Um die Sicherheit moderner, vernetzter Autos gewährleisten zu können, müssen zwei Aspekte bedacht werden: der Datenschutz beziehungsweise die Datensicherheit im "Inneren" der Systeme und der Schutz dieser Systeme vor externen Angriffen. Während ersteres - zumindest in technischer Hinsicht - dank kryptografischer Verschlüsselungsverfahren kein Problem mehr darstellt, erfordert der Schutz der komplexen IT-Architektur vor Hackerangriffen ein durchdachtes, ganzheitliches Sicherheitskonzept - das im Idealfall auf einer standardisierten Plattform basiert.
Foto: Aleksandar Mijatovic - shutterstock.com
Fraunhofer setzt auf TPM-HSM
Am Fraunhofer-Institut für sichere Informationstechnologie (SIT) in Darmstadt wird daran bereits geforscht: Aufbauend auf dem Trusted Platform Module (TPM)-Standard, haben die Forscher eine Security-Lösung für vernetzte Fahrzeuge geschaffen, die auf Hardware-Sicherheits-Module (HSM) setzt. "Unsere Lösung ist eine Software-Plattform, um sichere Steuergeräte basierend auf TPM 2.0 zu entwickeln.", erklärt Projektleiter Andreas Fuchs. "Mit ihr lassen sich alle notwendigen Bestandteile von Fahrzeug-Steuergeräten - Hardware wie Software - für nahezu jede Anforderung zunächst simulieren und anschließend umsetzen.
Hersteller erhalten so bereits während der Entwicklung wichtige Informationen, um Fehler zu beheben und verschiedene Einsatzszenarien nachzustellen." Die TPM-basierten Lösungen kommen entweder direkt in den Steuergeräten zum Einsatz oder werden ihnen vorgeschaltet. Die kryptografischen Verschlüsselungs-Keys und sämtliche Security-Prozesse werden in diesem geschützten Bereich ausgeführt.
Zudem sollen die TPM-HSMs in der Lage sein, externe Angriffe zu erkennen und - zum Beispiel durch die Deaktivierung des Fahrzeugschlüssels - sofort gegenzusteuern. Dieselben Sicherheitsmodule mit denen Fraunhofer das vernetzte Auto sicherer machen will, kommen übrigens bereits seit vielen Jahren in diversen ITK-Produkten zum Einsatz und könnten für die Autohersteller von wegweisender Bedeutung sein, wie Fuchs klarstellt: "Unsere Entwicklungsumgebung hilft, dass der TPM-Standard auch in Autos mehr Verbreitung findet. Für die Hersteller wird es einfacher, die Standards und darauf aufbauende Anwendungen nun selbst umzusetzen." Laut Fraunhofer steht die Technologie für Autos kurz vor der Serienreife.
Foto: Fraunhofer SIT
Car Security made in Europe
Die Fraunhofer-Lösung müsste allerdings bereits im Produktionsprozesses in die Automobile integriert werden. Für die nachträgliche Absicherung älterer Modelle müssen andere Lösungen her. Beispielsweise bietet der deutsche Security-Anbieter Secunet mit der sogenannten Application Control Unit (ACU) ebenfalls eine Sicherheitslösung für Connected Cars an. Diese soll unabhängig von Anwendungen und Betriebssystem das Bordnetz der Autos absichern. Eine updatefähige Policy, der Einsatz von kryptografischen Schlüsseln sowie die konsequente Trennung von Rechen- und Hardwareressourcen sollen optimalen Schutz vor Hackerangriffen gewährleisten. Secunet reagiert mit dem ACU auf die sicherheitstechnisch oft anfälligen Infotainment-Systeme in den Fahrzeugen vieler Hersteller.
Auch beim niederländischen Unternehmen Gemalto ist eine Security-Lösung in Vorbereitung. Beim Cinterion Secure Element (SE) handelt es sich um einen fälschungssicheren Chip, der speziell für Devices im IoT- und M2M-Umfeld konzipiert ist. Für Connected Cars soll sich der Cinterion SE ganz besonders eignen, da er laut Gemalto ein sicheres "Over-the-air"-Management sensibler Daten ermöglicht. Detaillierte Infos zu Verschlüsselungstechnologien und Datenspeicherung gibt es bislang noch nicht. Gemalto wird das Cinterion SE auf der IAA 2015 in Frankfurt am Main präsentieren.
