Danny Weber
Ein unabhängiges Sicherheitsaudit der DJI Drohnen Air 3S und Matrice 4E ergab keine kritischen oder mittelschweren Mängel. Trotz kleiner Schwachstellen stärkt das Ergebnis DJIs Position im US-Markt.
DJI hat die Ergebnisse eines unabhängigen Sicherheitsaudits veröffentlicht, das die US-Firma OnDefend durchgeführt hat. Fünf Monate lang analysierten die Spezialisten die Verbraucherdrohne DJI Air 3S und das Enterprise-Modell Matrice 4E. Das Ergebnis: keine kritischen, hohen oder mittelschweren Probleme. Auch versteckte Hintertüren, Malware, Datenübertragungen ins Ausland oder erfolgreiche Hacking-Versuche wurden nicht gefunden.
Das Audit findet vor dem Hintergrund des anhaltenden Konflikts zwischen DJI und den US-Regulierungsbehörden statt. Das Unternehmen wehrt sich gegen eine FCC-Entscheidung, die die Zertifizierung neuer ausländischer Drohnen für den US-Markt faktisch blockiert. DJI zufolge verliert es durch diese Einschränkungen etwa 1,56 Milliarden Dollar pro Jahr. Zudem könnten einige geplante Produkte den US-Markt nie erreichen.
OnDefend prüfte die Drohnen in mehreren Bereichen: Software, Firmware, Hardware und Funkfrequenzkanäle. Das Team simulierte Man-in-the-Middle-Angriffe, zerlegte die Geräte physisch und analysierte die Komponenten. Die Testgeräte wurden unabhängig beschafft: die Air 3S im Einzelhandel, die Matrice 4E beim Händler. DJI hatte keinen Einfluss auf die Auswahl der konkreten Exemplare.
Allerdings gab es auch kleine Makel. Die Experten fanden zehn geringfügige Probleme, darunter schwache TLS-Protokolle in der Begleit-App und Authentifizierungstokens in URLs. OnDefend bezeichnete diese als typisch für komplexe eingebettete Systeme. DJI erklärte, sie per Firmware-Update zu beheben. Die Prüfer betonten, dass die Untersuchung nur den Zustand dieser beiden Modelle zu einem bestimmten Zeitpunkt widerspiegelt und keine dauerhafte Kontrolle zukünftiger Updates ersetzt.
Auch die Wahl des Prüfunternehmens ist bemerkenswert. OnDefend war zuvor als unabhängiger Sicherheitsinspektor von TikTok in den USA tätig. Damit hat die Firma nun zwei chinesische Technologiekonzerne auditiert, die wegen nationaler Sicherheitsbedenken unter Druck der US-Behörden stehen. Allerdings wurde das Audit von DJI selbst in Auftrag gegeben und bezahlt – ein Unterschied zu einer vollständigen Überprüfung unter staatlicher Aufsicht.
Für DJI sind die Auditergebnisse ein Argument gegen die Beschränkungen, doch politische und regulatorische Fragen werden sie wohl nicht vollständig klären. Das Unternehmen hat vor Gericht bereits argumentiert, dass die FCC-Maßnahmen gegen die US-Verfassung verstoßen. In April-Einreichungen berichtete DJI vom Entzug der Zulassungen für 14 bestehende Produkte und der Unmöglichkeit, 25 geplante Geräte auf den Markt zu bringen. Vor diesem Hintergrund sind die Exporte von Zivildrohnen aus China in die USA seit Dezember laut Nikkei Asia bereits um 60 bis 70 Prozent im Jahresvergleich gesunken.
© A. Krivonosov