Um die IT-Sicherheit bei vernetzten Autos ist es im Moment nicht gut bestellt, wie die Fahrzeug-Hacks der vergangenen Monate bewiesen haben. Dabei gibt es verschiedene Lösungsansätze, um die IT-Security im Auto voranzubringen.
Um ein vernetztes Auto wirksam vor Hackerangriffen schützen zu können, ist ein ganzheitliches Security-Konzept notwendig.
IT-Security-Anbieter forschen derzeit an verschiedenen, ganzheitlichen Lösungsansätzen für das Connected Car.
Die Autobranche muss sich dringend auf die veränderten Marktbedingungen einstellen - ansonsten droht der Branche aus Sicht der OEMs ein disruptives Disaster.
Um die Sicherheit moderner, vernetzter Autos gewährleisten zu können, müssen zwei Aspekte bedacht werden: der Datenschutz beziehungsweise die Datensicherheit im "Inneren" der Systeme und der Schutz dieser Systeme vor externen Angriffen. Während ersteres - zumindest in technischer Hinsicht - dank kryptografischer Verschlüsselungsverfahren kein Problem mehr darstellt, erfordert der Schutz der komplexen IT-Architektur vor Hackerangriffen ein durchdachtes, ganzheitliches Sicherheitskonzept - das im Idealfall auf einer standardisierten Plattform basiert.
Die Auto-Hacks der jüngeren Vergangenheit haben bewiesen, dass noch eine Menge Nachholbedarf in Sachen IT-Security besteht. Wir stellen Ihnen einige Lösungsansätze vor. Foto: Aleksandar Mijatovic - shutterstock.com
Fraunhofer setzt auf TPM-HSM
Am Fraunhofer-Institut für sichere Informationstechnologie (SIT) in Darmstadt wird daran bereits geforscht: Aufbauend auf dem Trusted Platform Module (TPM)-Standard, haben die Forscher eine Security-Lösung für vernetzte Fahrzeuge geschaffen, die auf Hardware-Sicherheits-Module (HSM) setzt. "Unsere Lösung ist eine Software-Plattform, um sichere Steuergeräte basierend auf TPM 2.0 zu entwickeln.", erklärt Projektleiter Andreas Fuchs. "Mit ihr lassen sich alle notwendigen Bestandteile von Fahrzeug-Steuergeräten - Hardware wie Software - für nahezu jede Anforderung zunächst simulieren und anschließend umsetzen.
Hersteller erhalten so bereits während der Entwicklung wichtige Informationen, um Fehler zu beheben und verschiedene Einsatzszenarien nachzustellen." Die TPM-basierten Lösungen kommen entweder direkt in den Steuergeräten zum Einsatz oder werden ihnen vorgeschaltet. Die kryptografischen Verschlüsselungs-Keys und sämtliche Security-Prozesse werden in diesem geschützten Bereich ausgeführt.
Zudem sollen die TPM-HSMs in der Lage sein, externe Angriffe zu erkennen und - zum Beispiel durch die Deaktivierung des Fahrzeugschlüssels - sofort gegenzusteuern. Dieselben Sicherheitsmodule mit denen Fraunhofer das vernetzte Auto sicherer machen will, kommen übrigens bereits seit vielen Jahren in diversen ITK-Produkten zum Einsatz und könnten für die Autohersteller von wegweisender Bedeutung sein, wie Fuchs klarstellt: "Unsere Entwicklungsumgebung hilft, dass der TPM-Standard auch in Autos mehr Verbreitung findet. Für die Hersteller wird es einfacher, die Standards und darauf aufbauende Anwendungen nun selbst umzusetzen." Laut Fraunhofer steht die Technologie für Autos kurz vor der Serienreife.
Das Fraunhofer SIT arbeitet derzeit an einer flexiblen IT-Security-Lösung für vernetzte Fahrzeuge. Die Software-Plattform soll die Entwicklung sicherer Steuergeräte auf TPM 2.0-Basis ermöglichen. Foto: Fraunhofer SIT
Car Security made in Europe
Die Fraunhofer-Lösung müsste allerdings bereits im Produktionsprozesses in die Automobile integriert werden. Für die nachträgliche Absicherung älterer Modelle müssen andere Lösungen her. Beispielsweise bietet der deutsche Security-Anbieter Secunet mit der sogenannten Application Control Unit (ACU) ebenfalls eine Sicherheitslösung für Connected Cars an. Diese soll unabhängig von Anwendungen und Betriebssystem das Bordnetz der Autos absichern. Eine updatefähige Policy, der Einsatz von kryptografischen Schlüsseln sowie die konsequente Trennung von Rechen- und Hardwareressourcen sollen optimalen Schutz vor Hackerangriffen gewährleisten. Secunet reagiert mit dem ACU auf die sicherheitstechnisch oft anfälligen Infotainment-Systeme in den Fahrzeugen vieler Hersteller.
