BSI Arbeitspapier: Gefahr durch Drohnen

Christian: Willkommen zum Podcast Die Sicherheitslücke. Mein Name ist Christian Friedrich

Christian: und mit mir hier sitzt Volker Skwarek. Hallo Volker.

Volker: Moin Christian.

Christian: Wir wollen heute in einer etwas kürzeren Folge von Die Sicherheitslücke,

Christian: einer sogenannten Shorts-Folge, über das Arbeitspapier zur Gefährdung durch

Christian: Drohnen vom BSI sprechen.

Christian: Magst du mal kurz sagen, worum es in dem Papier geht?

Volker: Ja, es ist aktuell sogar etwas mehr als nur ein Arbeitspapier,

Volker: sondern es hat keine richtige Einstufung, aber es geht in Richtung eines Technical

Volker: Reports, was schon in Richtung Empfehlungen oder Standardsetzen geht.

Volker: Und in diesem Paper, das interessanterweise und auch angenehmerweise nur effektiv drei Seiten lang ist,

Volker: haben wir die Themen Bedrohung, Maßnahmen und bei den Maßnahmen nochmal Vermeidung,

Volker: also Prevent und Detektion eigentlich nur angeteasert. Ja, das sind drei Seiten.

Volker: In den drei Seiten sind so acht bis zehn Stichpunkte beschrieben und gar nicht

Volker: mal fürchterlicher Tiefgang, was ich aber auch durchaus sehr angenehm für das Thema finde.

Christian: Weil es lesbar wird.

Volker: Ja, genau, genau.

Christian: Also es geht um Gefährdung durch Drohnen. Welche Gefährdungsszenarien werden denn da beschrieben?

Volker: Naja, beim BSI geht es ja im Wesentlichen tatsächlich um Informationssicherheit,

Volker: also sehr IT-lastig und interessanterweise ist das aber nicht nur der Kern des Papers.

Volker: Also da geht es sowohl um Erkennung, Überwachung durch Drohnen,

Volker: immer schadhaft gemeint, bis hin zu Täuschung,

Volker: teilweise IT-Angriffe wie Man-in-the-Middle, bis hin zu massiven Schwarmangriffen,

Volker: die eigentlich gar nichts mehr mit Cyber Security zu tun haben,

Volker: sondern eher, dass man ein Problem hat, so eine Art Denial-of-Service-Angriff auf der Meta-Ebene.

Volker: Dass man ein Problem hat, dieses abzuwehren, weil man gar nicht weiß,

Volker: wo man anfangen soll, wenn plötzlich 40 Drohnen auf ein Gelände zufliegen.

Christian: Ja, also so die Zunahme in der räumlichen Dimension und die Anzahl der Geräte,

Christian: die auf mich zufliegen, in Kombination erschwert einfach die Abwehr sozusagen.

Volker: Genau, aber was ich hier als Kern erstmal rausbringen wollte,

Volker: ist, dass das BSI entgegen seiner eigentlichen Mission eben nicht nur über IT-Technik

Volker: redet, sondern über das Gesamtkonzept, wieso ist eine Drohne schädlich.

Christian: Okay, und du hast ja jetzt schon so ein paar Angriffsszenarien zumindest angeteasert,

Christian: die in dem Papier genannt werden.

Christian: Für wen ist das denn relevant? Für mich mit meinem Privatgrundstück wahrscheinlich

Christian: weniger als für Leute, die kritische Infrastruktur zum Beispiel betreiben, oder?

Volker: Ja, auch das ist nicht klar definiert, sondern ich sehe es eher auf der Meta-Ebene.

Volker: Es geht um Entscheidungsträger. Das kann natürlich auch irgendwie ein virtuelles

Volker: Familienoberhaupt sein.

Volker: In Klammern ist aber eher unwahrscheinlich, sondern es geht um Entscheidungsträger,

Volker: die sich darüber bewusst werden müssen,

Volker: welche Arten von Gefahren von Drohnen ausgehen und wie man sich organisatorisch

Volker: diesbezüglich aufstellen müsste.

Volker: Und also Firmen, das kann aber von kleinen Mittelständler sein bis zum, keine Ahnung,

Volker: CISO eines DAX-Konzerns, der sich noch nie darüber Gedanken gemacht hat,

Volker: dass das Chemiewerk Opfer von Drohnen angriffen werden könnte.

Volker: Also das ist wirklich beliebig skalierbar.

Christian: Lass uns doch mal für eins ein Beispiel suchen, in dem so ein Szenario vielleicht deutlich wird.

Christian: Ich meine mich zu erinnern, dass es was gab zum Thema zum Beispiel Beschilderung

Christian: von Rechenzentren auf Geländen und Scans, oder?

Volker: Genau, das kommt nachher unter Prevent.

Volker: Also Angriff hier wäre jetzt so ein Überwachungs- oder Aufklärungsangriff.

