Was ist GPS-Spoofing und wie kann man sich davor schützen?

Beim GPS-Spoofing wird ein manipuliertes Funksignal an die Antenne eines Receivers gesendet, um ein authentisches GPS-Satellitensignal zu überlagern. Dabei handelt es sich häufig um einen Cyberangriff, der von böswilligen Akteuren mit der Absicht lanciert wird, Waren oder Menschen fehlzuleiten. 

GPS-Spoofing kann missbraucht werden, um Fracht zu stehlen, Schiffe Piraten in die Arme zu treiben oder Standortangaben zu manipulieren. 

GPS-Technologie (Global Positioning System) ist aus dem Alltag der Unternehmen und Verbraucher nicht wegzudenken. 

GPS hilft Personen, von A nach B zu gelangen. Sowohl in der Logistik als auch privat ist die Technologie weltweit erste Wahl, um das gewünschte Ziel zu erreichen. 

Unternehmen und Privatpersonen können sich vor GPS-Spoofing schützen, indem sie Antennenattrappen einsetzen und GPS-Verbindungen deaktivieren, wenn diese nicht benötigt werden. Und auch eine gute Cyber-Hygiene kann zum Schutz vor GPS-Spoofing beitragen.

Definition von GPS-Spoofing

Im Grunde bedeutet „Spoofing“ so viel wie „Manipulieren“. Beim GPS-Spoofing werden falsche Informationen an einen Receiver gesendet. Das führt dazu, dass die tatsächlichen Informationen überschrieben werden.

Für eine erfolgreiche GPS-Spoofing-Attacke braucht es einen Funksender, der sich in der Nähe des anvisierten Zieles befindet. Dieser stört dann das echte GPS-Signal. GPS-Signale werden über Satelliten übertragen und sind oftmals nicht sehr stark. Es braucht also lediglich einen etwas stärkeren Funksender, um das schwächere Signal zu überlagern. So können authentisch aussehende, aber gefälschte Koordinaten und Informationen an den Receiver übertragen werden.

GPS-Spoofing sorgt somit dafür, dass Personen von ihrem eigentlichen Kurs abkommen, oder der tatsächliche Aufenthaltsort einer Person verschleiert wird.

GPS ist eines von vielen Global Navigation Satellite Systemen. (GNSS). Neben der Übermittlung von Standortinformationen wird es auch zur Zeiterfassung genutzt. Beide Funktionen sind jedoch anfällig für Spoofing und Jamming.

Sowohl Unternehmen als auch Privatpersonen sind von GPS-Spoofing-Angriffen betroffen. Diese können zum Beispiel die Standortdaten von Smartphone-Apps manipulieren, um Cyberangriffe auf Netzwerksysteme und kritische Infrastrukturen zu ermöglichen, die GPS-Daten verwenden.

Wie funktioniert GPS-Spoofing? Was passiert beim GPS-Hijacking?

Das US-amerikanische GPS-System umfasst 31 Satelliten, die sogenannten Navstar. Von diesen Satelliten aus werden PRN-Codes an zivile und militärische Einrichtungen gesendet. Die an das Militär gesendeten Codes sind verschlüsselt. PRN-Codes, die an zivile Einrichtungen gesendet werden, sind unverschlüsselt und können in öffentlichen Datenbanken eingesehen werden. Das macht sie anfällig für Cyberangriffe. 

Im ersten Schritt stellt der Angreifer anhand der Umlaufbahnen der verschiedenen Satelliten fest, welcher GPS-Satellit sich in der Nähe des anvisierten Zieles befindet. Dann greift er auf den öffentlich verfügbaren PRN-Code zurück und generiert einen neuen Code für jeden Satelliten. Die daraus resultierenden Signale werden an alle Satelliten transferiert, die sich in unmittelbarer Nähe zum Ziel befinden und sukzessive verstärkt. Diese Übertragung wird so lange fortgesetzt, bis der Receiver den falschen Code empfangen hat. Dem Angreifer ist es nun möglich, gefälschte Koordinaten an den Receiver zu übermitteln.