Auch beim niederländischen Unternehmen Gemalto ist eine Security-Lösung in Vorbereitung. Beim Cinterion Secure Element (SE) handelt es sich um einen fälschungssicheren Chip, der speziell für Devices im IoT- und M2M-Umfeld konzipiert ist. Für Connected Cars soll sich der Cinterion SE ganz besonders eignen, da er laut Gemalto ein sicheres "Over-the-air"-Management sensibler Daten ermöglicht. Detaillierte Infos zu Verschlüsselungstechnologien und Datenspeicherung gibt es bislang noch nicht. Gemalto wird das Cinterion SE auf der IAA 2015 in Frankfurt am Main präsentieren.
Das Connected Car des Jahres 2015 & die besten Car-IT-Lösungen
"Auto Connect Trophy 2015" Rund 12.500 Leser der Fachzeitschriften "Auto Zeitung" und "Connect" haben die besten Car-IT- und Connectivity-Lösungen gewählt - und das Connected Car des Jahres 2015. Hier kommen die Gewinner!
Bestes Bedien- und Anzeigekonzept In dieser Kategorie siegt Audi mit seinem "MMI Touch"-Interface im gerade ganz frischen Luxus-SUV Q7. Die Möglichkeit zur Bedienung mittels Sprachsteuerung und das große Touchpad, das auf Tippen und auf handschriftliche Zeichen reagiert, haben knapp 39 Prozent der Leser von "Auto Zeitung" und "Connect" überzeugt. Auf den Plätzen folgen die Lösungen von BMW und Mercedes.
Beste Sprachsteuerung Auch in der Kategorie Sprachsteuerung heißt der Sieger Audi. Die - beispielsweise im aktuellen Audi TT Coupé erhältliche - "MMI"-Sprachsteuerung erkennt und verarbeitet natürlich gesprochene Sätze. Das hat 38 Prozent der Leser überzeugt. Auf den Plätzen zwei und drei folgen die Lösungen von BMW und Mercedes.
Beste Business-Lösung / Infodienst Geht es um die beste Business-Lösung, beziehungsweise den besten Infodienst, hat BMW die Nase vorn. Der "Concierge-Service" des Münchner Autobauers überzeugt mit Features wie Hotelbuchung, Übersetzungshilfe und Sekretariats-Dienst stolze 55 Prozent der Leser. Volvos Cloud-Dienste und Opels "OnStar"-Lösung belegen die Plätze zwei und drei.
Bestes Audio-Soundsystem Fast 49 Prozent der "Auto Connect Trophy"-Teilnehmer entschieden sich für das "3D"-Soundsystem aus dem Hause Bang & Olufsen, das zum Beispiel für den aktuellen Audi Q7 erhältlich ist. Die Klangqualität und eine leichte Bedienung sind für die Teilnehmer die Qualitätsmerkmale des B&O-Soundsystems. Platz zwei belegt das Bose-Soundsystem, das in Fahrzeugen von Mazda zu finden ist, Rang drei belegen die Audio-Lösungen von Burmeister, die in Mercedes-Fahrzeugen zu finden sind.
Bestes Nachrüst-Radio Klingt analog, ist es aber nicht: das Blaupunkt DAB+-System "Cape Town 945" auf Android-Basis ist für 25 Prozent der Leser das beste Digitalradio zum Nachrüsten. Damit kann Blaupunkt die Konkurrenzprodukte von Pioneer und Becker auf die Plätze verweisen.
Beste Smartphone-Integrationslösung Audis "Phone Box" und ihre Möglichkeit zum induktiven Laden und kabelloser Datenübertragung ist die beste Smartphone-Integrationslösung 2015 - meinen 37 Prozent der Umfrageteilnehmer. Die Mercedes "Komfort-Telefonie" und die Volkswagen "Koppelbox" belegen die Plätze zwei und drei.
Bestes Funknetz "Erdrutsch"-Sieg für die Deutsche Telekom in der Kategorie "Bestes Funknetz": 57 Prozent der Teilnehmer sind der Ansicht, dass das Netz der Telekom dank LTE-Ausbau und stabiler Verbindungsqualität nicht zu schlagen ist. Die Wettbewerber Vodafone und O2 belegen die Plätze zwei und drei.