Volker: Und dieser Aufklärungsangriff, da geht es nicht nur darum, dass ich irgendwie nette,

Volker: undefinierte Bildchen von irgendwas mache, sondern die haben den aktiven Zweck.

Volker: Also die haben wirklich das Interesse, zum Beispiel rauszufinden,

Volker: wo in den Gebäuden werden Vorstandsbesprechungen durchgeführt,

Volker: weil hier der Vorstandsitzungsraum ist.

Volker: Oder in welchem der Gebäuden ist das Rechenzentrum, weil ich dort die höchste

Volker: Chance habe, mit IT-spezifischen Angriffen irgendwie ein Ziel zu finden.

Volker: Oder Produktionshallen.

Volker: In Produktionshallen haben wir das Problem, dass wir ja nicht Information,

Volker: sondern Operational Technology haben,

Volker: die leider, leider, es gibt gar keinen richtigen Grund dafür,

Volker: den man gut argumentieren könnte, aber diese Operational Technology ist deutlich

Volker: schwächer gesichert als alle IT-Technology.

Volker: Und wenn ich jetzt einen Pfeil auf dem Bildschirm, auf dem Gelände habe,

Volker: der sagt, da ist meine Produktionshalle,

Volker: naja, irgendwie werden sie schon so und so rausfinden, aber ich mache es einfach

Volker: nur noch fürchterlich leichter für die, meine Schwachstellen physisch zu finden.

Christian: Das heißt, wenn wir das Beispiel durchspielen, da fliegt eine Drohne,

Christian: also ich simplifiziere mal ganz arg,

Christian: da fliegt eine Drohne über mein Gelände, die findet raus, wo mein Rechenzentrum,

Christian: wo meine Vorstandsbesprechungen sind und wo meine Fertigungsmaschinen sind,

Christian: die irgendwie unverschlüsselt miteinander kommunizieren, um irgendwie den Fertigungsablauf

Christian: hin und her zu organisieren.

Christian: Dann sollte ich mir sozusagen mit der Perspektive Gefährdung durch Drohne,

Christian: nochmal anders darüber Gedanken machen, wie ich das absichere,

Christian: was ich ausschildere, wo Wärmeabstrahlung ist, all solche Sachen?

Volker: Genau, das sind so diese Low-Hanging Flutes oder die Quick-Wins.

Volker: Ich muss halt einfach zusehen, dass man mit einem einfachen Drohnenüberflug

Volker: idealerweise nicht sofort einen dicken Quick-Win landen kann und Ausschilderungen

Volker: oder sowas sind das eben.

Volker: Das ist aber eben, wie gesagt, nur ein Aspekt.

Volker: Andere Dinge, die auch sehr interessant nur rein aus Aufnahmen sind,

Volker: das erwähnen die gar nicht hier so explizit,

Volker: aber es gibt öffentliche Bibliotheken, die jedem Informatiker irgendwie bekannt

Volker: sind oder leicht auffindbar,

Volker: mit denen ich sehr gut, ich sag mal, jede Art von Image-Processing,

Volker: Video-Processing, auch 3D-Resaurierung und sowas, Augmented Reality sehr,

Volker: sehr leicht machen kann und ohne jetzt ein.

Volker: Einen Fokus auf Qualität zu legen, ist es möglich,

Volker: dass ich, wenn ich weiß, wo die Drohne ist und in welche Richtung sie gerade

Volker: guckt, und das ist ja Standardsensorik der Drohne,

Volker: dass ich einfach so rundum Scans machen kann, rein mit Video und Bildern,

Volker: das schmeiße ich in solche Bibliotheken rein und habe dann Augmented Reality

Volker: oder meinetwegen sogar Virtual Reality Bilder,

Volker: mit denen ich welche Art von Angreifern trainieren kann auf diesem Gelände.

Volker: Die haben dann meinetwegen eine große Turnhalle oder eine Lagerhalle und simulieren

Volker: über VR-Brillen dieses Gelände und können üben und trainieren,

Volker: wo sie sich wie schnell bewegen.

Volker: Und das ist einfach durch einen, ich sage jetzt mal nicht, durch einen einfachen

Volker: Drohnenüberflug möglich.

Volker: Da muss man schon ein bisschen Energie reinlegen. Aber das ist ja die Frage,

Volker: was macht der Angreifer?

Volker: Für den Verteidiger ist es nachher ein einfacher Drohnenüberflug,

Volker: der fünfmal gesichtet wurde innerhalb von drei Tagen.

Volker: Und danach steht ein allgemeines Geländemodell, dieses Firmengeländes.

Volker: Finde ich interessant, mal darüber nachgedacht zu haben.

Christian: Und wenn wir in dem Beispiel bleiben, sagt das BSI da auch schon in einem Papier

Christian: was zu Abwehrmaßnahmen oder wäre das jetzt schon zu detailliert für das Papier?

