So wehren Formel-1-Teams Cyberangriffe ab

Das Mercedes-AMG Petronas Formula One Team ist eines der dominantesten Formel-1-Teams aller Zeiten und hat seit 2014 sieben Konstrukteurs-Weltmeisterschaften in Folge gewonnen. Der siebenfache Weltmeister Lewis Hamilton gewann sechs Mal die F1-Fahrerwertung.

Mercedes wird an den Rennwochenenden von neun anderen Teams auf der Strecke herausgefordert, aber das sind bei weitem nicht die einzigen Gegner, die das Team fürchten muss. Die hochkarätige, hochtechnologische Natur der Formel 1 macht sie zu einem verlockenden Ziel für Cyber-Kriminelle und ausgeklügelte Hacker aller Art.

„Das Profil dieser Organisation, die Popularität des Sports und die Tatsache, dass wir in den letzten Jahren ziemlich erfolgreich waren, machen sie zu einem klaren Ziel für diese Art von Aktivitäten“, erklärt Michael Taylor, IT-Direktor bei Mercedes-AMG Petronas Formula One.

Die meisten Cyber-Bedrohungen, mit denen ein Formel-1-Team konfrontiert ist, sind Organisationen auf der ganzen Welt bekannt, wie z. B. Phishing-Angriffe, mit denen versucht wird, Benutzernamen, Passwörter und andere sensible Daten zu stehlen, oder die ständige Bedrohung durch Ransomware. Aber in der Formel 1 muss man auch die Herausforderung berücksichtigen, dass die Mitarbeiter  während einer hektischen Saison mit 22 Rennen geschützt werden müssen.

Hinzu kommt die Bedrohung durch die raffiniertesten Online-Angreifer, die an den Geheimnissen eines leistungsstarken Rennteams interessiert sind.

„In dieser hybriden Welt kommt ein großer Teil der Technologie aus der Formel 1 und fließt dann in die Autos ein, die wir fahren. Es gibt also eine enorme Menge an Technologie, die auf dem neuesten Stand ist, die natürlich geschützt werden muss und sicherlich ein Ziel für nationalstaatliche Akteure sein könnte“, erklärt George Kurtz, CEO von CrowdStrike, dem Cybersicherheitspartner von Mercedes, der das Team mit Technologie zur Sicherung seiner Netzwerke sowie mit Informationen über die sich entwickelnde Art von Cyberbedrohungen versorgt.

Dazu gehört auch ein Dossier vor jedem Rennwochenende, in dem die Sicherheitsanalysten von CrowdStrike die potenziellen Cyber-Bedrohungen auflisten, denen die Teammitglieder in dem Land, in dem die Rennstrecke liegt, ausgesetzt sein könnten, und wie sie sich vor diesen Bedrohungen schützen können.

Um sicherzustellen, dass die Cybersicherheit eines Formel-1-Teams stark genug ist, um all diese Bedrohungen abzuwehren, müssen zunächst die Endpunkte gesichert werden – die Laptops, Tablets und anderen Geräte, die von den Mitarbeitern täglich verwendet werden.

„Endpunkte sind für uns der größte Risikobereich, weil am anderen Ende ein Mensch sitzt, und das meiste Risiko geht von Menschen aus, die etwas tun, was sie wahrscheinlich nicht tun sollten oder nicht absichtlich tun wollten“, erklärt Taylor. „Der Endpunkt ist ein Bereich, über den wir zwar die Kontrolle haben, aber nicht die volle Kontrolle, und das ist wirklich der größte Schwerpunkt für uns, wenn es darum geht, die Risikomöglichkeiten dort zu reduzieren.“

Mercedes könnte die Maschinen mit strikten Kontrollen darüber, welche Aktionen die Benutzer durchführen können, komplett abriegeln. Aber eine derartige Einschränkung der Benutzeraktivitäten könnte in der Formel 1, wo die Zeit von entscheidender Bedeutung ist und die sekundenschnellen Strategieentscheidungen und die dazugehörigen Daten über ein Rennwochenende entscheiden können, zu einem massiven Nachteil für ein Team werden.

„Wir sind sehr kreativ, wenn es um Problemlösungen und Design geht, und historische Sicherheitskontrollen würden die Innovation hemmen oder könnten sie möglicherweise einschränken“, betont Taylor.

Das bedeutet, dass es keine Lösung ist, den Zugang zu Daten stark einzuschränken oder den Ingenieuren in der Boxengasse die Zusammenarbeit mit den Analysten in der Fabrik zu erschweren. Stattdessen muss ein Gleichgewicht gefunden werden, das einerseits die Sicherheit gewährleistet und andererseits dafür sorgt, dass die Mitarbeiter ihre Arbeit so effizient erledigen können, dass Lewis Hamilton oder sein Teamkollege Valtteri Bottas an den Rennwochenenden nicht beeinträchtigt werden.

