfolgte dafür ein vollständiges Audit. Dann wurden alle nicht wesentlichen oder sicherheitskritischen Dienste, wie beispielsweise FTP, Telnet oder Datenübertragungsdienste deaktiviert, um die Angriffsfläche soweit möglich zu verringern. Netzwerke an Bord, zum Beispiel für die Navigation oder die Kommunikation, wurden segmentiert und damit die Sicherheit erhöht, da sich Angreifer nicht mehr uneingeschränkt im Gesamtnetzwerk bewegen können.

Zudem wurde ein Patchmanagement auf den Booten etabliert, Komponenten durch sichere Passwörter geschützt und ein Endpoint Detection and Response-Service implementiert. Um den Erfolg der ergriffenen Maßnahmen zu testen, wurden abschließend verschiedene Penetrationstests durchgeführt.

Alle diese Maßnahmen kommen auch in der IT-/OT-Security zur Anwendung. Man könnte also sagen, dass sich der Cyberschutz eines IMOCA-Segelboots nicht wesentlich von dem einer Produktionsanlage unterscheidet. Best Practices aus dem Cyberschutz der IMOCA-Boote lassen sich auf die IT-/OT-Security von Produktionsanlagen übertragen und umgekehrt.

ARM-Architektur: vom Segelboot ins Security Operations Center

In einem IMOCA gibt es insgesamt über 250 Sensoren. In jeder Sekunde werden durch diese mehr als 12.500 Ereignisse registriert, beispielsweise für den Wind, die Navigation oder die Elektronik. Diese Daten lassen sich auch nutzen, um vorauszusagen, welches Teil des Boots beispielsweise in naher Zukunft von einem Defekt betroffen sein könnte, weil es überlastet ist. Für die Datenanalyse greift aDvens auf etablierte Systeme und Algorithmen zurück, die auch in seinem Security Operations Center (SOC) zum Einsatz kommen.

Das SOC sammelt mittels etablierter Tools Ereignisse aus Protokolldaten, wertet diese aus und erkennt mithilfe von spezialisierten Algorithmen potenzielle Sicherheitsrisiken. Das können Cyberattacken sein oder im Beispiel des IMOCAs ebenso das Risiko, dass ein Bauteil von einem Defekt betroffen ist.

Um die notwendigen Tools bzw. Algorithmen zur Sammlung und Analyse der Protokolldaten innerhalb des SOCs zu betreiben, werden entsprechende Server benötigt. Die Herausforderung auf hoher See: Ein regulärer Server benötigt sehr viel Strom – zu viel für die Stromversorgung der IMOCAs. Daher hat aDvens für die Vulnerable I und II einen Server konzipiert, der auf der stromsparenden ARM-Architektur basiert. Das eingesetzte Betriebssystem hingegen ist identisch mit dem, das aDvens bei seiner mySOC-Plattform und den spezialisierten Appliances zur Sammlung und Aufbereitung von Protokolldaten einsetzt. Dabei handelt es sich um HardenedBSD – eine sichere Version des Open-Source-Systems FreeBSD.

Neben den Best Practices aus der Absicherung der Segelboote gegen Cyberangriffe, die sich auf Produktionsanlagen übertragen lassen, profitiert aDvens so auch aus den Erkenntnissen der Entwicklung der ARM-Server. Das Unternehmen wird diese Technologie möglicherweise zukünftig auch in seinen Rechenzentren einsetzen und so in der Lage sein, die Energieeffizienz seiner SOC-Lösung deutlich zu erhöhen und den Energiebedarf zu senken.

Die vier wichtigsten Erkenntnisse aus diesem Anwendungsbeispiel sind:

1. Es gibt keinen Ort auf der Welt, an dem Cybersecurity keine wichtige Rolle spielt, und wenn es mitten auf dem Ozean ist.

2. Ob Segelyacht oder Produktionsanlage: Ein gründlicher Audit aller Komponenten, gefolgt von gezielten Maßnahmen und Penetrationstests ist die Basis einer jeden Cyberstrategie. Gerade bei vielen Produktionsanlagen, die schon länger in Betrieb sind und früher nicht vernetzt waren, wurde oft nicht an OT-Security gedacht.

3. Ein SOC erkennt Anomalien nicht nur in Bezug auf Cybersicherheitsrichtlinien, sondern kann auch die Funktionsfähigkeit und Verfügbarkeit von Komponenten überwachen.

4. Aus jedem Projekt gewinnen Cybersecurity-Anbieter Erkenntnisse, die sich auf andere Bereiche übertragen lassen, beispielsweise der Einsatz von energieeffizienten Prozessoren auf ARM-Basis.

(pd/aDvens)