Volker: Es gibt ein paar detaillierte Abwehrmaßnahmen. Das BSI bleibt so wie das Paper

Volker: sehr allgemein strukturiert ist, aber trotzdem finde ich sehr nahrhaft.

Volker: Also das ist ein gutes Paper, ein guter Bericht.

Volker: So allgemein bleiben jetzt auch die Maßnahmen, wobei sie an manchen Stellen

Volker: jetzt zum Beispiel sagen, Achtung, wenn ihr Drohnenüberflüge hattet,

Volker: macht bitte eine Physical Inspection auf Basis zum Beispiel von Vorher-Nachher-Fotos,

Volker: die ihr entweder durch klassische Bildverarbeitung oder auch durch KI auswerten

Volker: lasst, wenn die Firmengelände zu groß sind, ob da irgendwas Auffälliges ist,

Volker: das ihr primär gar nicht wahrnehmt.

Volker: Also zum Beispiel liegt da plötzlich eine Box irgendwo.

Volker: Ah, dann hat die Drohne da was abgeworfen oder liegen lassen,

Volker: was ja zum Beispiel einen IT-Angriff, einen WLAN-Angriff ermöglichen könnte.

Volker: Solche Sachen, also das ist so die tiefste Tiefe, auf die dieses Paper eingeht

Volker: und der Rest, da muss man entweder selbst kreativ werden oder sich Fachleute

Volker: ranholen und sagen, oh, darüber haben wir noch nie nachgedacht.

Christian: Und so ein paar Themen rund um Drohnenabwehr, Gefährdung durch Drohnen sprechen

Christian: wir auch in unseren Folgen, jetzt gerade in der letzten, aber auch in den kommenden

Christian: Folgen nochmal oder sprecht ihr nochmal viel ausführlicher, was man tun kann,

Christian: was Unternehmen tun können und was sie vielleicht auch nicht tun dürfen.

Volker: Ja, da gehen die in dem Paper, muss ich sagen, gar nicht so richtig darauf ein,

Volker: wie ich eine Drohne abwehren kann.

Volker: Ich glaube, dies ist im Moment auch noch zu sehr im Fluss.

Volker: Also mittlerweile ist es ja, also Ukraine ist ja immer so ein perfektes Beispiel

Volker: für Möglichkeiten der Drohnenabwehr.

Volker: Und was ich jetzt letztens ist naheliegend, aber was ich gar nicht so ernsthaft

Volker: in Betracht gezogen habe,

Volker: die haben Vogelnetze teilweise über die gesamte Stadt gezogen,

Volker: um herabfallende Gegenstände vom Himmel, könnten Drohnen sein,

Volker: daran zu hindern, auf dem Boden aufzuschlagen.

Volker: Wenn ich eine kritische Infrastruktur habe als Firma.

Volker: Ich weiß nicht, ob das jetzt alles so ohne weiteres erlaubt ist,

Volker: dass ich mal so irgendwie 2000 Quadratmeter oder 10.000 Quadratmeter Vogelnetz

Volker: ziehe, aber im Zweifel ist das jetzt schon mal irgendwie eine Maßnahme.

Volker: So was steht in dem Paper eigentlich gar nicht drin.

Christian: Okay. Ich glaube, wir haben einen kurzen Überblick über das Papier gegeben.

Volker: Ich würde noch tatsächlich einmal direkt ansprechen, dass ich jedem,

Volker: der ein solches Problem in Betracht ziehen könnte, die zehn Minuten empfehle,

Volker: sich das Paper, das wir auch bei uns in den Shownotes verlinken,

Volker: wirklich einmal durchzulesen.

Volker: Also konkret sind es die Seiten 5, 6 und 7, so Punkt, drei Seiten und diese

Volker: fünf Minuten ist das definitiv wert.

Volker: Im Übrigen, man kann es auch an seine fremdsprachigen Kollegen und Kolleginnen

Volker: weiterleiten, weil es ist von vornherein gleich auf Englisch verfasst,

Volker: was beim BSI ja auch nicht unbedingt üblich ist.

Christian: Super. Dann würde ich sagen, das war die erste Sicherheitslücke Shorts zum BSI-Papier

Christian: rund um die Gefährdung durch Drohnen.

Christian: Ihr könnt die Sicherheitslücke überall dort finden, wo ihr Podcasts hört,

Christian: auch auf unserer Webseite.

Christian: Link findet ihr in den Show Notes, genauso wie zu unseren Social Media Profilen,

Christian: insbesondere bei Mastodon und bei LinkedIn sind wir zu finden.

Christian: Empfehlt uns weiter, bewertet den Podcast gerne. Wir sind ein Podcast der Hamburg

Christian: Open Online University.

Christian: Das Design des Podcasts kommt von Anne Vogt. Vielen Dank.

Christian: Und wir hören uns schon bald wieder in der nächsten regulären Folge der Sicherheitslücke.

Christian: Bis dahin sagen Volker Skwarek und Christian Friedrich.

Volker: Auf Wiedersehen.