Bester In-Car-Hotspot Kein Connected Car ohne Hotspot. Den besten ins Auto integrierten WLAN-Hotspot bietet nach Meinung von 38 Prozent der Leser Audi - auch dank eines einfachen Zugangs für bis zu acht Personen gleichzeitig. BMW und Mercedes haben auch in dieser Kategorie das Nachsehen.
Bestes Navigationssystem Audis "Virtual Cockpit" (zum Beispiel erhältlich im aktuellen Audi TT und Q7) überzeugt knapp 38 Prozent der Umfrageteilnehmer und ist damit das beste (werksseitig integrierte) Navigationssystem - noch vor BMWs "Navi Professional" und dem "Comand"-System von Mercedes.
Bestes Nachrüst-Navigationssystem Bei den Navi-Lösungen zum Nachrüsten siegt Navigations-Urgestein TomTom mit dem "Go 5100". Verkehrsinfos in Echtzeit und eine integrierte SIM-Karte überzeugen 45 Prozent der Leser. Garmins "Nüvi 67 LMT" landet auf Rang zwei, das Becker "Professional.6 LMU" rangiert auf dem dritten Platz.
Beste Stauwarnung in Echtzeit Google Maps bietet die beste Echtzeit-Stauwarnung - sagen 30 Prozent der "auto Zeitung"- und "Connect"-Leser. Die Lösungen HD Traffic und Staufunk TMC pro belegen Platz zwei und drei.
Beste App fürs Auto Die "Clever-tanken"-App ist für 49 Prozent der Umfrageteilnehmer die beste Auto-Applikation des Jahres 2015. Sie hilft, die günstigste Tankgelegenheit in der Umgebung zu identifizieren. Die ADAC "Auslandshelfer-App" landet auf Platz zwei, die Fahrzeug-Such-App "Find My Car" auf dem dritten Rang.
Beste App der Autohersteller Die beste Hersteller-App bietet nach Meinung von nahezu 32 Prozent der Leser Audi mit seiner "Konfigurator"-App, die Kunden auch unterwegs das Audi-Neufahrzeug der Wahl en detail zusammenstellen lässt. BMWs "MyRemote"-App, mit deren Hilfe sich Fahrzeugfunktion per Smartphone aus der Ferne steuern lassen, landet auf dem zweiten Rang. Die "Guides"-App von Mercedes bietet eine elektronische Bedienungsanleitung für so gut wie jedes Daimler-Fahrzeug, muss sich jedoch mit Rang drei begnügen.
Beste Musik-App Geht es um Musik-Streaming im Auto, setzen knapp 47 Prozent der Teilnehmer auf den Streaming-Dienst von Spotify. Napster und Deezer sind dagegen nur zweite, beziehungsweise dritte Wahl.
Beste Navigations-App Google Maps ist nach Ansicht der Umfrageteilnehmer auch bei den Navi-Apps Spitze. 32 Prozent setzen auf den Google-Dienst und geben ihm damit den Vorzug vor Lösungen von TomTom und Navigon.
Beste Carsharing-App Der von Daimler und Europcar ins Leben gerufene Carsharing-Dienst "Car2go" ist für 41 Prozent der Leser die Nummer eins unter den Carsharing-Apps. BMWs "DriveNow" und die App des Carsharing-Verbunds Stadtmobil komplettieren das Podium dieser Kategorie.
Bester Sicherheitsassistent Audis Abbiege-Assistent (ebenfalls für den neuen Q7 zu haben) überzeugt 25 Prozent der Leser. Das Sicherheits-Feature überwacht beim Linksabbiegen den Gegenverkehr und leitet - falls nötig - eine Bremsung ein. Audi sichert sich in dieser Kategorie den Sieg vor dem "Assist-Paket Plus" aus dem Hause Daimler und der "Multikollisionsverhinderung" der Konzern-Mutter Volkswagen.
Beste Fahrerunterstützung Stau Sieg-Kategorie Nummer neun für Audi: Der "Stop&Go-Stauassistent", der den Fahrer durch Bremsen, Gas geben und Lenken unterstützt, ist die beste Stau-Lösung in den Augen von 46 Prozent der Teilnehmer. Mercedes ("Stop&Go-Pilot") und BMW ("Driving Assistent Plus") haben erneut das Nachsehen.