Arten des GPS-Spoofing

Beim GPS-Spoofing erhält ein Receiver falsche Daten, was dazu führt, dass Verkehrsflüsse, Warenströme und die Bewegungen von Menschen mithilfe gefälschter Informationen umgeleitet werden. Dies kann – vor allem, wenn es von staatlichen Akteuren flankiert wird – auch in großem Maßstab erfolgen. Allerdings erfordert diese Art des GPS-Spoofings teure Systeme und qualifiziertes Personal. 

Es ist aber davon auszugehen, dass allein Russland bereits schätzungsweise 10.000 Spoofing-Angriffe inszeniert und so falsche Standortdaten an zivile Schiffe gesendet hat. Auf diese Weise konnten sensible Standorte geschützt und potenzielle Drohnen-Angriffe auf Präsident Putin vereitelt werden. Diese Art des Spoofings erfordert Equipment, das Spoofing-Signale senden kann, das ca. 500-mal stärker ist als die echten GNSS-Signale.

GPS-Spoofing kann allerdings auch mit handelsüblichen, kostengünstigeren und tragbaren Geräten betrieben werden, z. B. mit Software-basierten Funkgeräten, die mit Open-Source-Software arbeiten. Hierbei richtet der Angreifer eine Sendeantenne auf den GPS-Receiver eines Ziels, um so die GPS-Signale von Gebäuden oder Transportmitteln in der Nähe zu überlagern.

Andere Spoofing-Geräte können sogar von Passagieren in Flugzeugen mitgeführt oder von Drohnen eingesetzt werden. Diese Geräte sind klein und handlich, kostengünstig und werden in unmittelbarer Nähe des anvisierten Ziels eingesetzt. 

Alternativ können Cyberangreifer das GPS-Spoofing nutzen, um mithilfe einer Smartphone-App die Standortdaten eines Telefons zu manipulieren. 

Der Schaden, den GPS-Spoofing anrichten kann

GPS-Spoofing kann sowohl Unternehmen als auch Privatpersonen betreffen. Das kann auch globale Auswirkungen nach sich ziehen. Zu den Branchen, die am stärksten von GPS-Spoofing betroffen sind, gehören die Schifffahrt, die Baubranche, Mitfahrzentralen und Taxiunternehmen. 

Einige der Gefahren, die von GPS-Spoofing ausgehen:

• Umleitung von Warenflüssen zu anderen Destinationen – oft mit der Intention, die Sendungen zu entwenden: Häufig verwenden Spediteure GPS-fähige Schlösser, die erst am Zielort geöffnet werden können. Mithilfe von GPS-Spoofing können diese Schlösser vorab geöffnet werden. 
• Entführung von Schiffen durch Piraten: Häufig verlassen sich Frachtschiffe, Kreuzfahrtschiffe, Yachten und private Boote bei der Navigation auf GPS-Koordinaten. Sie sind besonders gefährdet. 
• Eingriffe in den Verkehr am Flughafen: GPS-Spoofing kann verwendet werden, um Flugzeuge vom Kurs abzubringen oder zu einer „Blind-Landung“ zu zwingen, die alle Menschen an Bord gefährdet. 
• Diebstahl von Assets an Baustellen: Baumaschinen sind oft teuer, hochwertig und müssen dementsprechend geschützt werden – beispielsweise durch GPS-basierte Ortungssysteme. Durch das Spoofing der GPS-Daten können die Geräte an einen anderen Ort geschickt und dann entwendet werden. 
• Taxi- und Rideshare-Betreiber fälschen Standortangaben, um ihren Profit zu steigern: Ride-Sharing-Anbieter setzen in Spitzenzeiten in ausgewählten Gebieten besonders hohe Tarife an. Einige Fahrer manipulieren ihre GPS-Daten, um ihre Fahrzeuge in den besonders hoch tariffierten Regionen zu „platzieren“ und so mehr Profit zu generieren. Außerdem können sie per Spoofing ihre Standortangaben fälschen, um während der Dienstzeit kriminelle Handlungen auszuüben. 
• Manipulation von Dating-Apps: Heutzutage nutzen viele Menschen Dating-Apps, um sich zu verabreden. Kriminelle können mögliche Opfer über GPS-Spoofing in einen Hinterhalt locken. 
• Umleitung von Autos: Viele Autofahrer verlassen sich auf GPS, um an ihr Ziel zu kommen. Durch gefälschte Informationen können sie leicht vom Kurs abgetrieben werden. Gerade im Zeitalter des autonomen Fahrens ist ein solches Szenario besorgniserregend.
• Störung der Universal Time: Finanzunternehmen, Energieversorger und Telekommunikationsunternehmen nutzen alle die GNSS-Universal Time. Eine Störung dieses Systems könnte zum Zusammenbruch der Finanzmärkte führen, Ausfälle des Stromnetzes verursachen und die Kommunikationsnetze unterbrechen. 
• Störung von Services über mobile Apps und Websites: Viele Apps und Websites nutzen die Standortdaten ihrer Kunden im Zuge der Identitätsprüfung. Bei erfolgreichem Spoofing werden falsche Informationen ausgesendet und der Zugriff verweigert.

