2015-04-07

Cockpit Doorcontrol over IP — Korrepondenz mit Thomas Jarzombek

Von: Wolfgang Draxinger
Gesendet: 27. März 2015 19:33
An: Jarzombek Thomas
Betreff: Internetbasierte Flugzeug-Bodenkontrolle

Hallo Herr Jarzombek,

die RP-Online zitiert in http://www.rp-online.de/panorama/deutschland/germanwings-viele-besorgte-anrufe-kaum-mehr-stornierungen-aid-1.4974952 Ihre Forderug einer besseren internetbasierten Flugzeug-Bodenkontrolle. Ich hätte dazu einige Fragen an Sie in folgenden Punkten:

Zu einen Schlagen sie laut RP-Online vor Wenn Flugzeuge künftig mit Internet ausgerüstet sind, sollten wir einen Kommunikationskanal zur Bodenkontrolle außerhalb des Cockpits einrichten", sagte Jarzombek unserer Redaktion. "Die Bodenkontrolle sollte durch Internet-Kameras ins Flugzeug schauen können.

Hierzu stellen sich für mich folgende Fragen:

Zum einen ist eine Verbindung zum Internet nicht global flächendeckend möglich. Die Verbindung erfolgt über Geostationäre Satelliten, welche sich z.B. bei Interkontinentalflügen deren Route als Großkreis in die Nähe der Pole führen in der Nähe, oder sogar unterhalb des Horizints befinden, also nicht erreichbar sind. Weiterhin ist in einigen Regionen der Welt die dafür notwendige Technik noch nicht durch die lokalen Flugaufsichtsbehörden ratizfiziert und der Internet-Zugang, d.h. die Verbindung zum Satelliten wird durch die Piloten aus dem Cockpit heraus je nach Bedarf getrennt.

Inwiefern schätzen Sie die Möglichkeit einer Fernüberwachung wie von Ihnen vorgeschlagen ein, wenn der dazu notwendige Kommunikationskanal jederzeit vom Cockpit aus getrennt werden kann?

Hinzu kommt, damit meine zweite Frage, dass sie die Übertragung eines Kamera-Streams vorschlagen. Selbst bei niedriger Auflösung und in Schwarz-Weiß benötigt ein Video-Stream in dem sich noch etwas erkennen lässt wenigstens 200kBits/s Bandbreite. Auf meinem Transatlantikflug Anfang Februar diesen Jahres habe ich mir "Flugzeug-Internet" geleistet; die verfügbare Bandbreite schwankte sehr stark (war in der Polarregion nicht nutzbar) und reichte eigentlich nur für E-Mail, Instant Messaging und dem Surfen im Web ohne Multimedia-Inhalte. Nun bin ich ja durchaus dafür zu haben, die Technologie für die Verbindung zum Internet von Flugzeugen aus zu verbessern. Es werden jedoch umfangreiche Investitionen notwendig sein, die für die von Ihnen vorgeschlagene Technik notwendige Technologie auszurollen. Ist davon auszugehen, dass von staatlicher Seite entsprechende Anschubsubventionen erbracht werden, sollte Ihr Vorschlag tatsächlich umgesetzt werden?

Im Laufe des gleichen Interviews zitier die RP-Online sie auch wie folgt: "Auch die Bodenkontrolle muss künftig in der Lage sein, Cockpit-Türen über das Internet von außen zu öffnen", sagte Jarzombek. Zudem schlug Jarzombek einen zweiten Spezialcode für Cockpit-Türen vor. "Wir brauchen unbedingt einen zweiten Spezialcode, mit dem sichergestellt wird, dass die Piloten die Cockpit-Tür jederzeit von außen öffnen können, wenn sie von innen blockiert ist".

Auch über diese Aussagen stellen sich für mich Fragen:

Erstens: Wenn die Bodenkontrolle jederzeit in der Lage sein muss die Cockpit-Türen aus der Ferne zu öffnen, erfordert dies, dass die dazu notwendige Kommunikationstechnik im Flugzeug nicht vom Cockpit aus (oder jedwede andere menschliche Interaktion) abgeschaltet werden kann. Eine der Grundregeln der modernen Avionik und festgeschrieben in den internationalen Normenwerken zur Flugsicherheit ist jedoch, dass jedes elektrisches Gerät an Bord im Prinzip Störungen verursachen kann und daher im Notfall durch das Flugpersonal manuell ausser Betrieb gesetzt werden können muss. Dieses Grundprinzip würde dadurch ausser Kraft gesetzt. Wie schätzen sie die Schwierigkeit ein, die notwendigen Änderungen auf internationaler Ebene und die damit verbundenen Umrüstungen und Kosten umzusetzen.

Zweites: Nach dem Grundprinzip, dass jede Internet-Technologie früher oder später gehackt wird, könnte eine solche Fernkontrolle der Türentriegelung von z.B. Terroristen genutzt werden um sich zum Cockpit Zutritt zu verschaffen. Da zudem die Steuerung per Internet erfolgen soll, befände sich der Fernzugang zu Türsteuerung im selben Netzwerksegment von dem aus auch die Passagiere den Zugang zum Internet nutzen. Dadurch wäre durch einen Angreifer an Bord die Türverriegelung direkt zugänglich und alles was es dann noch braucht um die Barriere zu brechen ist die eine kritische Sicherheitslücke im Netzwerkcode die noch nicht vom Hersteller entdeckt, oder diesem mitgeteilt wurde (0-Day Exploit).