Connected Car des Jahres 2015 Dieser Sieg ist das Tüpfelchen auf dem I für den Audi-Triumph bei der "Auto Connect Trophy 2015": Der in diesem Jahr in zweiter Generation erschienene SUV Q7 ist das Connected Car des Jahres - zumindest meinen das 41 Prozent der Leser. Audis LTE-fähige Wuchtbrumme verweist damit die Mercedes S-Klasse und den BMW i3 auf die Ränge zwei und drei.
Sichere Connected Cars: Das tut die Politik
Wegen der inkonsistenten IT-Sicherheitspolitik innerhalb der Autobranche fordert etwa der ADAC die Etablierung einheitlicher Security-Standards für Connected Cars. Dass diese in Form einer EU-Direktive früher oder später umgesetzt werden, gilt als sicher - spätestens wenn autonome Mobilität auf breiter Basis zum Einsatz kommen soll. Bleibt nur zu hoffen, dass dann ein Fiasko wie bei der Ermittlung von - völlig realitätsfernen - Pkw-Verbrauchswerten nach dem NEFZ (Neuer Europäischer Fahrzyklus) ausbleibt.
In den USA ist man hier bereits einen Schritt weiter: Dort haben die beiden Senatoren Edward Markey und Richard Blumenthal kurz nach dem aufsehenerregenden Hack eines Jeep-Cherokee einen ersten Entwurf zu den sogenannten "Automotive Security Standards" eingebracht. Dieser sieht vor, dass die US-Bundesbehörde für Verkehrssicherheit "National Highway Traffic Safety Administration" (NHTSA) künftig die Mindestanforderungen der IT-Security in vernetzten Fahrzeugen festlegt. Gleichzeitig sollen Autobauer dazu verpflichtet werden, die Systeme ihrer Connected Cars dauerhaft und in Echtzeit zu überwachen, um jeden unberechtigten Zugriffsversuch auf ein Fahrzeug sofort unterbinden zu können.
Der Gesetzesentwurf ist keineswegs eine öffentlichkeitswirksame Reaktion auf den Jeep-Hack: US-Senator Markey hatte bereits Anfang 2015 sechzehn verschiedene OEMs zu ihren IT-Security-Maßnahmen und ihrem Umgang mit den in den Fahrzeugen gesammelten Daten befragen lassen. Dass die Antworten unbefriedigend gewesen sein müssen, zeigt Markeys Forderung nach einem "Cyber Dashboard Sticker" der Autofahrern auf einen Blick zeigen soll, wie sie geschützt werden und welche Daten im Fahrzeug wofür gesammelt werden - inklusive der Möglichkeit, einer Nutzung der Daten zu widersprechen.
Diese Autos wurden 2015 gehackt
Auto-Hacks 2015 Das Jahr 2015 ist das Jahr der Auto-Hacks. In den ersten acht Monaten des Jahres werden gleich sechs gravierende IT-Security-Schwachstellen in Fahrzeugen verschiedener Hersteller bekannt. Wir haben die aufsehenerregendsten - wissenschaftlich motivierten - Hackerangriffe auf Connected Cars für Sie in unserer Bildergalerie zusammengefasst.
BMW "ConnectedDrive" Der ADAC deckt Anfang des Jahres eine massive Sicherheitslücke innerhalb des BMW „Connected Drive“-Systems auf, über die sich Angreifer via Mobilfunknetz Zugang zum Fahrzeug verschaffen können. Das Problem wird schließlich per Software-Update behoben – weltweit sind über zwei Millionen Fahrzeuge quer durch alle Konzern-Marken und -Baureihen betroffen.
Jeep Cherokee Enormes Medienecho verursacht im Mai 2015 der Remote-Hack eines Jeep Cherokee – bei voller Fahrt. Den Sicherheitsforschern Chris Valasek und Charlie Miller gelingt es, einen Jeep Cherokee über Funk fremdzusteuern. Das Infotainment-System im Fahrzeug dient den Security-Experten als Einfallstor – kurz darauf sind sie in der Lage, sämtliche Fahrfunktionen des SUV fremd zu steuern. Der Fiat-Chrysler-Konzern muss in der Folge in den USA circa 1,4 Millionen Fahrzeuge zu einem Software-Update in die Werkstätten rufen.
