13

Thomas Klein

DFS

Sicherheitsmanagement in der Flugsicherung – aktuelle

Herausforderungen

14

Thomas Klein

DFS Deutsche Flugsicherung

Kolloquium Luftverkehr, TU Darmstadt am 14. Dezember 2016

Sicherheitsmanagement in der

Flugsicherung – aktuelle

Herausforderungen

Agenda

Statutory obligation

DFS company profile

Air Traffic Control - Development

Threats and Challenges

Security

Cyber Security

Surveillance Security

2

15

The statutory obligation of DFS is defined in Article 27c of the German

Aviation Act. In addition to the tasks of the air navigation services (safe,

orderly and expeditious handling of air traffic), it also specifies which ser-

vices (air traffic services and other air navigation services) the air naviga-tion service provider must provide to airspace users.

Examples of air traffic services provided by DFS: • Air traffic control services comprise aerodrome, approach and area

control services. They are provided by the DFS business units Tower

and Control Centre. DFS is the only ANSP in Europe that also pro-

vides control services for military aircraft. Having the control of civil

and military aircraft in one hand is a decisive factor in delivering

safety and ensuring efficient use of airspace. • Within the scope of the alerting service, DFS alerts the Bundeswehr,

for example in the case of an aircraft hijacking ("Renegade").

• The flight information services (FIS) are co-located in the control

centres and provide specific advice and information to VFR pilots via

radiotelephony.

• DFS does not offer air traffic advisory services.

Statutory obligation

DFS is responsible for the

safe orderly expeditious

handling of air traffic

• Air traffic control services

• Alerting services

• Flight information services

• Air traffic advisory services

Air traffic services

• Communication services

• Navigation services

• Surveillance services

• Aeronautical information services

• Meteorological services (DWD)

Additional air navigation services

Civil and Military

Civil and Military

3

DFS ZM/C

14.12.2016

16

Examples of additional air navigation services: • Communication services: air-ground communication, voice and data

communication • Navigation services: provision of ILS, D-VOR, GBAS, etc.

• Surveillance services: surveillance of aircraft by means of radar,

MLAT or ADS-B

• Aeronautical information services: They are provided by the Aero-

nautical Information Service Centre (AIS-C) of DFS in Frankfurt-

Rödelheim.

• Aeronautical meteorological services are not provided by DFS but by

the German Meteorological Service (DWD).

17

Basic Law Article 87d - (1) Air transport administration shall be conducted

under federal administration. Air navigation services may also be provided

by foreign air navigation service providers which are authorised in accord-

ance with European Community law. Details shall be regulated by federal

law.

Aviation Act (LuftVG) Article 31b - (1) Subject to the aviation legislation

of the European Community and Article 31f, only one air navigation service

provider as a limited liability company (GmbH), solely owned by the Ger-

man government shall be entrusted to perform the tasks outlined in Article

27c, paragraph 2, sentence 1, number 1. Details shall be laid down in stat-

utory instruments by the Federal Ministry of Transport, Building and Urban

Development in consultation with the Federal Ministry of Defence. The

consent of the Bundesrat (the upper house of parliament) is not required.

Legal framework

DFS Deutsche Flugsicherung GmbH is a limited liability company

organised under private law.

The sole shareholder and thus owner of DFS is the German

government. Shareholder rights are exercised by the Federal Ministry

of Transport and Digital Infrastructure (BMVI).

Provisions concerning air navigation services are to be found in the

Basic Law, Article 87d

Aviation Act, Article 31b in conjunction with Article 27c

4

DFS ZM/C

14.12.2016

18

Aviation Act (LuftVG) Article 27c (1) The air navigation services ensure the safe, orderly and expeditious

handling of air traffic. (2) The air navigation services shall comprise in particular:

1. Air traffic services, including:

a) Air traffic control services (aerodrome, approach and area control ser

vices), including checking, warning and rerouting aircraft in airspace

b) Alerting services,

c) Flight information services,

d) Air traffic advisory services,

2. Communication services, 3. Navigation services,

4. Surveillance services,

5. Aeronautical information services, and

6. Aeronautical meteorological services.

19

Control centres The control centres in Bremen, Langen and Munich control lower airspace

in Germany. The control centres in Karlsruhe and Maastricht are responsi-

ble for upper airspace.

