Autos sind ein wichtiger Bestandteil unseres Alltags und unentbehrlich für den täglichen Transport Tausender Menschen von und zu ihren Arbeitsplätzen, durch belebte Orte und von Land zu Land. Da "intelligente" Fahrzeuge - sogenannte Connected Cars - bereits eine wichtige Rolle in unserem Alltag spielen, ist es keine große Überraschung, dass der teilweise und vollständig autonome Transport und das Potenzial von fahrerlosen Autos zu heiß diskutierten Themen geworden sind. Einige Länder wie das Vereinigte Königreich, Frankreich und die Schweiz testen autonome Autos bereits auf öffentlichen Straßen. Laut Gartner werden fahrerlose Fahrzeuge in reifen Märkten bis 2030 circa 25 Prozent aller Passagiere transportieren.
Während Autobahnen voller fahrerloser Autos für einige eine herrliche Zukunftsvision sind, bietet diese Perspektive Hackern eine weitere Gelegenheit, verheerenden Schaden anzurichten. Die immer ausgefeilteren Cyberangriffe und Datenschutzverletzungen in den letzten Jahren haben dazu geführt, dass der Schutz der Autofahrer vor Bedrohungen aus dem Netz zu einem der wichtigsten Entwicklungsschwerpunkte und -herausforderungen in der Automobil- und Sicherheitsindustrie geworden sind.
Hacker-Methoden: Angriffsvektoren im Auto
Fahrerlose Autos. Intelligente Fahrzeuge werden über mehrere unterschiedliche Systeme an Bord verfügen: ein Steuerungssystem, ein Unterhaltungssystem, ein Passagiernetzwerk und sogar Systeme von Dritten, die nach Bedarf von den Eigentümern heruntergeladen werden können. Diese Systeme müssen in einem gewissen Umfang miteinander kommunizieren, um die neuen Services zum Leben zu erwecken. Aber diese Kommunikation muss von Sicherheitssystemen wie KI-Systemen ab, die das selbstständige Fahren ermöglichen. Diese neuen Steuerungs- und Sicherheitssysteme müssen in die schon heute vorhandenen elektronischen Systeme an Bord integriert werden und bieten unter anderem auch die Services von Dritten über das Internet. Und genau hier liegt das Problem: Wenn Hacker aus der Entfernung auf ein Fahrzeug zugreifen und eines seiner Systeme kompromittieren, besteht ein erhebliches Risiko - angefangen vom Diebstahl vertraulicher und geschäftlicher Daten bis hin zu ganz realen Gefahren für das Leben der Passagiere und ihr Eigentum. Wir stellen im Folgenden einige Angriffsmöglichkeiten vor, die für verbundene und autonome Autos wahrscheinlich bestehen werden.
Rechteausweitung und Systemverflechtungen: Nicht alle Systeme und Netzwerke in einem Auto werden auf gleiche Art und Weise erstellt. Die Angreifer werden nach Schwachstellen in weniger geschützten Services wie Unterhaltungssystemen suchen und versuchen, über das interne Netzwerk auf sensiblere Systeme "überzuspringen". Beispielsweise ist typischerweise eine begrenzte Kommunikation zwischen dem Motor-Management-System und dem Unterhaltungssystem gestattet, damit Warnmeldungen - etwa Motorfehlfunktionen - auf dem Display angezeigt werden können. Und genau diese Verbindung könnten Hacker ausnutzen.
Systemstabilität und -berechenbarkeit: Klassische Autosysteme sind in sich geschlossen und kommen normalerweise von einem einzigen Hersteller. Neue, autonom fahrende Autos werden sehr wahrscheinlich Software von mehreren Anbietern enthalten - einschließlich Open-Source-Software. Die Informatik ist nun im Gegensatz zu industriellen Steuerungssystemen - wie es Autosysteme sind - nicht unbedingt für ihre Vorhersehbarkeit bekannt. Tatsächlich neigen IT-Systeme dazu, auf unberechenbare Weise zu versagen. Das ist sicherlich tolerierbar, so lange es sich nur um eine Website handelt, die nicht erreichbar ist. Im Falle eines Steuerungssystems, das nicht einmal ansatzweise beeinträchtigt werden darf, wenn ein angrenzendes Unterhaltungssystem oder das Auto-WLAN abstürzt, ist das hingegen inakzeptabel.
Man kann außerdem erwarten, dass bekannte Bedrohungen an dieses neue Ziel angepasst werden. Sie werden sich sehr wahrscheinlich von klassischen Endpunkt-Zielen wie Laptops und Smartphones auf IoT (Internet of Things)-Devices - zu denen auch Connected Cars gehören - ausweiten. Im folgenden einige Beispiele für mögliche, künftige Bedrohungsszenarien im vernetzten, beziehungsweise autonomen Auto.