- "Auto Connect Trophy 2015"
Rund 12.500 Leser der Fachzeitschriften "Auto Zeitung" und "Connect" haben die besten Car-IT- und Connectivity-Lösungen gewählt - und das Connected Car des Jahres 2015. Hier kommen die Gewinner! - Bestes Bedien- und Anzeigekonzept
In dieser Kategorie siegt Audi mit seinem "MMI Touch"-Interface im gerade ganz frischen Luxus-SUV Q7. Die Möglichkeit zur Bedienung mittels Sprachsteuerung und das große Touchpad, das auf Tippen und auf handschriftliche Zeichen reagiert, haben knapp 39 Prozent der Leser von "Auto Zeitung" und "Connect" überzeugt. Auf den Plätzen folgen die Lösungen von BMW und Mercedes. - Beste Sprachsteuerung
Auch in der Kategorie Sprachsteuerung heißt der Sieger Audi. Die - beispielsweise im aktuellen Audi TT Coupé erhältliche - "MMI"-Sprachsteuerung erkennt und verarbeitet natürlich gesprochene Sätze. Das hat 38 Prozent der Leser überzeugt. Auf den Plätzen zwei und drei folgen die Lösungen von BMW und Mercedes. - Beste Business-Lösung / Infodienst
Geht es um die beste Business-Lösung, beziehungsweise den besten Infodienst, hat BMW die Nase vorn. Der "Concierge-Service" des Münchner Autobauers überzeugt mit Features wie Hotelbuchung, Übersetzungshilfe und Sekretariats-Dienst stolze 55 Prozent der Leser. Volvos Cloud-Dienste und Opels "OnStar"-Lösung belegen die Plätze zwei und drei. - Bestes Audio-Soundsystem
Fast 49 Prozent der "Auto Connect Trophy"-Teilnehmer entschieden sich für das "3D"-Soundsystem aus dem Hause Bang & Olufsen, das zum Beispiel für den aktuellen Audi Q7 erhältlich ist. Die Klangqualität und eine leichte Bedienung sind für die Teilnehmer die Qualitätsmerkmale des B&O-Soundsystems. Platz zwei belegt das Bose-Soundsystem, das in Fahrzeugen von Mazda zu finden ist, Rang drei belegen die Audio-Lösungen von Burmeister, die in Mercedes-Fahrzeugen zu finden sind. - Bestes Nachrüst-Radio
Klingt analog, ist es aber nicht: das Blaupunkt DAB+-System "Cape Town 945" auf Android-Basis ist für 25 Prozent der Leser das beste Digitalradio zum Nachrüsten. Damit kann Blaupunkt die Konkurrenzprodukte von Pioneer und Becker auf die Plätze verweisen. - Beste Smartphone-Integrationslösung
Audis "Phone Box" und ihre Möglichkeit zum induktiven Laden und kabelloser Datenübertragung ist die beste Smartphone-Integrationslösung 2015 - meinen 37 Prozent der Umfrageteilnehmer. Die Mercedes "Komfort-Telefonie" und die Volkswagen "Koppelbox" belegen die Plätze zwei und drei. - Bestes Funknetz
"Erdrutsch"-Sieg für die Deutsche Telekom in der Kategorie "Bestes Funknetz": 57 Prozent der Teilnehmer sind der Ansicht, dass das Netz der Telekom dank LTE-Ausbau und stabiler Verbindungsqualität nicht zu schlagen ist. Die Wettbewerber Vodafone und O2 belegen die Plätze zwei und drei. - Bester In-Car-Hotspot
Kein Connected Car ohne Hotspot. Den besten ins Auto integrierten WLAN-Hotspot bietet nach Meinung von 38 Prozent der Leser Audi - auch dank eines einfachen Zugangs für bis zu acht Personen gleichzeitig. BMW und Mercedes haben auch in dieser Kategorie das Nachsehen. - Bestes Navigationssystem
Audis "Virtual Cockpit" (zum Beispiel erhältlich im aktuellen Audi TT und Q7) überzeugt knapp 38 Prozent der Umfrageteilnehmer und ist damit das beste (werksseitig integrierte) Navigationssystem - noch vor BMWs "Navi Professional" und dem "Comand"-System von Mercedes. - Bestes Nachrüst-Navigationssystem
Bei den Navi-Lösungen zum Nachrüsten siegt Navigations-Urgestein TomTom mit dem "Go 5100". Verkehrsinfos in Echtzeit und eine integrierte SIM-Karte überzeugen 45 Prozent der Leser. Garmins "Nüvi 67 LMT" landet auf Rang zwei, das Becker "Professional.6 LMU" rangiert auf dem dritten Platz. - Beste Stauwarnung in Echtzeit
Google Maps bietet die beste Echtzeit-Stauwarnung - sagen 30 Prozent der "auto Zeitung"- und "Connect"-Leser. Die Lösungen HD Traffic und Staufunk TMC pro belegen Platz zwei und drei. - Beste App fürs Auto
