Warum die "guten" Hacker so wichtig sind

15.11.2012
Hacker können mittlerweile von (fast) überall Systeme lahmlegen. Die Automobilindustrie wehrt sich und beschäftigt Entwickler, die in puncto Sicherheit fit sind.

Alles hat eine gute und eine schlechte Seite - selbst die Telematik-Box im Auto. Das unscheinbare Kästchen in der Größe eines Taschenbuchs ist umhüllt von einem Kunststoffgehäuse und wird im Motorraum teurer Autos verbaut. Die Funktionen dieses Steuergeräts sind neu, und in den Genuss von Neuentwicklungen kommen immer zuerst die Käufer von Premium-Fahrzeugen. Bei einem Unfall setzt die Box automatisch einen Notruf ab, im Falle eines Diebstahls kann das Auto via GPS geortet und vom Hersteller außer Betrieb genommen werden. Über Mobilfunk lassen sich außerdem elektronische Probleme diagnostizieren und beheben, falls das Fahrzeug liegen bleibt. Retten, helfen, finden. Das sind die guten Seiten der Telematik-Box.

Software blockiert Bremse

Mirko Lange sucht ihre Schattenseiten. Im Auftrag eines Automobilherstellers schlüpft er in die Rolle eines Hackers: "Ich versuche, das Sicherheitssystem zu knacken und in die Box einzudringen, um ihre Funktionen zu verändern." Der Hintergrund: Terroristen könnten den Aufenthaltsort von Politikern oder Managern orten. Lebensgefährlich würde es etwa dann, wenn sich über den Mobilfunk die Bremsanlage ausschalten ließe. Das ist Wissenschaftlern der Universität Washington in diesem Jahr gelungen. Menschen wie Lange versuchen, solche Angriffe zu vereiteln. Der 30-jährige Informatiker kümmert sich um IT-Security im Auto. "Spezielles Informatikwissen ist dafür nicht notwendig", sagt er, "weil etablierte Anwendungen wie Verschlüsselungstechnologien oder Standard-Softwaresprachen genutzt werden." Spezialisten gibt es ohnehin nur ganz wenige, denn der Studiengang IT-Sicherheit an der Ruhr-Universität Bochum ist einmalig in Deutschland.

Je stärker Computer und Software Eingang ins Auto finden, desto größer sind die Risiken von Hacker-Attacken. Unerlaubte Eingriffe in das Fahrzeug gibt es schon lange. Neu sind die Werkzeuge dafür. Früher wurde mit der Bohrmaschine der Tacho zurückgedreht, heute wird Software im Steuergerät manipuliert. Durch Tachobetrug entsteht jährlich ein Schaden von rund sechs Milliarden Euro, teilt der ADAC mit. Betroffen seien private Gebrauchtwagenkäufer, die für solche Autos im Schnitt 3000 Euro zu viel bezahlten.

Bislang waren Autos isolierte Systeme, und wer etwas verändern wollte, musste Hand anlegen. Das ändert sich durch Funkschnittstellen und Internet-Anbindungen. "Wer das System knackt, kann von den Fidschi-Inseln aus den Tachostand eines Autos in Stuttgart zurückdrehen", sagt Dieter Nazareth, Professor und Leiter des Studiengangs Automobilinformatik an der Hochschule Landshut. "Je mehr Schnittstellen ein Fahrzeug nach außen hat, desto größer ist die Bedrohung."

Funkschlüssel zum Öffnen des Fahrzeugs, die Integration von Consumer Electronics wie Smartphones sowie Internet-Verbindungen öffnen Hackern Tür und Motorhaube. Spezialisten wie Lange versuchen, Schnittstellen sicher zu machen. Im Fall des Telematik-Steuergeräts erstellte er eine White-Box-Analyse.

"Jedes System lässt sich knacken"

Vom Hersteller bekam er Gerät und Dokumentationen wie Quellcode und Bedienungsanleitung. Der theoretische Teil seiner Analyse bestand darin, das System zu verstehen. Dann wechselte er gedanklich von der guten auf die schlechte Seite. In der Rolle des böswilligen Hackers erstellte er Angriffsszenarien und führte sie schließlich aus. Zum Schluss erstellte Lange eine Risikoanalyse für den Auftraggeber, verbunden mit einer Empfehlung, wie sich die Sicherheit des Steuergeräts erhöhen lässt.