DFS has reduced the number of control centres from six to four. In 2003,

the Düsseldorf Control Centre was closed and transferred to Langen. The

Berlin Control Centre (in Tempelhof) was also closed and the associated

airspace transferred to the control centres in Munich (2004), Karlsruhe

(2005) and Bremen (2006).

DFS is also represented at the EUROCONTROL centre in Maastricht, where

DFS staff control military air traffic in the German airspace portion (Han-

nover UIR).

Tower DFS is responsible for air traffic control services at the 16 international

airports in Germany.

DFS locations

Langen: Headquarters,

Academy, Systems House and

R&D Centre

Control centres:

Langen, Bremen, Munich,

Karlsruhe

16 Tower locations

AIS-C in Frankfurt-

Rödelheim

Saarbrücken

Hamburg

Bremen

Hannover

Leipzig/

HalleDresden

Erfurt

Nürnberg

Munich

Stuttgart

Karlsruhe

Frankfurt

Cologne/Bonn

Düsseldorf

Münster/

Osnabrück

Langen

Berlin

Headquarters

AIS-C

Air Navigation

Services Academy

Control centre

Tower

Maastricht

5

DFS ZM/C

14.12.2016

20

Staff figures 2015

General administration:

Legal services, communications,

controlling and planning etc.

General support services:

Safety management, product

management for operational systems,

procedures planning etc.

Technical support services:

Facility management etc.

Operational engineering:

ANS engineers etc.

Air traffic control:

Air traffic controllers, AIS officers, flight

data specialists etc.

2,763

436

178

1,658

637

Staff figures at31 Dec 2015

General administration

General support services

Technical support services

Operational engineering

Air traffic control

5,672

6

DFS ZM/C

14.12.2016

Corporate objective

At DFS, the top corporate objective is to keep the involvement of the

air navigation services in causing an aircraft accident risk as low as

possible.

Achieving a high level of safety in German airspace takes absolute

priority over economic aspects.

Safety & Security at DFS is constantly checked and documented.

Any change made to the “air traffic management system” is

systematically checked for all potential (safety) hazards, while the

associated risks are assessed and reduced to an acceptable level by

taking suitable action.

7

DFS ZM/C

14.12.2016

21

Auch Methoden und „Werkzeuge“ der Flugsicherung haben sich von den Anfängen bis heute sehr stark weiterentwickelt. Wo keine Computer, da

kein IT-Security Problem.

Auch die Lichtzeichenanlage aus den 1930‘ern war nicht gefährdet „ge-

hackt“ zu werden.

The Beginning

8

DFS ZM/C

14.12.2016

Development

9

DFS ZM/C

14.12.2016

22

Der Morsetelegraf, aus der Zeit vor dem Sprechfunk war eher brandgefähr-

lich als hack-bar.

Bei Fernschreibern hätte man vielleicht schon mal was machen können –

in Sachen „hacken“.

Morse telegraph

10

DFS ZM/C

14.12.2016

11

DFS ZM/C

14.12.2016

23

Das RADAR war noch analog – und z.B. Manipulation höchsten direkt vor

Ort möglich.

In the past, radio beacons on the ground (the large circles in the left-hand

chart) determined the flight routes in lower and upper airspace. At best,

they followed specified VOR radials. Today, area navigation allows almost any routing, not least due to satellite navigation. This comparison of rout-

ings over West Germany about sixty years ago and today illustrates how

much air traffic we can handle today because of technological progress and

close civil-military cooperation in the flexible use of airspace.

RADAR

12

DFS ZM/C

14.12.2016

Flight routes over Germany (1956 - today)

13

DFS ZM/C

14.12.2016

24

Flights over Germany (2016)

One day in January 2016

Climbs

Transit flights

Descents

14

DFS ZM/C

14.12.2016

3.029.066IFR-movements (one flight „counts one“)

Peak Day 18.09.2015 – 10.065 IFR Flights

Aircraft movements

15

DFS ZM/C

14.12.2016

25

16 Tower locations

Frankfurt, Munich, Stuttgart, Erfurt, Saarbrücken, Cologne/Bonn, Düssel-

dorf, Münster/Osnabrück, Bremen, Berlin-Schönefeld und Berlin-Tegel (in

future: BER), Dresden, Hamburg, Hannover, Leipzig/Halle, Nürnberg

Control Centre

Locations:

Langen, Bremen,

Munich, Karlsruhe

Upper, lower and approach

Radar and coordination

controller

Airspace structure including

flight routes and sectoring

Call sign

Altitud

e

Ground speed

Aircraft type Destination airport

16

DFS ZM/C

14.12.2016

Tower

16 Locations

Issue take-off and landing

clearances

Accept flights from

approach control

Transfer flights

to departure control

17

DFS ZM/C

14.12.2016

26

Intro:

With its Remote Tower Control (RTC) project, DFS aims to cut costs in the

long term by using new technologies and procedures and by optimizing the

number of staff increase productivity:

• Reducing costs in the provision of aerodrome control services by us-ing human resources more efficiently and pooling operational, tech-

nical and administrative support functions;

• Reducing operating and maintenance costs by using uniform infra-

structure and harmonizing the ATM technology for the aerodrome

control towers to be relocated;

• Reducing staff costs in the long term by optimising the operational

staff scheduling based on the further development from the single to

the multiple remote approach.

Functionality:

• Location-independent provision of aerodrome control services with a

camera surveillance and control system (out of the window view,

OTW).

• Create a dedicated "remote tower" licence group for the RTC airports.

• Integration of the Clearence-Delivery-Function at one working posi-

tion for all aerodromes.

Remote Tower Control

18

DFS ZM/C

14.12.2016

27

Für die Flugsicherung ist „Safety“ traditionell das oberstes Ziel. Diesem

Thema wurde in den vergangenen Jahrzehnten immer mehr Aufmerksam-

keit geschenkt. Heute – im Cyber-Zeitalter – kommt ein Problem auf uns

zu, dass vielleicht bislang ein wenig stiefmütterlich behandelt wurde. Aber

warum wurde Security – oder speziell Cyber-Security bislang stiefmütter-lich behandelt? Weil die bislang proprietäre Technik nur wenigen Spezia-

listen bekannt war (d.h. die verwendeten Systeme waren speziell für die

Flugsicherung hergestellt), Außenstationen, wie RADAR-Analgen oder

Funk Sende-/Empfangsanlagen waren mittels direkter Leitungen mit den

Kontrollzentralen verbunden und der Datenaustausch funktionierte ebenso

mit proprietären Protokollen auf dezidierten Leitungen.

Die heutige Technik à la Internet (IP-basierend) hielt erst in den letzten

Jahren Einzug. Darüber hinaus geht aus Kostengründen der Technik-Trend auch in der Flugsicherung zu COTS-Produkten (Commercial-Off-The-

Shelf), für die es plötzlich Millionen von Experten gibt. Und damit kommt

das Cyber-Security Problem.

Threats and Challenges to Safety & Securtiy

Technical Failure

Environmental Effects

Unwanted Side Effects

Accidental

Malicious Intent

No clear separation between safety and security

• See events in central Europe in June 2014*

• Security could be seen as enabler for safety

Rather subject to Safety Assessment –

mostly taken care of by specifications

and system design already

Security

• Radar detection losses in central Europe in June 2014

EASA Report-ED0.1-2014-ed04.00, December 3, 2014

19

DFS ZM/C

14.12.2016

28

Abgrenzung zwischen Safety (Betriebssicherheit) und Security (Angriffssi-

cherheit). Nichtsdestoweniger ist eine scharfe Trennung nicht möglich.

Schon alleine deshalb, weil alle „Fehler“ oder „Ausfälle“, die zu einem Sa-

fety Problem führen, auch bewusst herbeigeführt werden können und dann

ein Security Problem sind. Ein gutes Beispiel dafür ist „Feuer“. Feuer kann das Ergebnis eines Fehlers, Unfalls oder Naturgewalt sein, aber auch gezielt

gelegt werden. Fällt Brandschutz damit unter Safety oder Security?

Übrigens fiel in 2014 eine US-amerikanische Kontrollzentrale für Wochen

aus, weil ein verärgerter Mitarbeiter Feuer gelegt hatte und die Infrastruk-

tur massiv beschädigt wurde. Als der Brand begann, musste in dramati-

schen Minuten der Luftraum der von dieser Kontrollzentrale überwacht

wurde, „geräumt“ werden. Zum Glück kam dabei kein Mensch (weder

Passagiere in den betroffenen Luftfahrzeugen noch Personal der Kontroll-zentrale) zu Schaden; der Sachschaden aber war immens.