„Es ist immer eine Abwägung zwischen Risiko und Nutzen, und es geht darum, eine flexible Plattform bereitzustellen, die die Zusammenarbeit ermöglicht, aber auch die potenziellen Risiken zu verstehen und sie dann anzugehen“, sagt Taylor.

Cybersicherheitsanwendungen wie Firewalls, Netzwerksegmentierung, Datenzugriff nach Bedarf und Multi-Faktor-Authentifizierung tragen dazu bei, die Sicherheit des Teams zu gewährleisten. Da die Formel 1 in der ganzen Welt unterwegs ist, bleiben Mitarbeiter – und Computernetzwerke – nicht lange am selben Ort, bevor sie eingepackt und zu einer anderen Rennstrecke transportiert werden.

Aus diesem Grund sind viele der Anwendungen, die bei der Verwaltung der Sicherheitsverfahren helfen, Cloud-basiert, so dass Mercedes sicherstellen kann, dass die Endpunkte vor den neuesten Bedrohungen geschützt sind, egal wo auf der Welt sie sich befinden.

„Ob in der Fabrik in einer Umgebung, die wir als unsere Schutzumgebung bezeichnen, oder draußen in Australien, es ist immer noch derselbe konsistente Endpunktschutz, den wir einsetzen; die Tatsache, dass er von einem Cloud-Standort irgendwo auf der Welt nach Hause gerufen wird, vereinfacht die Komplexität und die Herausforderung für uns organisatorisch enorm“, erklärt Taylor.

Alle zehn Formel-1-Teams sehen sich mit ähnlichen Herausforderungen konfrontiert, wenn es darum geht, ihre Netzwerke vor Datenverletzungen und Cyberangriffen zu schützen, egal wo auf der Welt sie sich befinden, und gleichzeitig zu versuchen, in einer hochfrequentierten Umgebung so effizient wie möglich zu arbeiten.

Cyber-Kriminelle nutzen schon seit langem die Hektik in Unternehmen und die schiere Anzahl von E-Mails, die täglich verschickt werden, als Einfallstor für Cyber-Angriffe – und das ist auch bei der Formel 1 nicht anders.

Im November letzten Jahres gastierte die Formel 1 in Imola beim Großen Preis der Emilia Romagna, dem 13. Rennen der Formel-1-Weltmeisterschaft 2020. Es war ein verspätetes F1-Rennen, nachdem der Saisonstart wegen der Auswirkungen der COVID-19-Pandemie von März auf Juli verschoben worden war, und die Rennen kamen während des verkürzten Kalenders Schlag auf Schlag; nur wenige Tage zuvor hatten die Teams den vorherigen Grand Prix in Portugal bestritten.

Zu diesem Zeitpunkt versuchten Hacker Zak Brown, den CEO des Rennstalls McLaren Formula 1, ins Visier zu nehmen.  Sie hatten eine ausgeklügelte Phishing-E-Mail erstellt, die wie geschäftliche E-Mails aussehen sollte, die Brown normalerweise erhalten würde. Brown bekam die E-Mail jedoch nie zu Gesicht, da die Cybersicherheitsmaßnahmen, die McLaren für die Posteingänge aller Mitarbeiter anwendet, dazu führten, dass die E-Mail direkt in den Junk-Mail-Posteingang verschoben und die Möglichkeit, auf den Link zu klicken, deaktiviert wurde – trotz der anhaltenden Bemühungen der Angreifer.

„Was das Volumen der Angriffe angeht, sind sie definitiv schlauer geworden. Sie zielen mit Phishing- und Spear-Phishing-Angriffen auf Einzelpersonen ab – das ist sehr gezielt und sehr clever“, berichtet Chris Hicks, Group CIO bei der McLaren Group. „Es ist ein Katz- und Mausspiel; die Angreifer reagieren auf Ihre Änderungen, und wir reagieren wiederum – aber ich habe das Gefühl, dass wir immer einen Schritt voraus sind.“

McLaren wehrte diesen speziellen Angriff ab, indem es die Technologie von Darktrace, dem offiziellen Cybersicherheitspartner des Teams, nutzte. Das Logo von Darktrace prangt auf den Lackierungen der von Lando Norris und Daniel Ricciardo gefahrenen Autos.

Da sich die Teammitglieder in der Formel 1 in verschiedenen Teilen der Welt aufhalten können, würde es nicht funktionieren, den Zugriff auf E-Mails zu blockieren, nur weil sie von einer IP-Adresse in einem fremden Land gesendet werden.

