Autos sind ein wichtiger Bestandteil unseres Alltags und unentbehrlich für den täglichen Transport Tausender Menschen von und zu ihren Arbeitsplätzen, durch belebte Orte und von Land zu Land. Da "intelligente" Fahrzeuge - sogenannte Connected Cars - bereits eine wichtige Rolle in unserem Alltag spielen, ist es keine große Überraschung, dass der teilweise und vollständig autonome Transport und das Potenzial von fahrerlosen Autos zu heiß diskutierten Themen geworden sind. Einige Länder wie das Vereinigte Königreich, Frankreich und die Schweiz testen autonome Autos bereits auf öffentlichen Straßen. Laut Gartner werden fahrerlose Fahrzeuge in reifen Märkten bis 2030 circa 25 Prozent aller Passagiere transportieren.
Während Autobahnen voller fahrerloser Autos für einige eine herrliche Zukunftsvision sind, bietet diese Perspektive Hackern eine weitere Gelegenheit, verheerenden Schaden anzurichten. Die immer ausgefeilteren Cyberangriffe und Datenschutzverletzungen in den letzten Jahren haben dazu geführt, dass der Schutz der Autofahrer vor Bedrohungen aus dem Netz zu einem der wichtigsten Entwicklungsschwerpunkte und -herausforderungen in der Automobil- und Sicherheitsindustrie geworden sind.
Hacker-Methoden: Angriffsvektoren im Auto
Fahrerlose Autos. Intelligente Fahrzeuge werden über mehrere unterschiedliche Systeme an Bord verfügen: ein Steuerungssystem, ein Unterhaltungssystem, ein Passagiernetzwerk und sogar Systeme von Dritten, die nach Bedarf von den Eigentümern heruntergeladen werden können. Diese Systeme müssen in einem gewissen Umfang miteinander kommunizieren, um die neuen Services zum Leben zu erwecken. Aber diese Kommunikation muss von Sicherheitssystemen wie KI-Systemen ab, die das selbstständige Fahren ermöglichen. Diese neuen Steuerungs- und Sicherheitssysteme müssen in die schon heute vorhandenen elektronischen Systeme an Bord integriert werden und bieten unter anderem auch die Services von Dritten über das Internet. Und genau hier liegt das Problem: Wenn Hacker aus der Entfernung auf ein Fahrzeug zugreifen und eines seiner Systeme kompromittieren, besteht ein erhebliches Risiko - angefangen vom Diebstahl vertraulicher und geschäftlicher Daten bis hin zu ganz realen Gefahren für das Leben der Passagiere und ihr Eigentum. Wir stellen im Folgenden einige Angriffsmöglichkeiten vor, die für verbundene und autonome Autos wahrscheinlich bestehen werden.
Foto: Sasun Bughdaryan - shutterstock.com
Rechteausweitung und Systemverflechtungen: Nicht alle Systeme und Netzwerke in einem Auto werden auf gleiche Art und Weise erstellt. Die Angreifer werden nach Schwachstellen in weniger geschützten Services wie Unterhaltungssystemen suchen und versuchen, über das interne Netzwerk auf sensiblere Systeme "überzuspringen". Beispielsweise ist typischerweise eine begrenzte Kommunikation zwischen dem Motor-Management-System und dem Unterhaltungssystem gestattet, damit Warnmeldungen - etwa Motorfehlfunktionen - auf dem Display angezeigt werden können. Und genau diese Verbindung könnten Hacker ausnutzen.
Systemstabilität und -berechenbarkeit: Klassische Autosysteme sind in sich geschlossen und kommen normalerweise von einem einzigen Hersteller. Neue, autonom fahrende Autos werden sehr wahrscheinlich Software von mehreren Anbietern enthalten - einschließlich Open-Source-Software. Die Informatik ist nun im Gegensatz zu industriellen Steuerungssystemen - wie es Autosysteme sind - nicht unbedingt für ihre Vorhersehbarkeit bekannt. Tatsächlich neigen IT-Systeme dazu, auf unberechenbare Weise zu versagen. Das ist sicherlich tolerierbar, so lange es sich nur um eine Website handelt, die nicht erreichbar ist. Im Falle eines Steuerungssystems, das nicht einmal ansatzweise beeinträchtigt werden darf, wenn ein angrenzendes Unterhaltungssystem oder das Auto-WLAN abstürzt, ist das hingegen inakzeptabel.