Drittens: Selbst wenn die beiden ersten Fragen geklärt werden können besteht nach wie vor das Problem, dass sich ein Internetzugang mit begrenzter Bandbreite schon mit einfachen Mitteln soweit stören lässt, dass er nicht mehr nutzbar ist. Z.B. könnte durch Übertragung einer großen Datei, oder durch das Injezieren speziell präparierter Route Advertisements oder Route Information Pakete in das Flugzeugnetzwerk die Übertragung von Befehlen der Flugkontrolle derartig stören, dass die Kommunikation zwischen Flugzeug und Bodenkontrolle erhalten bleibt, aber jeder Versuch einer Fernkontrolle zum Verbindungsabbruch führt (Denial of Service-Angriff, DoS). Dies ist ein inhärentes, prinzipbedingtes Problem paketbasierter Vermittlung dem sich nur durch ausreichende Bandbreiten-Reserven begnen lässt; die damit verbundenen Fragestellungen habe ich ja schon zum Thema "Kameraüberwachung per Internet" aufgetan.

Viertens: In welcher Weise würde ein zweiter oder dritter Spezialcode helfen? Womöglich ein eigener Sicherheitscode für jedes einzelne Crew-Mitglied? Die Möglichkeit zur Verriegelung der Tür und der Ausserkraftsetzung des Zugangs per Code von aussen besteht ja gerade deshalb, weil befürchtet wurde, dass ein Crew-Mitglied von einem Angreifer soweit gefoltert werden könnte dass dieses den Code preis gibt. Daher die Möglichkeit für die Piloten die Türe "hart" zu verriegeln um selbst in diesem Fall einen Angreifer aus dem Cockpit fern zu halten. Die Etablierung weiterer Spezialcodes verhindert ja nicht das Angriffsmodel der Code-Extraktion durch physische Gewalt und ob dabei nur ein Code oder mehrere zur Debatte stehen ist dabei irrelevant.

Ich würde mich freuen von Ihnen zu erfahren, wie sich diese Probleme praktisch angehen lassen. Weiterhin möchte ich Ihnen mit auf den Weg geben, dass mit den Ereignissen vom 24. März die durch die Antiterrormaßnahme "gepanzerte und verriegelte Cockpittür" die Zahl der dadurch erhaltenen Menschenleben nach wie vor auf weltweit 0 steht (es ist kein Zwischenfall seit 2001 bekannt in dem sich ein Angreifer Zutritt zum Cockpit verschaffen wollte), dem gegenüber die Zahl der dadurch tragischerweise verloren gegangenen Leben auf 150 angestiegen ist. Die empirischen Daten legen also Nahe, dass das eigentliche Problem in der Antiterrormaßnahme liegt und die wesentlich naheliegendere Lösung darin besteht, den Zugang wieder so wie vor dem Jahr 2001 handzuhaben.


Mit freundlichen Grüßen

Wolfgang Draxinger


From: Jarzombek Thomas 
To: Wolfgang Draxinger 
Subject: AW: Internetbasierte Flugzeug-Bodenkontrolle
Date: 2. April 2015 16:22

Sehr geehrter Herr Draxinger,

ich danke Ihnen sehr für Ihre E-Mail und Ihre ausführlichen Hinweise und Anmerkungen zum Thema Internetbasierte Flugzeug-Bodenkontrolle. Lassen Sie mich dazu so viel sagen: Ich finde, dass nun konkrete Schritte zur Verbesserung der Kommunikation zwischen Bodenkontrolle und Flugzeug unternommen werden sollten. Wenn die Bodenkontrolle ins Flugzeug schauen und mit den Menschen außerhalb des Cockpits Kontakt aufnehmen könnte, wäre es auch möglich, einen Spezialcode einzurichten, der nur in einem Notfall von der Bodenkontrolle an die Personen außerhalb des Cockpits gesendet wird und mit dem sich die Tür zum Cockpit wieder öffnen lässt. In diesem Falle würde man der Bodenkontrolle noch mehr Verantwortung in der Flugsicherheit geben. Dies würde ich befürworten, da dort Entscheidungen über das Senden eines Spezialcodes bzw. über das Öffnen oder Nicht-Öffnen der Tür zum Cockpit immer unter Beteiligung mehrerer Personen getroffen würden. Eine solche Regelung könnte die Sicherheit von Flugzeugen erheblich vergrößern. Ebenso wäre es denkbar, dass man im Flugzeug – anstelle einer Dauerüberwachung der Passagiere per Webcam – einen „Notknopf“ einrichtet, nach dessen Betätigung die Bodenkontrolle das Signal erhält, die Kameras zu aktivieren und in das Innere des Flugzeugs hineinzuschauen, und gleichzeitig die Kommunikation zu den Passagieren herzustellen. Bei der Kommunikation zwischen Bodenkontrolle und Flugzeug besteht in jedem Falle Handlungs- bzw. Verbesserungsbedarf. Um eine reibungslos funktionierende Kommunikation technisch überhaupt möglich zu machen, müssen auf internationaler Ebene entsprechende Schritte eingeleitet werden. Bei der ICAO, der Internationalen Zivilluftfahrtorganisation, sollte deshalb eine Arbeitsgruppe gebildet werden, die diese konkreten Handlungsschritte erarbeitet und Empfehlungen ausspricht, anhand dessen man die internationale Gesetzgebung anpassen sollte.

Mit den besten Grüßen
Thomas Jarzombek


PGP Key:479F 96E1 2B49 8B0D 69F1 94EE F11B E194 2E6C 2B5E (last 32 bit of fingerprint are ID).

Impressum

This is a noncommercial private webpresence / weblog (blog), of
Dies ist eine nicht-kommerzielle Webpräsenz / Weblog (Blog), von

Wolfgang Draxinger

Please obtain the technical and administrative contact information from the WHOIS data of this domain. Technische und administrative Kontaktdaten sind bitte den WHOIS-Daten dieser Domain zu entnehmen.