IT-Sicherheit im Auto: Bedrohungsszenarien beim Connected Car
Ransomware: Die Angriffe mit erpresserischem Schadcode nehmen seit einiger Zeit deutlich zu. Fahrerlose Autos sind für diese Art der Bedrohung ein fast perfektes Ziel. Stellen Sie sich folgendes Szenario vor: Ein Hacker informiert den Eigentümer über das Display des Wagens, dass dieser gesperrt wurde und er ein Lösegeld zahlen muss, um die Kontrolle wieder zu erlangen. Während Laptops oder Tablets relativ einfach und - insofern Backups vorhanden sind - sogar ohne Schäden wiederhergestellt werden können, sieht das bei Autos anders aus. Der Eigentümer befindet sich vielleicht weit weg von zu Hause - die Ransomware kann natürlich so programmiert werden, dass sie erst anspringt, wenn sich das Fahrzeug in einer bestimmten Entfernung von seinem Heimatstandort befindet. Logischerweise hätten nur wenige Autohäuser Erfahrung mit der Lösung solcher Probleme und sehr wahrscheinlich wäre die Hilfe von Spezialisten vonnöten, um die betroffenen Komponenten zurückzusetzen. Auch ist zu erwarten, dass die Lösegeldsummen in diesen Fällen sehr hoch ausfallen (aber wahrscheinlich niedriger als die Reparaturkosten, sodass die Eigentümer lieber zahlen werden) und die Behebung des Problems recht langwierig sein wird.
Spyware: Ein noch attraktiveres Ziel für die Hacker könnte es aber sein, über ein Auto Daten über dessen Eigentümer zu sammeln. Bereits heute sammeln Autos riesige Datenmengen und wissen viel über ihren Eigentümer - einschließlich der häufigsten Fahrziele, Routen, seiner Adresse, eventuell auch wo und wie er Dinge kauft, beziehungsweise bezahlt. Im Extremfall kennt das Auto der Zukunft auch die Personen, die mitfahren. Wenn ein Hacker weiß, dass sich jemand weit weg von seinem Zuhause befindet, kann er diese Informationen zum Beispiel an organisierte Einbrecherbanden verkaufen. Oder einfach die Anmeldedaten nutzen, um das Bankkonto des Autobesitzers leer zu räumen. Dieses Risiko besteht, weil fahrerlose und verbundene Fahrzeuge in der Zukunft sehr wahrscheinlich als Gateways für elektronische Transaktionen dienen werden, also auch für die automatische Bezahlung des morgendlichen Kaffees, der Parkgebühren oder Reparaturen. Wenn sensible Daten im Auto gespeichert werden, wird es zu einer weiteren Angriffsfläche für den Diebstahl persönlicher Daten. Und da die RFID- und NFC-Chips auf immer mehr EC- und Kreditkarten Verwendung finden und zum Standard werden, besteht theoretisch auch die Möglichkeit, über ein Auto die Informationen auf diesen Karten und damit über den Fahrzeugeigentümer und seine Mitfahrer zu erfassen.
Last, but not least gibt es noch Rechts- und Authentizitätsbedenken: Kann man davon ausgehen, dass die Standortdaten eines Autos immer der Realität entsprechen? Das heißt: Wenn in den Aufzeichnungen Ihres Autos steht, dass Sie es geöffnet haben und um eine bestimmte Uhrzeit an einen bestimmten Ort gefahren sind - kann man dann wirklich davon ausgehen, dass alles so geschehen ist? Würden solche Daten auch vor Gericht bestehen? Oder können sie nicht auch manipuliert werden? Das ist ein Problem, dass unbedingt angegangen werden muss. Eine vergleichbare Problematik stellt Software von unterschiedlichen Providern dar. Wenn ein Auto sich von Netzwerk zu Netzwerk bewegt, stellt sich die Frage nach dem Verantwortlichen, nach demjenigen, der für Sicherheitsverletzungen und mögliche Verluste und Schäden haftet.? War es ein Softwarefehler? War es ein fahrlässig gemanagtes Netzwerk? War es ein Benutzerfehler oder war der Benutzer nicht ausreichend geschult?
Wege zur ganzheitlichen Automobil-Sicherheit
Die Frage ist also: Wie können wir autonome Autos sicher machen? Der erste Schritt muss ein größeres Bewusstsein unter den Herstellern sein. Obwohl sie natürlich umfassende Erfahrung in der Fahrsicherheit von Autos haben, sollte man doch vernünftigerweise davon ausgehen, dass sie weniger über die dunklen Künste der Kompromittierung und Ausbeutung über das Internet wissen. Von einer engeren Zusammenarbeit mit der Internetsicherheitsindustrie würden daher alle profitieren. Das Automotive ISAC ist in diesem Bereich ein interessanter Vorreiter.