General Motors "OnStar" Hacker Samy Kamkar gelingt es, eine Schwachstelle im General-Motors-Infotainment-System „OnStar“ auszunutzen. Das System ermöglicht den Auto-Besitzern, ihr Fahrzeug per Smartphone zu öffnen und zu schließen. Mit Hilfe eines Toolkits fängt Kamkar die Kommunikation zwischen Smartphone und Automobil ab. So kann er nicht nur den Aufenthaltsort des Fahrzeugs bestimmen, sondern es auch nach Lust und Laune öffnen und schließen sowie den Motor aus der Ferne starten.
Corvette-SMS-Hack Die Sicherheitsforscher Karl Koscher und Ian Foster gelangen über manipulierte SMS-Nachrichten in das CAN-BUS-System einer Corvette. Als Zugangspunkt dient ihnen ein Telematik-System eines Kfz-Versicherers. So erhalten sie Zugriff auf essentielle Fahrsicherheits-Komponenten wie Bremsen, Gas und Lenkung. Das Telematik-System des US-Versicherers Metromile kommt in den USA unter anderem auch beim Fahrdienstleister Uber zum Einsatz. Metromile zufolge sind die Security-Löcher inzwischen gestopft.
Der VW-Motorola-Hack Bis zum August 2015 versucht der Volkswagen-Konzern - offensichtlich aus Angst vor Reputationsschäden - die Veröffentlichung von technischen Details zu einem Hack zu verhindern, der Wissenschaftlern der Universitäten Nijmegen und Birmingham bereits 2012 gelungen ist. Als Zugangspunkt dient den Forschern das Transponder-System einer Wegfahrsperre von Zulieferer Motorola. Nachdem sich Volkswagen außergerichtlich mit den Forschern einigt, werden die technischen Details auf der Usenix-Konferenz 2015 öffentlich gemacht.
Tesla Model S Der jüngste Auto-Hack-Fall in diesem Jahr betrifft das Tesla Model S. Die Security-Spezialisten Kevin Mahaffey und Marc Rogers wollen beweisen, dass auch Teslas Elektro-Limousine nicht unhackbar ist. Letztendlich finden die beiden tatsächlich einen Weg, Kontrolle über das Model S zu erlangen. Auf der Defcon-Konferenz 2015 präsentieren sie ihre Erkenntnisse. Fazit: Auch wenn der Hack des Tesla nur unter immensem Aufwand und über einen physischen Zugang zu den Systemen möglich war – unhackbar ist auch dieses Auto nicht. Immerhin erweist sich die Architektur der Tesla-Systeme laut Mahaffey und Rogers als „relativ sicher“ und „gut durchdacht“.
Kommentar: Mehr Transparenz, mehr Kooperation!
Aus persönlicher Sicht begrüße ich, dass das Thema IT-Sicherheit bei Connected Cars im Mainstream angekommen ist. Denn eine frühzeitige Auseinandersetzung mit den IT-Risiken in vernetzten Autos gewährleistet, dass das Thema nicht unter den Tisch fällt. Allerdings muss man den Eindruck bekommen, so mancher OEM würde genau das begrüßen. Unverständlicherweise nämlich begegnen viele Autobauer dem Thema IT-Sicherheit mit Verunsicherung und Zurückhaltung. Dabei wäre - wie das Beispiel Tesla zeigt - eine proaktive Auseinandersetzung die einzig zeitgemäße, sinnvolle und zielführende Art und Weise, mit dem Thema IT-Sicherheit bei Connected Cars umzugehen - insbesondere vor dem Hintergrund, dass autonome Mobilität künftig eine große Rolle in der digitalisierten Wirtschaft und Gesellschaft spielen soll. Eine gemeinsame Bewältigung von Sicherheitsrisiken durch Autobauer, Politik, Security-Forscher und Zulieferer ist zwingend notwendig, um überhaupt in den Genuss der Mobilität der Zukunft kommen zu können.
Zwar besteht aktuell keine akute Bedrohungslage für Privatpersonen - für Unternehmen allerdings sehr wohl. Und die Anzahl an Schnitt- und damit auch potenziellen Schwachstellen in modernen Fahrzeugen wird mit dem technologischen Fortschritt nicht abnehmen. Ein großes Problem bei der Gewährleistung einer Art IT-Grundsicherheit für vernetzte Automobile ist meiner Meinung nach, dass Einheitslösungen durch die extrem komplexen und heterogenen Systemstrukturen der vernetzten Autos oft nicht oder nur sehr schwer umsetzbar sind. Insofern ist die weiter oben vorgestellte Fraunhofer-Lösung ein vielversprechender Ansatz. Die Entwicklung gemeinsamer, allgemeingültiger Standards ist in jedem Fall unabdingbar. Die deutschen Hersteller sind gerade dabei, den Grundstein für ein Miteinander beim Connected Car zu legen: Nach dem Kauf des ehemaligen Nokia-Kartendienstes Here durch Audi, BMW und Daimler scheint eine Einigung über einen einheitlichen Standard zur Übertragung von Fahrzeug- beziehungsweise Sensordaten in die Cloud in Sichtweite. Das ist auch dringend nötig, denn auch in der Autoindustrie wird die künftige Erfolgswährung Daten heißen - ein Geschäft, das die OEMs keinesfalls kampflos der Tech-Branche überlassen dürfen.