Schutzmaßnahmen vor GPS-Spoofing

Es gibt verschiedene Möglichkeiten, wie Unternehmen sich vor GPS-Spoofing schützen können – beispielsweise mithilfe von Kryptografie, Zurückverfolgung der Direction-of-Arrival und Aufspüren von Signalverzerrungen. 

• Kryptographie: Bei der Kryptografie verschlüsseln Unternehmen die ein- und ausgehenden Satellitencodes. Die Koordinaten können nur von denjenigen Personen entschlüsselt werden, die beide Codes besitzen. Ganz ähnlich erfolgt auch die militärische Verschlüsselung.

Im zivilen Bereich ist Kryptographie jedoch nicht immer ein probates Mittel. Immerhin muss der Schlüssel für die Entschlüsselung der Daten verbreitet werden. Aufgrund der großflächigen Verbreitung des Schlüssels kann er leicht in die Hände von Hackern geraten. 

• Zurückverfolgung der Direction-of-Arrival: Spoofer initiieren ihre Angriffe in der Regel von einem festen Ort aus. Das bedeutet, dass ihre falschen Signale auf einen bestimmten Ort zurückverfolgt werden können. Echte GPS-Daten hingegen werden stets über mehrere Satelliten gleichzeitig übertragen. 
• Aufspüren von Signalverzerrungen: Diese Methode erfordert weitere Signalverarbeitungskanäle und zusätzliche Hardware, die das Amplitudenprofil des Signals mit höherer Genauigkeit verfolgen kann. 

Wird ein GPS-Signal manipuliert, sendet es anfangs sowohl das echte als auch das falsche Signal. Das kann ein kurzes Echo erzeugen. Wird das echte Signal unmittelbar zu Beginn der Übertragung erkannt – noch bevor es erlischt und nur noch das falsche Signal gesendet wird – kann der Angriff erfolgreich gestoppt werden.

Das Department of Homeland Security (DHS) rät zum Schutz von Unternehmen vor GPS- oder GNSS-Spoofing-Angriffen Folgendes:

• Verschleiern oder verbergen Sie, wo sich Ihre Antennen befinden. Verbergen Sie den Standort ihrer Antennen vor der Öffentlichkeit, indem Sie sie hinter Sichtbarrieren verstecken oder an einem nicht einsehbaren Ort aufstellen. 
• Wählen Sie den Standort ihrer Antennen sorgfältig. Die Antennen dürfen nicht von oben abgeschirmt sein. Aber es kann ratsam sein, sie so zu platzieren, dass man sie von öffentlichen Plätzen oder umliegenden Gebäuden aus nicht sehen kann.
• Installieren Sie Antennen-Attrappen. Sorgen Sie dafür, dass die Attrappen gut sichtbar sind, und stellen Sie sie mindestens 300 Meter von Ihren echten Antennen entfernt auf. 
• Installieren Sie redundante Antennen. Mehrere Antennen an leicht variierten Standorten können dazu beitragen, dass Sie schnell auf potenzielle Probleme aufmerksam werden.
• Nutzen Sie Antennen, um Signale zu blockieren. Sie schützen vor Störsignalen und Interferenzen.Sie minimieren außerdem das Risiko von Spoofing-Angriffen.
• Erstellen Sie Backups. Für den Fall, dass das GPS ausfällt, helfen Ihnen feste Sensoren, die tatsächliche Position zu bestimmen. Cäsium- und Rubidium-Uhren ersetzen unterdessen das Zeitmessungssystem. Im Falle eines Zwischenfalls ist es immer sinnvoll, Backup-Systeme bereitzuhalten, die nicht GPS-basiert sind.
• Achten Sie auf gute Cyber-Hygiene. Wenn GPS-Receiver und die zugehörigen Geräte nicht für die Netzwerkverbindung benötigt werden, ist es ratsam, sie in den Offline-Modus zu versetzen. Weitere hilfreiche Maßnahmen: Die Einführung einer Zwei-Faktor-Authentifizierung, häufige Aktualisierungen von Passwörtern und die regelmäßige Durchführung von Updates und Patches. Sie sollten ebenso Virenschutz, Firewalls und weitere Cybersecurity-Maßnahmen implementieren. 

Vorteile des GPS-Spoofing

GPS-Spoofing birgt zwar viele Risiken und Gefahren für Verbraucher und Unternehmen gleichermaßen, in einigen Szenarien kann es aber durchaus von Vorteil sein. 

So ist das Teilen von Standortdaten etwa in Bezug auf die Einhaltung der Datenschutzvorgaben durchaus problematisch. Allerdings ist es beim GPS-Tracking unvermeidbar. Hier kann das GPS-Spoofing dazu beitragen, den tatsächlichen Standort einer Person oder eines Produktes zu verschleiern. Viele GPS-Spoofing-Apps und -Produkte sind auf dem Markt frei verfügbar.

GPS-Spoofing wird auch von Security-Unternehmen verwendet, um hochrangige Ziele oder Personen adäquat zu schützen. Und auch von vielen Verbrauchern werden Spoofing-Techniken eingesetzt, um Systemen vorzugaukeln, dass sie sich an einem Ort befinden, an dem sie nicht sind – etwa bei standortbezogenen Smartphone-Games und -Apps. Diese können oft kostenlos über den App Store heruntergeladen werden.

Weitere Ressourcen

• Checkliste zum Schutz vor GPS-Spoofing des Homeland Security Systems Engineering and Development Institute (HSSEDI)
• Informationen über das PNT-Programm (Positioning, Navigation, and Timing) und vom DHS zur Verfügung gestellte Ressourcen
• Kostenloser GPS Receiver Whitelist Development Guide des DHS für Geräteentwickler 

Referenzen

GPS Is Easy to Hack, and the U.S. Has No Backup. (Dezember 2019). Scientific American.

Russia ‘Spoofing’ GPS on Vast Scale to Stop Drones From Approaching Putin, Report Says. (März 2019). NBC News. 

News Release: DHS Publishes Two Free Resources to Protect Critical Infrastructure From GPS Vulnerabilities. (Oktober 2021). Science and Technology Directorate.

Responsible Use of GPS for Critical Infrastructure. (Dezember 2017). Homeland Security Systems Engineering and Development Institute (HSSEDI).

Positioning, Navigation, and Timing (PNT) Program. (Januar 2022). Science and Technology Directorate.

GPS Receiver Whitelist Development Guide. (Juli 2021). U.S. Department of Homeland Security (DHS).