Unternehmenssicherheit

SCHUTZZIELE

Flugsicherheit

Daten

Vermögen

Personal

Kapazität

Performance

Ruf

Zertifikate

Umwelt

Systeme

Bauwerke

GEFAHREN

Ausfall

Unfall

Naturgewalten

Fehler

MANAGEMENT

SAFETY

Betriebsschutz

SECURITY*

Geheimschutz**

BETRIEBSSICHERHEIT

Luftsicherheit

Netzwerke

Objektschutz***

ziv. Verteidig.

ANGRIFFSSICHERHEIT

Krisenmanagement

* unter Anderem Gefahrenabwehr im

Sinne der EU-Verordnung 1035/2011

** öffentlich-rechtliche Stelle

*** Entsprechend der Objektschutz-

Richtlinie des BMI 1979/1999

Diebstahl

Sabotage

Spionage

Gewalttat

BautenschutzMaßnahmen-

abstimmung,

Nutzung

gemeinsamer

Werkzeuge, incl.

übergreifend

zuständiges

Personal

Diensteerbringung

Compliance

Erpressung

Safety vs Security

20

DFS ZM/C

14.12.2016

29

Eigentlich ist die Einhaltung von „Safety“ ganz einfach. Entweder 5 NM

lateraler Abstand oder 1000 Ft vertikaler Abstand.

Safety Parameter, Example

5 NM

1000 FT

21

DFS ZM/C

14.12.2016

30

Security ist diffiziler und kann (bezogen auf die Flugsicherung) in drei grö-

ßere Bereich unterteilt werden. Zum Einen wäre da die physische Sicher-

heit (Zäune, Tore, Wachleute), dann die Cyber-Security und zusätzlich der

Bereich der Frequenz-Sicherheit. Bei Letzterem geht es u.a. um „Sur-

veillance-Security“ – also die Sicherheit der Überwachungs-Mittel (weniger RADAR, als vielmehr GPS, ADS-B etc.), aber auch Funk (Sprache und Da-

ten).

Security

1. Physical Security (fences, locks, guards,…)

2. Networks and Software driven Elements

(addressed by Cyber Security)

3. RF Security

22

DFS ZM/C

14.12.2016

31

Hier ein Beispiel der Vernetzung der CNS Infrastruktur (Communication –

Navigation – Surveillance).

Boing William Richards : Ein Beispiel der Vernetzung der Luftfahrzeuge mit

dem Boden (Airline, Wartungsbetriebe, Flugsicherung, Flughafen etc.)

Complexity - System integration

23

DFS ZM/C

14.12.2016

Complexity - System integration

24

DFS ZM/C

14.12.2016

32

Die EU Kommission greift mit dem Regelwerk zu „Single European Sky“

massiv regulativ in den Luftverkehr ein. Ziel des Programms ist u.a. eine

Steigerung der Sicherheit und gleichzeitige die Reduzierung von Ver-

spätungen und Kosten. Eine der angeordneten Maßnahmen ist die grenz-

überschreitende Zusammenarbeit. Die gab es zwar schon immer (auch Da-tenaustausch), aber gerade auf technischer Ebene haben bislang viele Be-

teiligte ihr jeweils eigenes Süppchen gebraut – sicher auch aufgrund der

jeweiligen nationalen Interessenlage. Die EU zielt auch in Bezug auf die

Technik auf „Interoperabilität“ und Standardisierung.

Deutschland gehört gemeinsam mit Belgien, Frankreich, Luxemburg, den

Niederlanden und der Schweiz zum sogenannten “Functional Airspace

Block Europe Central (FABEC)”.

Complexity - Political integration

SES – Single European Sky

The European Commission's SES

Programme has taken on the goal

of optimising the air transport

system in Europe.

Objectives:

- Common safety standards

- More airspace capacity

- More cost-efficient ANSPs

One of the main initiatives

- Creation of functional airspace

blocks based on major traffic

flows instead of national

borders

25

DFS ZM/C

14.12.2016

33

In Bezug auf Cyber-Security betreten immer mehr Spieler das Spielfeld. Die

EU-Kommission erlässt Verordnungen hierzu, die Internationale Zivile

Luftfahrtorganisation (ICAO) hat das Thema in Dokumenten aufgearbeitet,

die Europäische Zivilluftfahrt-Konferenz ECAC (European Civil Aviation

Conference) hat dazu Vorgabe-Dokumente entwickelt.