Die E-Mail-Sicherheitssoftware von McLaren analysiert jedoch Informationen über frühere Aktivitäten und nutzt diese, um festzustellen, ob die Aktion legitim ist. Das bedeutet, dass wichtige Nachrichten, die aus unbekannten Zeitzonen oder von unbekannten Orten aus gesendet werden, nicht blockiert werden. In der Zwischenzeit werden Nachrichten wie die, die die Cyberkriminellen dem CEO von McLaren schicken wollten, herausgefiltert, da sie als ungewöhnlich oder bösartig erkannt werden.

„Darktrace versteht, dass der Rest des Teams hier ist, dass dies Dateien sind, auf die man normalerweise zugreift, dass dies die normale Kette ist, also ist es okay. Das funktioniert sehr gut, denn wir müssen nahtlos arbeiten, wir können unsere Mitarbeiter nicht vom Netz nehmen“, erklärt Hicks.

„Der Echtzeit-Zugriff auf Daten und die Echtzeit-Zusammenarbeit, egal wo auf der Welt man sich befindet, ist absolut entscheidend – jeder in der Formel 1 wird Ihnen sagen, dass jede Millisekunde zählt“, fügt er hinzu.

Die Datenmenge, die an einem Rennwochenende übertragen wird, ist riesig, denn innerhalb von McLaren sowie zwischen McLaren und seinen Partnern werden potenziell Hunderttausende von E-Mails verschickt.

„An einem Rennwochenende ist es messbar, wie viele Angriffe auf das Unternehmen zukommen, wenn die Formel 1 im Fernsehen läuft“, sagt Dave Palmer, Chief Product Officer bei Darktrace. „In einer Rennwoche können es 250.000 E-Mails sein, und während eines Rennwochenendes steigt die Zahl der bösartigen E-Mails auf etwa 3,5 %, was eine Menge ist – 3,5 % Ihrer eingehenden E-Mails haben einen Fehler, auf den die Maschine reagieren muss.“

Wenn auch nur eine einzige bösartige Phishing-E-Mail nicht erkannt und weitergeleitet wird, kann das verheerende Folgen haben – nicht nur, dass dadurch die Rennpläne beeinträchtigt werden, es besteht auch die Möglichkeit, dass eine Phishing-E-Mail als Einfallstor für einen umfassenderen Angriff auf das Netzwerk genutzt wird.

„Das war für uns immer eine Herausforderung, denn in vielen Bereichen ist geistiges Eigentum nicht lange geheim – in sechs Monaten oder so ist es öffentlich bekannt, einfach aufgrund der Natur der Formel 1. Aber in Echtzeit wollen wir es für uns behalten, und oft versuchen Angreifer aus finanziellen Gründen oder aus verschiedenen Gründen, uns zu kompromittieren, deshalb müssen wir dieses geistige Eigentum unbedingt schützen“, sagt McLaren-Chef Hicks.

McLaren verlässt sich nicht nur auf die Technologie, um die Sicherheit seiner Mitarbeiter zu gewährleisten – ein Schlüsselelement für den Schutz des Netzwerks vor Cyberangriffen ist die regelmäßige Schulung der Mitarbeiter, einschließlich der Führungskräfte, in Sachen Cybersicherheit.

„Die Sensibilisierungskampagnen, die wir durchführen, sind absolut entscheidend, und sie werden normalerweise von oben nach unten durchgeführt. Normalerweise sind es die CEOs, die als erstes ins Visier genommen werden, oder ihre PA; Leute ganz oben“, sagt Hicks.

Williams Racing, eines der historisch erfolgreichsten Teams in der Formel 1, ist ebenfalls Ziel von Cyberangriffen geworden, mit denen versucht wurde, Phishing-Angriffe auf die Vorstandsetage zu starten.

Aufgrund des hohen Bekanntheitsgrads der Formel 1 ist es leicht herauszufinden, wer die Teams leitet – sie sind oft direkt im Fernsehen zu sehen – und Cyberkriminelle versuchen, dies für Social Engineering auszunutzen.

„Wir wissen, dass wir ständig ein Ziel sind. Es gibt sogar einige Spear-Phishing-Attacken, bei denen sie es auf den CEO oder CFO abgesehen haben“, betont Graeme Hackland, CIO von Williams Racing F1.  „Sie sperren dich nicht aus deinem Konto, sie sitzen nur in deinem Konto und schauen zu. Wir haben eine Antwort auf eine E-Mail von einem Lieferanten erhalten, in der es hieß: ‚Wir haben unser Bankkonto geändert, bitte aktualisieren Sie Ihre Daten‘ – und diese Antwort kam vom Hacker und nicht vom Lieferanten.“

Angreifer haben auch falsche Williams-E-Mail-Adressen registriert, um Angriffe auf das Team zu verüben. So versuchen sie beispielsweise, eine URL zu registrieren, bei der die kleinen Ls durch ein großes L ersetzt werden, was authentisch aussehen würde, wenn nicht jemand die E-Mail-Adresse wirklich überprüft. „Es sieht genauso aus wie unsere E-Mail-Adresse, und ich mache keinem unserer Mitarbeiter einen Vorwurf, wenn er darauf hereinfällt, denn es war sehr, sehr raffiniert – in den Phishing-E-Mails steckt heute viel mehr Social Engineering. Sie lernen eine große Menge an Informationen“, sagt Hackland.