CW-Redakteur Florian Maier
Gerade deshalb müssen OEMs offener mit den Themen IT-Security und Datenschutz umgehen. Ansonsten laufen sie Gefahr, das Vertrauen ihrer Kunden zu verlieren. An dieser Stelle kommen dann Apple und Google ins Spiel, die schon seit Jahren an entsprechenden Mobilitäts-Konzepten und -Kooperationen feilen und früher oder später versuchen werden die Autobranche mit "Car-as-a-Service"-Angeboten in gewohnt disruptiver Art und Weise aufzumischen. Zwar haben gerade US-Unternehmen einen schweren Stand wenn es um das Vertrauen in Datenschutzmaßnahmen geht - dennoch demonstrieren die US-Tech-Giganten momentan mehr Transparenz als viele Autobauer.
Zudem werden Consumer in der Tech-Branche seit Jahren an immer kürzere Produktzyklen gewöhnt. In der Autoindustrie haben sich die Zyklen in den letzten Jahren zwar ebenfalls verkürzt, aber die Branche hält dabei weiterhin am traditionellen Bild des Autokäufers fest. Der möchte ein Auto kaufen, besitzen und anschließend mehrere Jahre nutzen. Allerdings ist abzusehen, dass der Kunde der Zukunft Mobilität als Service begreift, die er nutzen möchte, wenn er sie braucht. Sollten Apple und Google also zum richtigen Zeitpunkt die Mobilitätsleistungen liefern können die diese Kunden wollen, könnte es so manchem traditionsreichen Autohersteller ähnlich ergehen wie es in den vergangenen Jahren Nokia, Kodak, Sony, Microsoft, Blackberry: Wer langfristig nicht auf die Wünsche seiner Kunden eingehen will oder kann, wird früher oder später den Preis dafür bezahlen.
Also liebe Autobauer: Verabschiedet Euch von verkrusteten Denkweisen und Kundenbildern. Erkennt die Chancen und Möglichkeiten die eine Kooperation mit den Security-"Watch Dogs" bietet - bevor Euch die Zukunft der Mobilität rechts überholt.
Hacking-Top-Ten: Die 10 größten Cyberangriffe auf Unternehmen
Die Top 15 Hacker-Angriffe auf Unternehmen Unternehmen weltweit rücken seit Jahren in den Fokus von Hackern und Cyberkriminellen. Identitäts- und Datendiebstahl stehen bei den Anhängern der Computerkriminalität besonders hoch im Kurs - kein Wunder, dass Cyber-Risk-Versicherungen immer mehr in Mode kommen. Wir zeigen Ihnen 15 der größten Hacking-Attacken auf Unternehmen der letzten Jahre.
Yahoo Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
Dyn Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Cicis Auch die US-Pizzakette Cicis musste Mitte 2016 einen Hackerangriff eingestehen. Wie das Unternehmen mitteilte, wurden die Kassensysteme von 130 Filialen kompromittiert. Der Diebstahl von Kreditkartendaten ist sehr wahrscheinlich. Wie im Fall von Wendy's und Target gelang es Hackern auch bei Cicis Malware in das Point-of-Sale-Kassensystem einzuschleusen. Erste Angriffe traten bereits im Jahr 2015 auf, im März 2016 verstärkten sich die Einzelattacken zu einer groß angelegten Offensive. Nach eigenen Angaben hat Cicis die Malware inzwischen beseitigt.
Wendy's Anfang Juli 2016 wurde ein Hacker-Angriff auf die US-Fastfood-Kette Wendy’s bekannt. Auf den Kassensystemen wurde Malware gefunden – zunächst war von weniger als 300 betroffenen Filialen die Rede. Wie sich dann herausstellte, waren die Malware-Attacken schon seit Herbst 2015 im Gange. Zudem ließ die Burger-Kette verlauten, dass wohl doch bis zu 1000 Filialen betroffen seien. Die Kreditkarten-Daten der Kunden wurden bei den Malware-Angriffen offenbar ebenfalls gestohlen. Wie im Fall von The Home Depot hatten sich die Hacker per Remote Access Zugang zum Kassensystem der Fast-Food-Kette verschafft.