Besondere Aufmerksamkeit hat die EU Richtlinie 1148/2016, die so ge-

nannte „NIS-Directive“, in der Maßnahmen zur Informationssicherheit –

insbesondere für so genannte „kritische Infrastrukturen“ und „kritische

Dienstleistungen“ vorgegeben sind, die allerdingsv on jedem EU Mitglied-

staat noch in nationales Recht umzusetzen sind.

Security - Legal context

Legal context and IT-security standards

Commission Implementing Regulation (EU) No 1035/2011, Annex

I, No 4Air navigation service providers shall establish a security management system to ensure:

(a) the security of their facilities and personnel so as to prevent unlawful interference with the

provision of air navigation services;

(b) the security of operational data they receive or produce or otherwise employ, so that access

to it is restricted only to those authorised.

Directive (EU) 1148/2016 of the European Parliament and of the

Council of 6 July 2016 concerning measures for a high common

level of security of network and information systems across the

Union applicable to: Traffic management control operators providing air traffic control (ATC) services

as defined in point (1) of Article 2 of Regulation (EC) No 549/2004 of the European Parliament

and of the Council

ECAC DOC 30 (part 2 restricted)

ICAO Annex 17 Amendment 13

ICAO Aviation Security Manual ed. 9 (Doc. 8973 restricted)

26

DFS ZM/C

14.12.2016

34

Und da wären noch die einschlägigen Industrienormen und in Deutschland

das IT-Sicherheitsgesetz (BSI-Gesetz, BSIG) (seit Mitte 2017 schon ange-

passt auf die EU NIS Directive) und der Ableger der ISO Norm für die Luft-

fahrt, EN 16495

Cyber Security - Legal context

Legal context and IT-security standards

ICAO ATM Security Manual (Doc. 9985 Ed.1 2013)

ISO / IEC 27000 Family

ISO / IEC 27033-4:2014

German national

• IT-Sicherheitsgesetz applicable to „critical infrastructures“

• EN 16495 (Code of Practice in Practice - CoPiP) Industry standard for

aviation

27

DFS ZM/C

14.12.2016

35

An Aufsicht mangelt es nicht. Die Agentur Eurocontrol sieht sich als Ver-

mittler zwischen der Kommission und den Staaten bzw. Flugsicherungs-

Dienstleistern. Die europäische Aufsichtsbehörde EASA, die sich bislang

vorrangig um Safety und Luftfahrzeuge bzw. Luftfahrtpersonal gekümmert

hat, hat Cyber-Security auch als Aufgabe entdeckt. Hinzu kommen national Aufsichtsbehörden, wie das Bundesaufsichtsamt für Flugsicherung (BAF)

und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Cyber Security - Initiatives

Initiatives & chains of reporting

Eurocontrol

• ATM Security Oversight

• CS 6-6: Security Certificate for European ATM Stakeholders

• CS 6-7

o European ATM CERT

o Security Operations Center for CSs

EASA SOC/CERT

National Supervisory Authority (NSA)

German national

• Federal Office for Information Security (BSI) SOC

28

DFS ZM/C

14.12.2016

36

Kaum ein Thema hat in der letzten Zeit im öffentlichen Fokus so an Präsenz

zugelegt wie Cyber-Security: Kaum passiert mal etwas – war es gleich ein

Hackerangriff. Bezogen auf den hier dargestellten Fall: ja stimmt, an die-

sem Tag wurde aufgrund eines Systemausfalls der Luftverkehr über

Deutschland eingeschränkt – aber nein, es war schlicht ein technischer Feh-ler, kein widerrechtlicher Eingriff.

Cyber Security - Public Awareness

Source: Kölner EXPRESS 23.09.2016

29

DFS ZM/C

14.12.2016

37

Die Top-10 Risiken:

Ransomware (Krypto/Erpressungstrojaner)

ist eine Malware, die den Computer infiziert, sperrt und dann Geld dafür

verlangt, ihn zu entsperren.

RFID - radio-frequency identification

Internet der Dinge Der Begriff Internet der Dinge (IdD) (englisch Internet of Things, Kurz-

form: IoT) beschreibt, dass der (Personal) Computer zunehmend als Gerät

verschwindet und durch „intelligente Gegenstände“ ersetzt wird. Statt –

wie derzeit – selbst Gegenstand der menschlichen Aufmerksamkeit zu sein,

soll das „Internet der Dinge“ den Menschen bei seinen Tätigkeiten unmerk-lich unterstützen. Die immer kleineren eingebetteten Computer sollen

Menschen unterstützen, ohne abzulenken oder überhaupt aufzufallen. So

werden z. B. miniaturisierte Computer, sogenannte Wearables, mit unter-

schiedlichen Sensoren direkt in Kleidungsstücke eingearbeitet.