Ein weiterer Punkt ist, dass die zunehmende Technologisierung der Fahrzeuge, sei es für eine bessere Fahrerfahrung oder die Leistungssteigerung des Fahrzeugs, mit dem angemessenen Management der potenziellen Bedrohungen und Risiken einhergehen muss. Die Implementierung von geeigneten und effektiven Sicherheitstechnologien muss ein zwingendes Ziel sein, auch wenn es (noch) keine regulatorischen Anforderungen gibt.
Ein weitreichenderes Problem ist, dass immer mehr IoT-Geräte die handelsübliche Kommunikationsprogramme benutzen, über schlicht gar keine Sicherheitsmaßnahmen verfügen. Die direkte Folge dieses Umstands ist, dass eine besorgniserregende Anzahl an IoT-Geräten bis heute absolut unsicher ist. Bei autonomen Autos müssen wir den Standard im Vergleich zu den aktuellen IoT-Geräten daher um etliche Level anheben. Gleichzeitig müssen die Hersteller mit ihren Technologielieferanten und Kommunikationsanbietern in allen Regionen, wo ihre Fahrzeuge verkauft werden sollen, zusammenarbeiten, um sicherzustellen, dass alle Netzwerkverbindungen zu den Fahrzeugen ausreichend gehärtet sind.
Wo es neuen Ansätzen bedarf
Die Automobilsicherheit kann in drei unterschiedliche Bereiche unterteilt werden, die in einigen Fällen auf ähnlichen Techniken beruhen und in anderen ganz neue Ansätze benötigen:
1. Interne Kommunikation. Intelligente Fahrzeuge werden über mehrere unterschiedliche Systeme an Bord verfügen: ein Steuerungssystem, ein Unterhaltungssystem, ein Passagiernetzwerk und sogar Systeme von Dritten, die nach Bedarf von den Eigentümern heruntergeladen werden können. Diese Systeme müssen in einem gewissen Umfang miteinander kommunizieren, um die neuen Services zum Leben zu erwecken. Aber diese Kommunikation muss von Sicherheitssystemen wie Firewalls und Intrusion Prevention Systemen (IPS), die zwischen normalen und unbefugten Aktivitäten unterscheiden können, streng überwacht und gemanagt werden.
2. Externe Kommunikation. Viele, wenn nicht sogar alle Systeme an Bord, kommunizieren mit Services im Internet: für die Wartung durch den Hersteller, für Software-Updates, für den Internetzugriff der Passagiere, für Reise- und Fahranweisungen, für Service-Anfragen, für den Kauf von Artikeln oder ein Datenbackup. Diese externe Kommunikation wird sehr wahrscheinlich in beide Richtungen stattfinden. Das bedeutet auch, dass der Datenverkehr zu und vom Fahrzeug durch Firewalls und IPS-ähnliche Funktionen geprüft und gemanagt werden muss, damit Bedrohungen wie unbefugte, fehlerhafte oder rechtswidrige Kommunikationen entdeckt werden können.
3. Die Konnektivität der Fahrzeuge wird sehr wahrscheinlich auf gut etablierten Datennetzwerken wie 3G und 4G beruhen, wenn auch auf eine etwas andere Art. Obwohl diese mobilen Services bereits Milliarden Smartphones und anderen Geräten auf der gesamten Welt Zugang zum Internet bieten, ist ihr großer Nachteil ihre inkonsistente Sicherheit. Und mit intelligenten Fahrzeugen - mit und ohne Fahrer - wird bald viel mehr auf dem Spiel stehen. Ein Angriff auf oder über das mobile Netzwerk könnte gleichzeitig erhebliche sicherheitsrelevante Fehler in Tausenden sich in Bewegung befindenden Fahrzeugen provozieren. Angesichts eines solchen Szenarios ist eine gründliche Überarbeitung der mobilen Netzwerke, die die kritische Konnektivität der Fahrzeuge bereitstellen werden, von höchster Priorität.
4. Schließlich müssen noch sichere Identitäts- und Zugriffssteuerungssysteme integriert werden, die speziell für Maschinen geeignet und designt sind. Mit ihrer Hilfe müssen die Fahrzeuge eingehende Verbindungen mit kritischen Systemen authentifizieren können. Internet-Services müssen die Fahrzeuge und die Informationen, die sie in die Cloud schicken sicher und unumstößlich authentifizieren können. (fm)