Ein Ausschnitt aus dem Videospiel „Watch Dogs“, bei dem man sich in Autos und Ampelsysteme hacken kann

Bald Realität?

Die IT-Spezialisten Charlie Miller und Chris Valasek haben auf der Informationssicherheitskonferenz Black Hat in Las Vegas ihre Untersuchung zum Thema „Elektronische Angriffe auf das Auto“ vorgestellt. Die Ergebnisse stimmen bedenklich ...

Das Auto als Angriffsziel für Hacker? Was im ersten Moment noch futuristisch klingt, könnte bald schon Realität sein. Die beiden amerikanischen Forscher Miller und Valasek testeten in einer theoretischen Versuchsreihe insgesamt 21 aktuelle Fahrzeuge auf ihre Hackbarkeit. In die Praxis umgesetzt wurden die Ergebnisse zunächst nicht.

Trotzdem schlagen die beiden Amerikaner Alarm. Denn je mehr Computer- und Informationstechnik Pkw an Bord haben, desto verwundbarer sind sie für Manipulationen von außen. Nicht nur Bluetooth-Sender und die Funksignale der Zentralverriegelung können Zugang gewähren. Alarmanlagen, Reifendruckkontrollsysteme und vor allem die immer stärker verbreiteten Internetverbindungen und Infotainment-Apps bieten Hackern Angriffsfläche. Insbesondere die Apps erhöhen das Risiko, da eine Attacke somit nicht mehr nur aus unmittelbarer Nähe zum Fahrzeug erfolgen muss. Fahrzeuge, bei denen Internet und andere Funkverbindungen auf dem gleichen Software-Netzwerk laufen wie die Steuerung für Motor, Bremsen und Lenkung, sind gemäß der Studie besonders gefährdet. Der Extremfall wäre eine Fernsteuerung des Autos durch das Eindringen in den Internet-Browser an Bord.

Die Untersuchung der amerikanischen IT-Spezialisten, deren Glaubwürdigkeit nicht angezweifelt wird, brachte neben einigen Negativbeispielen, wie dem Luxus-SUV Cadillac Escalade, allerdings auch gelungene Umsetzungen zum Vorschein. Beispielsweise kapselt Audi bei seiner Oberklasselimousine A8 die einzelnen Netzwerke voneinander ab, was Schäden bei einem Zugriff etwa über den Bluetooth-Funk in Grenzen halten würde. Allerdings ist das Trennen der Systeme keine Sicherheitsgarantie, auch dort können Lücken in der Software von Hackern genutzt werden.

Bei voller Fahrt gehackt
In Onlinevideos und Publikationen zeigen Miller und Valasek, wie sie beispielsweise die Tankanzeige eines Autos binnen Sekunden verändern, das angezeigte Tempo beeinflussen oder sogar die Bremsen ausschalten können. Bei ihren Hacks sind sie zwar über einen Computer im Auto mit der Bordelektronik verbunden, doch andere Studien zeigten, dass ein externer Zugriff auch über eine Bluetooth- oder mobile Verbindung von außen möglich ist. Erst kürzlich gelang es zwei chinesischen Studenten im Rahmen eines Sicherheitswettbewerbs, die Bordelektronik eines Tesla Model S über Funk zu hacken. Bei voller Fahrt öffneten sie alle Türen und das Schiebedach, betätigten die Hupe und schalteten die Lampen ein. Die Forscher Roel Verdult, Baris Ege und Flavio Garcia schafften es im vergangenen Jahr, die Verschlüsselung eines weitverbreiteten Chips für Wegfahrsperren zu knacken – und so in das Auto zu gelangen.

Kommunikation im Fahrzeug
In einem modernen Auto kommunizieren heute schon mehr als 80 Mikrocomputer (Anzahl steigend) über interne Datenkanäle mit einer Vielzahl an Motorsteuergeräten, Embedded- CPUs und anderen Steuerungssystemen, die für verschiedene Funktionen verantwortlich sind. Dazu zählen unter anderem die Stereo- und Klimaanlage sowie die Bremsen, Airbags und auch die Lenkung (Steer-by-Wire). Das Controller Area Network (kurz: CAN) beispielsweise ist für die Verbindung zwischen dem internen und den externen Netzwerken zuständig. Hierzu zählen WLAN, Bluetooth und NFC (Near Field Communication). Dem sogenannten car2x (das „x“ steht hier für die jeweilige Funkverbindung wie WLAN oder LTE) kommt dabei eine zunehmende Bedeutung zu.