Hacktivismus - ist die Verwendung von Computern und Computernetz-

werken als Protestmittel, um politische Ziele zu erreichen.

Cyber Security - Top 10 Risks

1. Government organizations (eg Stuxnet)

2. Internal offender

3. Hardware (manipulated Hardware out of the factory )

4. Ransomware

5. Software weak points (eg incorrect programming)

6. Mobile Devices (eg espionage app, data theft)

7. Cloud services

8. Internet of Things (z. B. RFID Chips, Wearables)

9. Big Data (Data Warehouses)

10. Hacktivismus

30

DFS ZM/C

14.12.2016

38

Ein ziemlich schwer zu entdeckender Angriff verbirgt sich hinter der Be-

zeichnung „Advanced Persistent Threat“, zu deutsch „fortgeschrittene, an-

dauernde Bedrohung“ ist ein häufig im Bereich der Cyber-Bedrohung (Cy-

ber-Attacke) verwendeter Begriff für einen komplexen, zielgerichteten und

effektiven Angriff auf vertrauliche Daten von Behörden, Groß- und Mittel-standsunternehmen aller Branchen, welche aufgrund ihres Technologie-

vorsprungs potenzielle Opfer darstellen oder als Sprungbrett auf solche Op-

fer dienen können.“ (Quelle Wikipedia).

Solch ein Angriff kann grundsätzlich gegen jeden gerichtet sein. Er beginnt

meist mit verseuchten E-Mails oder dem Besuch einer verseuchten Internet-

Seite. Für die Flugsicherung bedeutet das eine Gefahr für die so genannte

Bürokommunikation – also die für administrative Zwecke genutzten Sys-

teme – und nicht auf operative Systeme, die zur Kontrolle des Luftverkehrs genutzt werden, weil diese Systeme keine E-Mails erhalten und auch nicht

über einen Web-Browser mit dem Internet verbunden sind.

Wichtig ist daher eine strikte physikalische Trennung von administrativer

und operativer Technik.

Cyber Security - Advanced Persitent Threats

Clean upEstablishment of severaltunnels and hiding theattack activities

• Network, systems• Server lists• Functional- and

Default-Accounts• User-Accounts

• Software

• Passwords

• Configuration

• Applications

• Processes

• Login

• Privilege Escalation

• Resources (network, system)

• Control Channel

• New Account

• New Systems, Services

• Backdoor

• Patching

• DOS (System, Account)

• DOS (Encryption)

• Data Leakage

• Manipulation

• Publication

ExploreExplore user ID and accessby means of SocialEngineering and / orMalware (Mails / Web)

ExploitThe attacker then usesvulnerabilities on thesystems

AccessThe attacker gains accessto the target system andadmin account

DamageExport of sensitive dataacross different systemsto external

31

DFS ZM/C

14.12.2016

39

Grundsätzlicher Aufbau des Cyber-Security Modells:

Anwendung des PDCA Zyklus (bekannt aus dem Qualitätsmanagement)

auf Security

Schutzziele von Information Security – oft

Confidentiality (Vertraulichkeit)

Integrity (Integrität)

Availability (Verfügbarkeit)

Cyber Security - Model

32

DFS ZM/C

14.12.2016

40

Stärkung des Systems durch:

Diversifikation: unterschiedliche Hard und Software

Verwendung proprietärer Protokolle und Systeme

Bei einem Zwischenfall wird sich Allerdings i. d. R. erst nach der Ursa-chenanalyse herausstellen, ob der Vorfall durch einen Cyberangriff oder

durch ein anderes Ereignis hervorgerufen wurde. Die Antwort auf einen

solchen Vorfall muss natürlich wieder in die Prävention einfließen um eine

Wiederholung zu verhindern.

Cyber Security - Resilience

Response

33

DFS ZM/C

14.12.2016

41

Schutzkonzept für die operativen Systeme Das Schutzsystem für die operativen Systeme ist ein „Schalenmodell“ mit

mehreren Schichten von Firewalls, Intrusion Detection/Prevention Syste-

men (IDS/IPS) und de-militarisierten Zonen. Je schutzwürdiger ein System

(bzw. dessen Daten) ist, desto weiter in der Mitte der Schale ist es angesie-delt.