Die "Clever-tanken"-App ist für 49 Prozent der Umfrageteilnehmer die beste Auto-Applikation des Jahres 2015. Sie hilft, die günstigste Tankgelegenheit in der Umgebung zu identifizieren. Die ADAC "Auslandshelfer-App" landet auf Platz zwei, die Fahrzeug-Such-App "Find My Car" auf dem dritten Rang. - Beste App der Autohersteller
Die beste Hersteller-App bietet nach Meinung von nahezu 32 Prozent der Leser Audi mit seiner "Konfigurator"-App, die Kunden auch unterwegs das Audi-Neufahrzeug der Wahl en detail zusammenstellen lässt. BMWs "MyRemote"-App, mit deren Hilfe sich Fahrzeugfunktion per Smartphone aus der Ferne steuern lassen, landet auf dem zweiten Rang. Die "Guides"-App von Mercedes bietet eine elektronische Bedienungsanleitung für so gut wie jedes Daimler-Fahrzeug, muss sich jedoch mit Rang drei begnügen. - Beste Musik-App
Geht es um Musik-Streaming im Auto, setzen knapp 47 Prozent der Teilnehmer auf den Streaming-Dienst von Spotify. Napster und Deezer sind dagegen nur zweite, beziehungsweise dritte Wahl. - Beste Navigations-App
Google Maps ist nach Ansicht der Umfrageteilnehmer auch bei den Navi-Apps Spitze. 32 Prozent setzen auf den Google-Dienst und geben ihm damit den Vorzug vor Lösungen von TomTom und Navigon. - Beste Carsharing-App
Der von Daimler und Europcar ins Leben gerufene Carsharing-Dienst "Car2go" ist für 41 Prozent der Leser die Nummer eins unter den Carsharing-Apps. BMWs "DriveNow" und die App des Carsharing-Verbunds Stadtmobil komplettieren das Podium dieser Kategorie. - Bester Sicherheitsassistent
Audis Abbiege-Assistent (ebenfalls für den neuen Q7 zu haben) überzeugt 25 Prozent der Leser. Das Sicherheits-Feature überwacht beim Linksabbiegen den Gegenverkehr und leitet - falls nötig - eine Bremsung ein. Audi sichert sich in dieser Kategorie den Sieg vor dem "Assist-Paket Plus" aus dem Hause Daimler und der "Multikollisionsverhinderung" der Konzern-Mutter Volkswagen. - Beste Fahrerunterstützung Stau
Sieg-Kategorie Nummer neun für Audi: Der "Stop&Go-Stauassistent", der den Fahrer durch Bremsen, Gas geben und Lenken unterstützt, ist die beste Stau-Lösung in den Augen von 46 Prozent der Teilnehmer. Mercedes ("Stop&Go-Pilot") und BMW ("Driving Assistent Plus") haben erneut das Nachsehen. - Connected Car des Jahres 2015
Dieser Sieg ist das Tüpfelchen auf dem I für den Audi-Triumph bei der "Auto Connect Trophy 2015": Der in diesem Jahr in zweiter Generation erschienene SUV Q7 ist das Connected Car des Jahres - zumindest meinen das 41 Prozent der Leser. Audis LTE-fähige Wuchtbrumme verweist damit die Mercedes S-Klasse und den BMW i3 auf die Ränge zwei und drei.
Sichere Connected Cars: Das tut die Politik
Wegen der inkonsistenten IT-Sicherheitspolitik innerhalb der Autobranche fordert etwa der ADAC die Etablierung einheitlicher Security-Standards für Connected Cars. Dass diese in Form einer EU-Direktive früher oder später umgesetzt werden, gilt als sicher - spätestens wenn autonome Mobilität auf breiter Basis zum Einsatz kommen soll. Bleibt nur zu hoffen, dass dann ein Fiasko wie bei der Ermittlung von - völlig realitätsfernen - Pkw-Verbrauchswerten nach dem NEFZ (Neuer Europäischer Fahrzyklus) ausbleibt.
In den USA ist man hier bereits einen Schritt weiter: Dort haben die beiden Senatoren Edward Markey und Richard Blumenthal kurz nach dem aufsehenerregenden Hack eines Jeep-Cherokee einen ersten Entwurf zu den sogenannten "Automotive Security Standards" eingebracht. Dieser sieht vor, dass die US-Bundesbehörde für Verkehrssicherheit "National Highway Traffic Safety Administration" (NHTSA) künftig die Mindestanforderungen der IT-Security in vernetzten Fahrzeugen festlegt. Gleichzeitig sollen Autobauer dazu verpflichtet werden, die Systeme ihrer Connected Cars dauerhaft und in Echtzeit zu überwachen, um jeden unberechtigten Zugriffsversuch auf ein Fahrzeug sofort unterbinden zu können.
