Im Kollisionswarnsystem für die zivile Luftfahrt gibt es zwei Schwachstellen. Ausfindig gemacht haben sie Spezialisten des Cyber Defence-Campus des VBS. Einem Team gelang es im Herbst 2023, falsche Warnungen in einem Piloten-Cockpit auszulösen. Diese erfolgten im Cyber Avionics Labor auf einem zertifizierten Prozessor des Traffic Alert and Collision Avoidance System II (TCAS) und mit einem eigenen Funk-Setup, wie das Bundesamt für Rüstung (Armasuisse) mitteilt.

Der Hersteller von TCAS und die Luftfahrtbehörden in den USA und Europa wurden über den Befund informiert. Im Januar 2025 stuften die US-Cybersicherheitsbehörde (CISA) und die amerikanische Federal Aviation Authority (FAA) die Schwachstellen als mittelschwer (CVE-2024-9310) respektive schwer (CVE-2024-11166) ein. Diese Einstufung ist laut Armasuisse wegweisend für weitere betroffene Regionen ausserhalb der USA, welche TCAS vorschreiben, inklusive Europa.

Laut CISA sind bis jetzt keine Exploits bekannt. "Diese Schwachstellen in der TCAS-II-Norm können in einer Laborumgebung ausgenutzt werden. Sie erfordern jedoch die Erfüllung ganz bestimmter Bedingungen und sind in der Praxis wahrscheinlich nicht ausnutzbar", so die US-Behörde in ihrer Empfehlung. Die Lücken hätten eine "hohe Angriffskomplexität".

Nach Rücksprache mit der FAA und den Forschern bezüglich der Schwachstellen sei man zu dem Schluss gekommen, dass CVE-2024-11166 durch "ein Upgrade auf ACAS X oder durch ein Upgrade des zugehörigen Transponders zur Einhaltung der RTCA DO-181F" vollständig entschärft werden kann. Für CVE-2024-9310 gibt es gemäss CISA aktuell jedoch noch keine Abhilfemassnahmen.

Eine erfolgreiche Durchführung eines solchen Angriffs in der Praxis sei mit einigen Einschränkungen und einer hohen Komplexitätsstufe verbunden, schreibt auch Armasuisse. "Dennoch sollte das Risiko nicht unterschätzt werden und es wird den betroffenen Organisationen empfohlen, kompensatorische Massnahmen zur Erkennung solcher Angriffe zu ergreifen, um im Falle eines Falles angemessen reagieren zu können."

Das Kollisionswarnsystem TCAS ist für zivile Verkehrsflugzeuge ab 5,7 Tonnen Gewicht oder mehr als 19 Passagieren vorgeschrieben und dient als letzte Massnahme zur Vermeidung von Zusammenstössen. Pilotinnen und Piloten müssen auf Warnungen von TCAS sofort reagieren, etwa mit einer Anpassung der Flughöhe.

Der Cyber Defence-Campus besteht seit 2019 und ist laut Armasuisse ein Bindeglied zwischen dem VBS, der Industrie und der Wissenschaft. Das Cyber Avionics Lab in Thun untersucht Cyberangriffe auf zertifizierte Luftfahrtsysteme. Zwei Jahre lang nahm dort ein Team das Kollisionswarnsystem TCAS II unter die Lupe.