Cyber Security - DFS Layered Approach

34

DFS ZM/C

14.12.2016

42

SIEM Überwacht wird der gesamte Netzverkehr mittels SIEM (Security Informa-

tion and Event-Management)mSammeln von Logdaten angeschlossener

Systeme (Firewalls, IDS/IPS, Management Systeme) bis hin zu Flow-Daten

aus dem Netzwerk

Analyse und Korrelation auf ein übersichtliches Maß dieser Logs und

Anzeige von möglichen Sicherheitsproblemen

Hinweis auf Anomalien

Cyber Security - Incident Event Management

35

DFS ZM/C

14.12.2016

Cyber Security - Intrusion Prevention Systems

IPS Data is archieved

critical attacks

warnings and anomalies

Information

DFS

Internet

IPS

Systeme

SIEM

36

DFS ZM/C

14.12.2016

43

Die Überwachung des Luftverkehrs basiert auf kooperativen und nicht-ko-

operativen Mitteln. Primär-RADAR beispielsweise ist nicht auf die Koope-

ration eines Luftfahrzeuges angewiesen, da es nur auf der Reflektion elekt-

romagnetischer Wellen von einem Ziel und Laufzeitmessung basiert. Was

auch immer diese Wellen reflektiert wird dabei angezeigt. Sekündärradar hingegen ist ein kooperatives Mittel, da es sich hier um eine Frage-Antwort

Beziehung handelt. Das Luftfahrzeug muss auf eine Abfrage von Boden-

seite mit einer definierten Antwort reagieren. Dabei werden, neben einem

Identifikationscode auch weitere Informationen wie z.B. die Flughöhe

übermittelt.

Independent

Calculated by the ground

Dependent

Provided by the aircraft

Non-Collaborative

No aircraft equipment

required

Collaborative

Active aircraft equipment

required

Primary

Surveillance

Radar

Secondary

Surveillance

Radar

Automatic

Dependent

Surveillance

Broadcast

Aircraftposition

Surveillance Security

Means of surveillance

37

DFS ZM/C

14.12.2016

44

Die „Protokolle“ für die Informationsübermittlung, sowie die dazu genutz-

ten Frequenzen in der zivilen Luftfahrt sind offen und nicht verschlüsselt.

Das betrifft nicht nur ADS-B, aber auch Sekundärrader und GPS (mit Aus-

nahme des militärischen Mode, der aber zivil nicht genutzt werden kann).

Angriffsmöglichkeiten und –vektoren gibt es viele. Dabei kommt natürlich auch physische Gewalt gegen Bodenstationen in Frage.

Spatial SUR

Aircraft SUR

Ground SUR

SUR systems

CNS

Air Traffic Management

ATC(Area & Approach Control Services)

GNSS

1030 Mhz, 1090 Mhz

Spoofing attackJamming

attack

Interference

Cyber attack:

-flooding,

-importing false data,

-network infrastructure)Vandalism

SUR

Sensor

SUR

Distribution

ATC SUR

Processing

ATC SUR

Display

Surveillance Security

Illegal and

adverse

use of SUR

38

DFS ZM/C

14.12.2016

45

Einen weiteren Schritt in der Evolution der Überwachung ist ADS-B. Hier-

bei sendet ein Luftfahrzeug – ohne durch eine Bodenstation getriggert zu

sein – ständig seine Position aus, die durch GPS an Bord des Luftfahrzeuges

ermittelt wird. Allerdings sind nicht alle Luftfahrzeuge mit dieser Sende-

Technik ausgestattet.

Surveillance SecurityADS-B

ADS-B

Broadcast

Bodenstation

Surveillance

NetzwerkFlugsicherung

(Center/Tower)

Automatic:

Regular transmission of Position,

Identification and speed

Dependent Surveillance:

Depending on the navigation data of the

aircraft (information is determined on

board, might be inaccurate or faulty)

Broadcast

Information will be broadcasted to all

receivers without Feedback.

GPS

Position

39

DFS ZM/C

14.12.2016

46

Für jedermann besteht die Möglichkeit, über verschiedene Internet Platt-

formen (eine der bekanntesten ist wohl Flightradar24) die aktuelle Luft-

lage basierend auf den ADS-B Aussendungen der entsprechend ausgerüs-

teten Luftfahrzeuge zu erhalten.