Der Gesetzesentwurf ist keineswegs eine öffentlichkeitswirksame Reaktion auf den Jeep-Hack: US-Senator Markey hatte bereits Anfang 2015 sechzehn verschiedene OEMs zu ihren IT-Security-Maßnahmen und ihrem Umgang mit den in den Fahrzeugen gesammelten Daten befragen lassen. Dass die Antworten unbefriedigend gewesen sein müssen, zeigt Markeys Forderung nach einem "Cyber Dashboard Sticker" der Autofahrern auf einen Blick zeigen soll, wie sie geschützt werden und welche Daten im Fahrzeug wofür gesammelt werden - inklusive der Möglichkeit, einer Nutzung der Daten zu widersprechen.
- Auto-Hacks 2015
Das Jahr 2015 ist das Jahr der Auto-Hacks. In den ersten acht Monaten des Jahres werden gleich sechs gravierende IT-Security-Schwachstellen in Fahrzeugen verschiedener Hersteller bekannt. Wir haben die aufsehenerregendsten - wissenschaftlich motivierten - Hackerangriffe auf Connected Cars für Sie in unserer Bildergalerie zusammengefasst. - BMW "ConnectedDrive"
Der ADAC deckt Anfang des Jahres eine massive Sicherheitslücke innerhalb des BMW „Connected Drive“-Systems auf, über die sich Angreifer via Mobilfunknetz Zugang zum Fahrzeug verschaffen können. Das Problem wird schließlich per Software-Update behoben – weltweit sind über zwei Millionen Fahrzeuge quer durch alle Konzern-Marken und -Baureihen betroffen. - Jeep Cherokee
Enormes Medienecho verursacht im Mai 2015 der Remote-Hack eines Jeep Cherokee – bei voller Fahrt. Den Sicherheitsforschern Chris Valasek und Charlie Miller gelingt es, einen Jeep Cherokee über Funk fremdzusteuern. Das Infotainment-System im Fahrzeug dient den Security-Experten als Einfallstor – kurz darauf sind sie in der Lage, sämtliche Fahrfunktionen des SUV fremd zu steuern. Der Fiat-Chrysler-Konzern muss in der Folge in den USA circa 1,4 Millionen Fahrzeuge zu einem Software-Update in die Werkstätten rufen. - General Motors "OnStar"
Hacker Samy Kamkar gelingt es, eine Schwachstelle im General-Motors-Infotainment-System „OnStar“ auszunutzen. Das System ermöglicht den Auto-Besitzern, ihr Fahrzeug per Smartphone zu öffnen und zu schließen. Mit Hilfe eines Toolkits fängt Kamkar die Kommunikation zwischen Smartphone und Automobil ab. So kann er nicht nur den Aufenthaltsort des Fahrzeugs bestimmen, sondern es auch nach Lust und Laune öffnen und schließen sowie den Motor aus der Ferne starten. - Corvette-SMS-Hack
Die Sicherheitsforscher Karl Koscher und Ian Foster gelangen über manipulierte SMS-Nachrichten in das CAN-BUS-System einer Corvette. Als Zugangspunkt dient ihnen ein Telematik-System eines Kfz-Versicherers. So erhalten sie Zugriff auf essentielle Fahrsicherheits-Komponenten wie Bremsen, Gas und Lenkung. Das Telematik-System des US-Versicherers Metromile kommt in den USA unter anderem auch beim Fahrdienstleister Uber zum Einsatz. Metromile zufolge sind die Security-Löcher inzwischen gestopft. - Der VW-Motorola-Hack
Bis zum August 2015 versucht der Volkswagen-Konzern - offensichtlich aus Angst vor Reputationsschäden - die Veröffentlichung von technischen Details zu einem Hack zu verhindern, der Wissenschaftlern der Universitäten Nijmegen und Birmingham bereits 2012 gelungen ist. Als Zugangspunkt dient den Forschern das Transponder-System einer Wegfahrsperre von Zulieferer Motorola. Nachdem sich Volkswagen außergerichtlich mit den Forschern einigt, werden die technischen Details auf der Usenix-Konferenz 2015 öffentlich gemacht. - Tesla Model S
Der jüngste Auto-Hack-Fall in diesem Jahr betrifft das Tesla Model S. Die Security-Spezialisten Kevin Mahaffey und Marc Rogers wollen beweisen, dass auch Teslas Elektro-Limousine nicht unhackbar ist. Letztendlich finden die beiden tatsächlich einen Weg, Kontrolle über das Model S zu erlangen. Auf der Defcon-Konferenz 2015 präsentieren sie ihre Erkenntnisse. Fazit: Auch wenn der Hack des Tesla nur unter immensem Aufwand und über einen physischen Zugang zu den Systemen möglich war – unhackbar ist auch dieses Auto nicht. Immerhin erweist sich die Architektur der Tesla-Systeme laut Mahaffey und Rogers als „relativ sicher“ und „gut durchdacht“.