Eine Abwandlung von car2x ist car2car, bei der das Auto mit anderen Fahrzeugen kommuniziert und auf das eigene (Fahr-)Verhalten reagiert. Noch ist diese Variante allerdings eher eine Zukunftsvision. Die Sicherheitsexperten von Utimaco warnen jedoch jetzt bereits in einer Aussendung: „Da es in diesem Bereich um die Sicherheit von Menschenleben geht, ist eine sichere Verbindung fundamental (…).“

Risiken
Marko Wolf, Head of Engineering Europe bei der Firma Escrypt, die eingebettete IT-Sicherheitssysteme für Autos entwickelt, unterscheidet bei Hackerangriffen zwei Kategorien. Zum einen (externe) Angriffe durch Dritte und zum anderen interne Angriffe von Fahrern beziehungsweise Werkstätten.

Einen Angriff durch Dritte sieht der IT-Experte dabei aus heutiger Sicht als sehr unwahrscheinlich an. Die Heterogenität der Fahrzeug-IT, die vergleichsweise geschlossenen/abgeschotteten ITSysteme und die bestehenden IT-Schutzmaßnahmen würden einen Aufwand einfordern, der unverhältnismäßig zum Gewinn/Nutzen für die Hacker wäre, so Wolf. „Und selbst bei einem erfolgreichen Angriff auf die Fahrzeug-IT ist ein Zugriff auf die echten Fahrzeugfunktionen in der Regel nicht möglich“, erklärt er gegenüber Flottenmanagement. „Theoretisch sind mit sehr viel Aufwand bei einigen wenigen Fahrzeugen (darunter kein deutscher Original Equipment Manufacturer (kurz: OEM = Erstausrüster, hier Fahrzeugausrüster)) Eingriffe von außen denkbar, wie Mikrofone der Freisprechanlage abhören, Fahrwege im Internet verfolgen oder Licht beziehungsweise Hupe aus der Ferne ein-/ausschalten“, so Wolf weiter. Für wahrscheinlicher hält er dagegen interne Angriffe auf das Fahrzeug. Der Großteil dieser Angriffe sei finanziell motiviert (Tachomanipulation, Chiptuning, Einbau gefälschter Ersatzteile et cetera).

Datenschutz im Auto
Das Thema Datenschutz ist bei einem vernetzten Auto besonders heikel. Insbesondere durch die Konstellation, dass dabei mit der IT- und der Automobilindustrie zwei Industrien aufeinandertreffen, deren gemeinsame Schnittmenge bis dato eher gering war, entsteht ein wesentliches Problem: Während die IT ihre Entwicklungszyklen in Monate einteilt, denken die Fahrzeughersteller in Jahreszeiträumen – die Entwicklung eines Autos dauert im Schnitt immer noch fünf bis sechs Jahre. Eine Zusammenarbeit findet somit immer unter erschwerten Bedingungen statt. „Das vernetzte Fahrzeug ist diesbezüglich noch ein datenschutzrechtliches Minenfeld“, erklärte zu diesem Thema kürzlich Raimund Wagner, Geschäftsführer der AMV Networks GmbH, ein Unternehmen, das auf Datentransfer und Datenschutz in der Automobilindustrie spezialisiert ist. Wagner weiter: „Die Automobilindustrie muss es von Anfang an besser machen als die Internetbranche in der Onlinewelt oder auch die Telekommunikationsbranche in der Handywelt.“ Marko Wolf sieht das Ganze wiederum weniger kritisch: „Datenschutz und Datensicherheit sind für OEMs und Zulieferer kein Nischen- oder „Nachher-Thema“, sondern von Anfang an in die Entwicklungs- und Wartungsprozesse integriert.“ Allerdings sieht er ebenfalls einen gesonderten Bedarf an geschützter Kommunikation, insbesondere für digitale Zusatzdienste, die die Fahrsicherheit, die Effizienz oder den Fahrkomfort erhöhen.