Quelle : http://www.flightradar24.com/how-it-works

Surveillance Security - Internet CommunityADS-B network - Flightradar24.com

40

DFS ZM/C

14.12.2016

Input

• ADS-B / Mode-S

• ACARS

• HFDL

• Network (Internet)

+ VHF Voice

+ VHF Direction Finder

Output

• Aircraft list

• Air Situation Display• horizontal

• vertical

• “My Sky”

• Google Earth view

• Flight Desk view

• Network (“sharing”)

Processing

• ADS-B

• Radar

• MLAT

Quelle: http://www.coaa.co.uk/planeplotter.htm

Surveillance Security - Internet CommunityPlanePlotter (Centro de Observação Astronómica no Algarve, COAA)

41

DFS ZM/C

14.12.2016

47

Übersicht über die möglichen Angriffspunkte und der Angriffsvektoren (Methoden) auf ADS-B. Die Risiken sind identifiziert. Die bereits entwickel-

ten Schutzmechanismen werden gerade im Rahmen von Forschungspro-

jekten erprobt.

Übersicht über mehr oder weniger für jedermann erhältlichen ADS-B Emp-fängern oder Mitteln zum Selbstbau eines ADS-B Empfängers.

Surveillance SecurityADS-B - Risk analysis (example)

Threats are identified

Defense mechanisms are being developed

Effectiveness has yet to be demonstrated (z.B. LUFO V (TeFis))

42

DFS ZM/C

14.12.2016

Surveillance SecurityADS-B Receiver (Aviation Enthusiasts)

Kinetic-Avionic SBS-1 AirNav System Receiver

microADSB Receiver Mode S Beast

500€ 500€

300€

150€

DVB-T/DAB Receiver (RTL2832)

30€

43

DFS ZM/C

14.12.2016

48

Dies stellt einen bekannten Fall des Versuchs der Verfälschung von ADS-B

Daten dar. Die mittels eines handelsüblichen PC-gestützten Flugsimulators

wurden Positionsdaten erzeugt (links) und mit einem ADS-B Sender aus-

gestrahlt. Wie man rechts sehen kann, wurde die Position des simulierten

Ziels tatsächlich in einer der bekannten Internet-Plattformen wie ein echtes Flugzeug dargestellt. Das war allerdings auch alles.

Dieses simulierte Ziel ist bei der Flugsicherung aufgrund der vorhanden

Schutzmaßnahmen nicht zur Anzeige gekommen. Demgegenüber ist es

möglich, den wahren Standort des Senders zu ermitteln - mit den damit für

den Betreiber verbundenen Konsequenzen.

Quelle : http://www.youtube.com/watch?v=NSLqRXyxiBo

Surveillance SecurityADS-B spoofing

44

DFS ZM/C

14.12.2016

49

Auch Drohnen können einen Selbstbau-ADS-B Empfänger besitzen und da-

mit Luftfahrzeuge im Luftraum um die Drohne identifizieren. Auch gegen

mögliche Gefahren, die von solchen Drohnen ausgehen könnten, gibt es

mittlerweile (glücklicherweise) effektive Abwehrmaßnahmen.

Surveillance SecurityADS-B drones

Quelle : http://lemondronor.com/blog/indexphp/2013/4/cheap-ads-b-on-amateur-drones

45

DFS ZM/C

14.12.2016

50

Ein weiteres Feld ist die Störung von GPS. Die Störung selbst ist kein tech-

nisches Hexenwerk, da der Signalpegel von GPS sehr gering ist und leicht

überstrahlt werden kann. Schwieriger – aber nicht unmöglich - wird es GPS

zu verfälschen. Die Störung von GPS (z.B. durch käuflich erwerbbare GPS-

Jammer) kann allerdings als gefährlichen Eingriff in den Luftverkehr – und

damit als Straftat verfolgt werden. In den USA gab es schon Verurteilungen

aus diesem Grund. Denn – wer stört, muss senden und wer sendet, kann

geortet werden!

Quelle : http://www.foxnews.com/tech/2013/07/26/exclusive-gps-flaw-could-let-terrorists-hijack-ships-planes/?intcmp=trending

Surveillance SecurityGPS spoofing

46

DFS ZM/C

14.12.2016

Thank you very much for your attention!