Heartland Payment Systems Noch heute gilt der 2008 erfolgte Cyberangriff auf das US-Unternehmen Heartland Payment Systems als einer der größten Hacks aller Zeiten wenn es um Kreditkartenbetrug geht. Heartland ist einer der weltweit größten Anbieter für elektronische Zahlungsabwicklung. Im Zuge des Hacks wurden rund 130.000.000 Kreditkarten-Informationen gestohlen. Der Schaden für Heartland belief sich auf mehr als 110 Millionen Dollar, die zum größten Teil für außergerichtliche Vergleiche mit Kreditkartenunternehmen aufgewendet werden mussten. Verantwortlich für den Hack war eine Gruppe von Cyberkriminellen. Deren Kopf, ein gewisser Albert Gonzalez, wurde im März 2010 wegen seiner maßgeblichen Rolle im Heartland-Hack zu einer Haftstrafe von 20 Jahren verurteilt. Heartland bietet seinen Kunden seit 2014 ein besonderes Security-Paket - inklusive "breach warranty".
Sony Playstation Network Im April 2011 ging bei vielen Playstation-Besitzern rund um den Globus nichts mehr. Der Grund: ein Cyberangriff auf das digitale Serviceportal Playstation Network (PSN). Neben einer Ausfallzeit des PSN von knapp vier Wochen (!) wurden bei der Cyberattacke jedoch auch die Daten (Kreditkarteninformationen und persönliche Daten) von rund 77 Millionen PSN-Abonennten gestohlen. Sony informierte seine Nutzer erst rund sechs Tage über den Hack - und musste sich dafür harsche Kritik gefallen lassen. Die Kosten des PSN-Hacks beliefen sich auf circa 170 Millionen Dollar. Die Verantwortlichen wurden bislang nicht identifiziert.
Livingsocial.com Die Online-Plattform Livinggsocial.com (inhaltlich vergleichbar mit Groupon) wurde im April 2013 Opfer eines Hacker-Angriffs. Dabei wurden die Passwörter, E-Mail-Adressen und persönlichen Informationen von circa 50 Millionen Nutzern der E-Commerce-Website gestohlen. Glücklicherweise waren die Finanzdaten von Kunden und Partnern in einer separaten Datenbank gespeichert. Die Verursacher des Security-Vorfalls wurden nicht identifiziert.
Adobe Systems Mitte September 2013 wurde Adobe das Ziel von Hackern. Circa 38 Millionen Datensätze von Adobe-Kunden wurden im Zuge des Cyberangriffs gestohlen - darunter die Kreditkarteninformationen von knapp drei Millionen registrierter Kunden. Die Hacker die hinter dem Angriff standen, wurden nicht gefasst.
Target Corporation Die Target Corporation gehört zu den größten Einzelhandels-Unternehmen der USA. Ende des Jahres 2013 musste Target einen Cyberangriff eingestehen, bei dem rund 70 Millionen Datensätze mit persönlichen Informationen der Kundschaft gestohlen wurden. Weitaus schwerer wog jedoch, dass unter diesen auch 40 Millionen Datensätze waren, die Kreditkarteninformationen und sogar die zugehörigen PIN-Codes enthielten. Für außergerichtliche Einigungen mit betroffenen Kunden musste Target rund zehn Millionen Dollar investieren, der damalige CEO Gregg Steinhafel musste ein halbes Jahr nach dem Hack seinen Hut nehmen.
Snapchat Ein kleiner Fehler führte Ende Dezember 2013 dazu, dass Hacker die Telefonnummern und Nutzernamen von 4,6 Millionen Snapchat-Usern veröffentlicht haben. Snapchat selbst geriet darauf ins Kritikfeuer von Nutzern und Sicherheitsforschern, denn wie so oft war die Ursache für die Veröffentlichung der Daten ein Mangel an Sicherheitsvorkehrungen. Die von Hackern verursachten Probleme sind jedoch meist weniger schlimm als der Schaden, der nach der Veröffentlichung folgt. Auch wenn man seinen Nutzernamen oder seine Telefonnummer nicht als großes Geheimnis ansieht – ein motivierter Angreifer wie ein Stalker oder ein Identitäts-Dieb könnten mit diesen Daten Übles anrichten. Dieser Hack zeigt wiederum, dass alle Daten wichtig sind - vor allem wenn sie den Nutzern gehören. Man kann mit Sicherheit davon ausgehen, dass die Entwickler von Snapchat diesen Sicherheitsfehler gerne vor den Hackern gefunden hätten.