Man kann außerdem erwarten, dass bekannte Bedrohungen an dieses neue Ziel angepasst werden. Sie werden sich sehr wahrscheinlich von klassischen Endpunkt-Zielen wie Laptops und Smartphones auf IoT (Internet of Things)-Devices - zu denen auch Connected Cars gehören - ausweiten. Im folgenden einige Beispiele für mögliche, künftige Bedrohungsszenarien im vernetzten, beziehungsweise autonomen Auto.
- Auto-Hacks 2015
Das Jahr 2015 ist das Jahr der Auto-Hacks. In den ersten acht Monaten des Jahres werden gleich sechs gravierende IT-Security-Schwachstellen in Fahrzeugen verschiedener Hersteller bekannt. Wir haben die aufsehenerregendsten - wissenschaftlich motivierten - Hackerangriffe auf Connected Cars für Sie in unserer Bildergalerie zusammengefasst. - BMW "ConnectedDrive"
Der ADAC deckt Anfang des Jahres eine massive Sicherheitslücke innerhalb des BMW „Connected Drive“-Systems auf, über die sich Angreifer via Mobilfunknetz Zugang zum Fahrzeug verschaffen können. Das Problem wird schließlich per Software-Update behoben – weltweit sind über zwei Millionen Fahrzeuge quer durch alle Konzern-Marken und -Baureihen betroffen. - Jeep Cherokee
Enormes Medienecho verursacht im Mai 2015 der Remote-Hack eines Jeep Cherokee – bei voller Fahrt. Den Sicherheitsforschern Chris Valasek und Charlie Miller gelingt es, einen Jeep Cherokee über Funk fremdzusteuern. Das Infotainment-System im Fahrzeug dient den Security-Experten als Einfallstor – kurz darauf sind sie in der Lage, sämtliche Fahrfunktionen des SUV fremd zu steuern. Der Fiat-Chrysler-Konzern muss in der Folge in den USA circa 1,4 Millionen Fahrzeuge zu einem Software-Update in die Werkstätten rufen. - General Motors "OnStar"
Hacker Samy Kamkar gelingt es, eine Schwachstelle im General-Motors-Infotainment-System „OnStar“ auszunutzen. Das System ermöglicht den Auto-Besitzern, ihr Fahrzeug per Smartphone zu öffnen und zu schließen. Mit Hilfe eines Toolkits fängt Kamkar die Kommunikation zwischen Smartphone und Automobil ab. So kann er nicht nur den Aufenthaltsort des Fahrzeugs bestimmen, sondern es auch nach Lust und Laune öffnen und schließen sowie den Motor aus der Ferne starten. - Corvette-SMS-Hack
Die Sicherheitsforscher Karl Koscher und Ian Foster gelangen über manipulierte SMS-Nachrichten in das CAN-BUS-System einer Corvette. Als Zugangspunkt dient ihnen ein Telematik-System eines Kfz-Versicherers. So erhalten sie Zugriff auf essentielle Fahrsicherheits-Komponenten wie Bremsen, Gas und Lenkung. Das Telematik-System des US-Versicherers Metromile kommt in den USA unter anderem auch beim Fahrdienstleister Uber zum Einsatz. Metromile zufolge sind die Security-Löcher inzwischen gestopft. - Der VW-Motorola-Hack
Bis zum August 2015 versucht der Volkswagen-Konzern - offensichtlich aus Angst vor Reputationsschäden - die Veröffentlichung von technischen Details zu einem Hack zu verhindern, der Wissenschaftlern der Universitäten Nijmegen und Birmingham bereits 2012 gelungen ist. Als Zugangspunkt dient den Forschern das Transponder-System einer Wegfahrsperre von Zulieferer Motorola. Nachdem sich Volkswagen außergerichtlich mit den Forschern einigt, werden die technischen Details auf der Usenix-Konferenz 2015 öffentlich gemacht. - Tesla Model S
Der jüngste Auto-Hack-Fall in diesem Jahr betrifft das Tesla Model S. Die Security-Spezialisten Kevin Mahaffey und Marc Rogers wollen beweisen, dass auch Teslas Elektro-Limousine nicht unhackbar ist. Letztendlich finden die beiden tatsächlich einen Weg, Kontrolle über das Model S zu erlangen. Auf der Defcon-Konferenz 2015 präsentieren sie ihre Erkenntnisse. Fazit: Auch wenn der Hack des Tesla nur unter immensem Aufwand und über einen physischen Zugang zu den Systemen möglich war – unhackbar ist auch dieses Auto nicht. Immerhin erweist sich die Architektur der Tesla-Systeme laut Mahaffey und Rogers als „relativ sicher“ und „gut durchdacht“.