Lookout, ein Experte für mobile Sicherheit, warnt dieser Tage vor einem fahrlässigen Umgang mit persönlichen Daten und fehlenden Sicherheitsmaßnahmen bei der Fahrzeugmechanik. Besonders attraktiv sind gemäß Lookout die in den Autos gespeicherten sowie die übertragenen Daten. Neben genauen Bewegungsprofilen sind dabei ebenso Daten über Verbrauch, Insassen, Telefonbücher sowie Anruflisten von Interesse. Nicht selten wären den Experten zufolge auch Kontodaten im Fahrzeugspeicher hinterlegt, mit denen beispielsweise Parkgebühren ohne Eingriff durch den Fahrer bezahlt werden können. Lookout warnt, dass sich die Informationen zum Bankkonto über die richtige Hardware „on the go“ auslesen ließen.

Marko Wolf rät bei Verkauf/Vermietung/CarSharing eines Fahrzeugs zu prüfen, welche Daten zu welchem Zweck von wem erhoben, gespeichert, übertragen oder verarbeitet wurden (zum Beispiel durch eine eingebaute Telematikfunktion). Daraufhin sollten personalisierte Fahrzeugfunktionen (wie das Telefon-/Adressbuch, letzte Navigationsziele, eCall-Datenspeicher et cetera) geprüft und gegebenenfalls gelöscht werden (oftmals: „auf Werkseinstellungen zurücksetzen“).

Herausforderungen
Die Herausforderungen für die Automobilhersteller fasst Claudia Eckert, Leiterin des Fraunhofer- Instituts für Angewandte und Integrierte Sicherheit (AISEC), im Handelsblatt in vier wesentlichen Punkten zusammen: die Vernetzung des Fahrzeugs mit der Außenwelt (car2x-Vernetzung), die Vernetzung der Steuergeräte innerhalb des Autos miteinander, die Absicherung der Funkschlüssel und offener Schnittstellen wie der Verbindung von Mobilfunkgeräten mit dem Herzstück des Infotainmentsystems im Fahrzeug.

Um die Sicherheit in den Autos zu gewährleisten, „muss sichergestellt werden, dass Komponenten, die auf das Internet zugreifen, keine Verbindung zu sicherheitskritischen Komponenten aufbauen können, wie zum Beispiel der Lenkung“, so Eckert weiter. Die Vision des smartphonegesteuerten Parkens von Audi-Chef Rupert Stadler könnte damit wohl auch nur eine Vision bleiben.

Fazit
Allgemein sind externe Hackerangriffe auf Autos in der Praxis sehr schwierig, aufwendig und teuer. Für die Alltagskriminalität ist das Ganze wohl (noch) nicht lohnenswert. Außerdem sind die bei einem Pkw-Modell gefundenen Schwachstellen nicht automatisch Zugänge für andere Modelle. Für die Zukunft erwartet Marko Wolf allerdings durch den stetig steigenden Anteil an Software eine ebenfalls steigende Motivation für Angreifer. Dies ist auf die Digitalelektronik und Vernetzungsfunktionen im Fahrzeug und die damit gestiegene Zahl der Schnittstellen zur Außenwelt, der manipulierbaren Fahrzeugfunktionen und der potenziell verwundbaren externen ITInfrastrukturen zurückzuführen. Zunehmende IT-Infrastrukturen in Fahrzeugen dürften sich bei allen Risiken kaum aufhalten lassen. Sie unterstützen den Fahrer und tragen zu einem erhöhten Komfort bei. Bei aller Weiterentwicklung müssen jedoch auch die Sicherheitsaspekte genügend Beachtung finden. Grundsätzlich gilt – wie für alle anderen Lebensbereiche – mit den eigenen Daten besonders sensibel umzugehen und sich darüber hinaus über Apps und deren Sicherheit im Vorfeld genau zu informieren.


Kommentare
Noch keine Kommentare.
IHR KOMMENTAR ZUM THEMA
Name:
E-Mail:
(optional)

Kommentar:*
KOMMENTAR SENDEN
ANZEIGE
Neueste Kommentare
Neueste Videos
Am häufigsten gelesen
Neueste Artikel
Am besten bewertet
Flottenkompetenz
Finden Sie wonach Sie suchen!
Flottenkompetenz liefert direkten Kontakt zu überregionalen und lokalen Dienstleistem rund um das Thema Auto.
Suche:
Top RSS Meldungen
Flottenmanagement Magazin - 5 / 2014
Die Topthemen:

- Auf Erfolg getrimmt

- Eine Dekade Innovation

- Made in Germany

Zum Seitenanfang