Williams wurde 2020 an die neue Eigentümerin, die amerikanische private Investmentgesellschaft Dorilton Capital, verkauft – und mit neuen Führungskräften und neuen Mitarbeitern war es wichtig, dass diese sich der potenziellen Sicherheitsbedrohungen bewusst waren, denen sie als hochrangige Mitarbeiter eines Formel-1-Teams ausgesetzt waren.

„Wir haben einen neuen CEO, also haben wir eine Aufklärungskampagne mit seiner persönlichen Assistentin durchgeführt, um sie daran zu erinnern, dass sie ein Ziel sein wird, und wir haben tatsächlich einen Anstieg der an sie gerichteten Spam-E-Mails festgestellt“, erklärt Hackland. Alle Williams-Mitarbeiter nehmen an einer Phishing-Schulung teil, um zu verstehen, wie Cyber-Kriminelle versuchen könnten, per E-Mail in das Netzwerk einzudringen.

Aber die schiere Anzahl der Cyberangriffe bedeutet, dass es nicht immer möglich war, das Netzwerk vor Angriffen zu schützen – und Williams wurde vor ein paar Jahren Opfer eines Ransomware-Angriffs.

Der Angriff im Jahr 2014 begann an einem Freitagmorgen und wurde vom Cybersicherheitsteam schnell entdeckt. Ein Großteil des Netzwerks wurde davor geschützt, Opfer des Angriffs zu werden. Hätte der Angriff jedoch ein paar Stunden später begonnen, wäre er wahrscheinlich erst in der folgenden Woche bemerkt worden.

„Wäre der Angriff um 18 Uhr erfolgt, hätte er das ganze Wochenende damit verbringen können, all unsere Daten zu verschlüsseln, und wenn wir am Montag wiedergekommen wären, hätten wir massive Probleme gehabt. Zum Glück war es ein Freitagmorgen und wir haben dieses Verhalten relativ früh bemerkt“, erklärt Hackland.

Der Ransomware-Angriff gelangte in das Netzwerk, nachdem ein Mitarbeiter unbeabsichtigt eine kompromittierte Website besucht hatte. „Sie hatten ein technisches Datenblatt für ihre Waschmaschine heruntergeladen. Sie haben nichts falsch gemacht. Sie besuchten eine vertrauenswürdige Website, luden eine Datei herunter und hatten keine Ahnung, dass diese Ransomware im Hintergrund lief“, sagt Hackland.

Zum Zeitpunkt des Vorfalls im Jahr 2014 waren die Cybersicherheitsverfahren noch nicht so ausgereift wie heute – und in diesem Fall konnten die betroffenen Dateien nicht wiederhergestellt werden. Der Vorfall diente jedoch als Weckruf, um sicherzustellen, dass Netzwerke und Mitarbeiter so gut wie möglich vor Cyberangriffen geschützt sind.

Williams Racing profitiert seit einigen Jahren von einer Partnerschaft mit dem Cybersicherheitsunternehmen Acronis, die dazu beiträgt, dass Endgeräte und Mitarbeiter – sowie die Fahrer George Russell und Nicolas Latifi – sicher sind, egal ob sie sich in der Zentrale in Grove, Oxfordshire, oder auf Rennstrecken in aller Welt befinden.

„Motorsportteams, selbst in der Spitze der Branche, stehen vor großen Herausforderungen, wenn es um die Verwaltung, Archivierung, gemeinsame Nutzung und den Schutz vor Cyberangriffen von immer größeren Datenmengen geht“, sagt Ronan McCurtin, VP für Europa, Türkei und Israel bei Acronis.

Mit mehr Rennen als je zuvor werden die Formel-1-Teams sowohl auf der Strecke als auch abseits davon an ihre Grenzen gebracht. Der hohe Bekanntheitsgrad des Sports und die hochmoderne Technologie, die dahinter steckt, bedeutet, dass alle Formel-1-Teams ein verlockendes Ziel für Cyberkriminelle und Hacker sind.

Leider sind böswillige Hacker genau wie die Formel-1-Teams, hinter denen sie her sind, immer auf der Suche nach Möglichkeiten, sich zu verbessern. Doch anders als bei einem Formel-1-Rennen gibt es beim Cyber-Wettrüsten keine Ziellinie.