Menü
Security

Connected Cars auf der CES: Hersteller fürchten Hacker

Digitale Angriffe auf Autos könnten enorme Schäden verursachen. Die Hersteller sind solche Risiken nicht gewohnt und müssen sich neu orientieren.

Von
vorlesen Drucken Kommentare lesen 118 Beiträge
KITT

Ein solches schwarzes Auto mit roten Leuchteffekten vorne wurde am Sonntag vor dem Convention Center in Las Vegas gesichtet. Doch wurde es von einem Menschen gesteuert.

(Bild: K.I.T.T.1982 CC-BY-SA 3.0 Unported)

Vernetzte Fahrzeuge werden Bestandteil des Internets der Dinge (IoT) und eröffnen damit viele neue Möglichkeiten [–] auch für böswillige Hacker. Auf dieses Bedrohungsszenario sind die Hersteller aber nicht vorbereitet. Das zeigte sich bei einer Fachdiskussion auf der International CES in Las Vegas. Die gute Nachricht überbrachte Chris Poulin, IT-Sicherheitsforscher bei IBM: "Autos sind ein heißes Thema bei IT-Sicherheitsforschern, aber nicht bei den Kriminellen."

IBM-Sicherheitsforscher Chris Poulin macht sich große Sorgen um die Sicherheit in vernetzten Fahrzeugen.

(Bild: Daniel AJ Sokolov)

"Noch nicht", fuhr Poulin fort, "Es ist wie bei den frühen Computerviren. Die Kriminellen sehen darin noch kein Geld, aber sie werden noch." Etwas später fügte er hinzu: "Die Fahrzeughersteller sind besorgt um die Sicherheit, aber sie wissen nicht, was IT-Sicherheit genau bedeutet."

Karl Heimer, Gründer vom Anbieter Assured Information Security, konnte das bestätigen: "Es gibt einen Einstellungsrausch für IT-Security-Experten unter den Fahrzeugherstellern." Probleme gibt es viele. In der Autoindustrie "produzieren diverse Leute Teile und hoffen, dass die zusammenpassen", umriss Managementberater John Ellis die branchenübliche Arbeitsteilung, "Wir werden dieses System ändern müssen."

Poulin sieht Änderungsbedarf auch bei den Softwarelieferanten: "Bisher haben sie die Bürde immer auf die Verbraucher abgewälzt. Man klickt, um den Lieferanten von jeder Haftung loszusprechen. Aber jetzt haben wir Software in Geräten wie Toastern und Autos." Übrigens: Wer bei einer Pleite eines Herstellers Sicherheitspatches bereitstellen soll, ist völlig offen.

Ellis berichtete von Erlebnissen aus der Praxis: "Ein OEM-Hersteller hat am CAN Bus für physische Trennung (verschiedener Netzwerkelemente des Autos) gesorgt. Dann sind die Marketingleute gekommen und wollten Daten generieren. Sie sind rein und haben den CAN Bus überbrückt und so alles verbunden, was vorher mit Bedacht getrennt worden war."

"Und dann wählt man noch den billigsten Lieferanten", sponn er den Faden weiter, "Schließlich sagt man: 'Ah, uns gehört die Software nicht. Aber Sie haben jetzt im Auto eine Open-Table-App (für Tischreservierungen)!" Poulin erzählte von einen Fall in dem ein Entwickler das Unterhaltungssystem des Fahrzeugs mit dem Bremssystem verknüpft hatte. So wurde die Lautstärke der Musik automatisch reduziert, wenn das Fahrzeug bremste.

"Am Beunruhigendsten sind (unerwünschte) Fernzugriffe. Wenn man sich einmal am CAN Bus eingenistet hat, kann man jedes Kommando geben", meinte Karl Heimer, "Drahtlos, über Bluetooth oder WLAN, das wurde bereits demonstriert." Ellis erwähnte Flugdrohnen, die sich über Autos positionieren und ein legitimes Netzwerk nachahmen – und schon sei es gehackt.

Informationsaustausch für Sicherheitsbelange "is a big thing", meint David Strickland, ehemaliger Chef der US-Verkehrssicherheitsbehörde NHTSA

(Bild: Daniel AJ Sokolov)

"Was mich am meisten ängstigt ist das Handy" das vom Fahrer mit dem Auto verbunden wird. Das sei der einfachste Angriffsweg. An zweiter Stelle folge ein Einbruch in das zentrale Netz des Herstellers. Diese wollen nämlich nicht nur aus der Ferne laufend Daten auslesen, sondern auch Softwareupdates einspielen können. Das erfordert einen viel tieferen Zugriff, als Navi und Musikberieselung.

"Sie sollten annehmen, dass Sie in einem kompromittierten Umfeld arbeiten. Beginnen sie das Auto mit dem bereits eingedrungenen Hacker im Kopf zu designen", forderte Heimer einen Sinneswandel, "Damit kommen Sie besser weg als mit der (binären) Herangehensweise." Die Architektur müsse davon ausgehen, dass die Sicherheit bereits verletzt sei. Das Netzwerk im Auto müsse segmentiert sein.

Für die KFZ-Branche sind solche Konzepte neu. Bislang ziehen die Hersteller auch nicht an einem gemeinsamen Strang. Informationen über Sicherheitslücken oder Angriffe werden nicht ausgetauscht. Das soll sich aber ändern. Die großen Herstellerverbände haben im Sommer die Einrichtung eines Information Sharing Advisory Center (ISAC) angekündigt.

Im Auto-ISAC sollen IT-sicherheitsrelevante Informationen zusammenlaufen. "ISAC macht, was die Hersteller hassen: Es teilt proprietäre Informationen", sagte David Strickland, ehemaliger Chef des US-Verkehrssicherheitsbehörde NHTSA, "ISAC ist ein Riesenschritt. Damit haben die Hersteller mit einen Hundert Jahre alten Muster gebrochen." Budget gibt es für das ISAC noch keines. (ds)