"Jedes System lässt sich knacken", ist Marko Wolf überzeugt. Er ist Langes Chef und leitet die Niederlassung von Escrypt in München. Das Systemhaus für eingebettete Sicherheit hat seine Zentrale in Bochum, beschäftigt rund 50 Mitarbeiter und hat alle Automobilhersteller weltweit als Kunden.

Escrypt-Mitarbeiter kennen deren Sicherheitssysteme und gehen vertraulich mit diesen Informationen um. Der Angriff von Lange war zwar erfunden, aber durchaus realistisch. Eingebettete Systeme sind kleine Prozessoren, die allein eine Aufgabe erfüllen, beispielsweise den Notruf beim Unfall abzusetzen. Es gibt sie in Steuergeräten von Autos, Waschmaschinen, industriellen Anlagen und der Medizintechnik. Auch für diese Industrien ist Escrypt tätig, weil auch ihnen Gefahr droht. So haben Herzschrittmacher ebenfalls eine Funkschnittstelle, über die der Arzt Daten abfragen und Einstellungen vornehmen kann. Wer Böses im Schilde führt, könnte ihn einfach abschalten.

Seit August 2012 gehört Escrypt zum Bosch-Konzern, wo man offenbar Bedeutung und Potenzial des Themas verstanden hat. Bosch stellt für viele Branchen Steuergeräte her und ist weltweit der größte Zulieferer für die Automobilindustrie. (hk)

"IT-Sicherheit findet in der Softwareentwicklung statt"

Je sorgfältiger Software entwickelt wird, desto weniger Angriffsfläche bietet sie. IT-Sicherheit ist deshalb auch eine Frage guter Entwicklung, meint Thorsten Holz, Professor für Systemsicherheit an der Ruhr-Universität Bochum.

CW: In welcher Stufe findet IT-Sicherheit in der Softwareentwicklung statt?

HOLZ: Sie steht ganz am Anfang einer Entwicklung und ist oft als fester Bestandteil integriert, etwa über den Security Development Life Cycle (SDL).

CW: Können Sie das erläutern?

HOLZ: SDL ist eine Vorgehensmethode, nach der sich sichere Systeme entwickeln lassen. Sie stammt von Microsoft. 2004 setzte sich das Unternehmen zum Ziel, vertrauenswürdigere Systeme auf den Markt zu bringen. Entwickler wurden geschult und der gesamte Entwicklungsprozess in Richtung Security ausgerichtet. Sicherheit wurde ein fester Bestandteil in der Softwareentwicklung. Viele große Firmen nutzen heute SDL oder Abwandlungen davon. Das geschieht nicht nur in der Softwarebranche, sondern auch in anderen Industrien, etwa in der Automatisierungstechnik. Auch im Automobilbau sowie der Luft- und Raumfahrt wird SDL genutzt, doch sind hier allein schon aufgrund gesetzlicher Vorgaben die Anforderungen an IT-Sicherheit deutlich höher.

CW: Je nach Anwendungsfall spielt demnach das Thema IT-Sicherheit eine wichtige oder weniger wichtige Rolle.

HOLZ: Grundsätzlich ja, man muss aber bei der Begrifflichkeit genauer unterscheiden. Im Deutschen gibt es nur das Wort Sicherheit. Im Englischen wird zwischen Safety und Security unterschieden. Das ist wichtig und richtig. Security sind Störeinflüsse von außen, Safety bedeutet Schutz vor ungewolltem Systemverhalten. In der Luft- und Raumfahrt zum Beispiel steht die interne Systemsicherheit an oberster Stelle, weil Menschenleben geschützt werden müssen. Das gilt auch für Systeme in Autos. Banken hingegen wollen eher externe Angreifer abhalten.

CW: Ist IT-Sicherheit immer ein Teil der Informatikausbildung?

HOLZ: Ja, wobei die Intensität von der Hochschule abhängt. Im Grundstudium ist IT-Sicherheit im Fach Programmierung integriert. In höheren Semestern gibt es Vorlesungen in Softwaresicherheit. Da lernen die Studenten, was typische Programmierfehler sind, wie sie ein Angreifer für seine Zwecke ausnutzen kann und wie sich Fehler vermeiden lassen. Beides üben Studenten bei uns an Programmen mit bewusst eingebauten Fehlern.