Ebay Inc. Im Mai 2014 wurde Ebay das Ziel von Cyberkriminellen. Zwar wurden bei der Attacke keine Zahlungsinformationen entwendet - dafür aber E-Mail-Adressen, Usernamen und Passwörter von knapp 145 Millionen registrierten Kunden. Die Hacker erlangten scheinbar über von Ebay-Mitarbeitern gestohlene Logins Zugriff auf die Datenbanken des Unternehmens. Die Verantwortlichen wurden nicht identifiziert.
J.P. Morgan Chase Mit J.P. Morgan rückte im Juli 2014 eine der größten US-Banken ins Visier von Cyberkriminellen. Rund 83 Millionen Datensätze mit Namen, Adressen und Telefonnummern von Kunden fielen den Hackern in die Hände. Zugang erlangten die Kriminellen offensichtlich über gestohlene Login-Daten eines Mitarbeiters. Allerdings musste sich J.P. Morgan den Vorwurf gefallen lassen, seine Systeme nicht ausreichend zu schützen. Inzwischen wurden in den USA und Israel vier Personen festgenommen, die mutmaßlich an diesem Hack beteiligt waren.
The Home Depot Die US-Baumarktkette The Home Depot wurde im September 2014 Opfer eines besonders hinterhältigen Hacks. Cyberkriminelle hatten es geschafft, Malware in das Kassensystem von über 2000 Filialen einzuschleusen. Die Folge davon: 56 Millionen Kreditkarteninformationen von Bürgern der USA und Kanada wurden direkt bei der Zahlung in den Home-Depot-Geschäften entwendet. Darüber hinaus fielen auch noch 53 Millionen E-Mail-Adressen in die Hände der Hacker. Der Schaden für das US-Unternehmen wird auf rund 62 Millionen Dollar beziffert.
Anthem Inc. Anthem gehört zu den größten Krankenversicherern der USA. Im Februar 2015 gelang es Cyberkriminellen, persönliche Daten von circa 80 Millionen Kunden zu stehlen. Die Datensätze enthielten Sozialversicherungsnummern, E-Mail-Adressen und Anschriften. Darüber hinaus wurden auch Gehaltsinformationen von Kunden und Angestellten entwendet. Immerhin: Medizinische Daten sollen nicht betroffen gewesen sein. Verschiedenen Security-Experten zufolge führt die Spur des Hacks nach China.
Ashleymadison.com Anschriften, Kreditkartennummern und sexuelle Vorlieben von circa 40 Millionen Usern hat eine Hackergruppe namens Impact Team im August 2015 nach einem Cyberangriff auf das Seitensprung-Portal Ashley Madison öffentlich gemacht. Der Angriff bewies, dass Ashley Madison nicht – wie eigentlich versprochen – persönliche Informationen der Nutzer gegen eine Gebühr löschte. Das erbeutete 30-Gigabyte-Paket beinhaltete insgesamt 32 Millionen Datensätze, darunter 15.000 Regierungs- und Militäradressen von Nutzern. Auch Teile des Seitenquellcodes und interne E-Mails der Betreiber lagen dadurch offen. Aufgrund der intimen Nutzerdaten und der geheimnisvollen Natur von Ashley Madison ist dieser Hackerangriff besonders heikel. Dass die Betreiber persönliche Daten auch auf Wunsch nicht vernichtet haben, zeigt ein Problem von Unternehmen, die personenbezogene Daten auf verschiedenen Systemen verarbeiten. Aber auch solche Unternehmen müssen Nutzerinformationen gegen Gefahren schützen – ganz gleich, ob die Gefahr von externen Hackern, böswilligen Insidern oder zufälligen Datenverlusten ausgeht. Ein Ashleymadison-User hat inzwischen vor einem Gericht in Los Angeles Klage gegen Avid Life Media eingereicht. Der Vorwurf: fahrlässiger Umgang mit hochsensiblen Daten. Ein Antrag auf Sammelklage ist ebenfalls bereits eingegangen. Sollte das Gericht diesem folgen, könnten ALM Schadenersatzforderungen in Milliardenhöhe ins Haus stehen.