Die Reputation des vernetzten Autos hat in den vergangenen Monaten stark gelitten: Zahlreiche erfolgreiche Fahrzeug-Hacks werfen kein gutes Licht auf die IT-Security-Maßnahmen der Hersteller. Wir analysieren, wie die Auto-Hacker vorgehen. [...]
„NEUES EINFALLSTOR IN UNTERNEHMENSNETZWERKE“
Wird der Firmenwagen also künftig zum bevorzugten Ziel für Hacker, Geheimdienste und Industriespione? Die COMPUTERWOCHE hat Matt Rahman, Chief Strategy Officer beim IT-Security-Anbieter IOActive, zum Thema befragt.
CW: Die Medienberichterstattung zum Thema Auto-Hacks hat sich in den letzten Wochen und Monaten verdichtet. Aber: Besteht eine echte Gefahr – insbesondere für Unternehmen? Welchen IT-Sicherheits-Problemen sollten sich Unternehmen bewusst sein?
MATT RAHMAN: Es besteht eine echte Gefahr für Unternehmen – speziell für die, deren Mitarbeitern eine Fahrzeugflotte zur Verfügung steht. Einerseits kann für Unternehmen die Sicherheit ihrer Angestellten zum Thema werden: Sollte ein Mitarbeiter aufgrund eines Hackerangriffs während der Fahrt verletzt werden – oder gar Schlimmeres – ist das Unternehmen dafür haftbar. Andererseits haben immer mehr Fahrzeuge Infotainment-Systeme an Bord, die die Koppelung eines Smartphones erlauben. Wenn Mitarbeiter dies in einem Flottenfahrzeug tun und dabei über ihre Smartphones auf das Unternehmensnetzwerk zugreifen können, könnten Hacker ebenfalls einen direkten Zugang erhalten.
CW: Flotten- und/oder Firmenwagen könnten also in Sachen Industriespionage die Hacker-Ziele der Zukunft sein?
RAHMAN: Definitiv. Ein Firmenwagen könnte wie erwähnt über das Mobile Device eines Mitarbeiters der das Auto bewegt, als neues Einfallstor in Unternehmensnetzwerke missbraucht werden. Vernetzte Fahrzeuge stellen für Hacker neue Angriffsvektoren dar, über die sie Angriffe starten können.
CW: Nehmen die Autohersteller die Security-Risiken bei Connected Cars nicht ernst genug?
RAHMAN: Dank der Forschungsarbeit in den letzten drei Jahren beginnen die Hersteller die Gefahren ernster zu nehmen. Natürlich gehört IT-Security nicht zu den nativen Geschäftsfeldern der OEMs, also wenden sie sich zum Beispiel an uns, um diese Probleme in den Griff zu bekommen.
CW: Welche Strategie sollten die Autohersteller verfolgen, um maximale Sicherheit in ihren Fahrzeugen zu gewährleisten?
RAHMAN: Sobald ein Hersteller den Bau eines vernetzten Autos plant, sollte er mit einem auf IT-Security spezialisierten Unternehmen kooperieren. Nur eine möglichst frühe Einbeziehung von Spezialisten gewährleistet, dass die IT-Security bereits in der Planungsphase bedacht und entsprechende Lösungen integriert werden. Das ist auch wesentlich effizienter als der Versuch, nachträglich Schutzmaßnahmen zu implementieren.
HÖCHSTE ZEIT ZUM UMDENKEN IN DER AUTOBRANCHE
Das führt zu der Frage, wie die Autoindustrie und seine dominierenden Player künftig mit dem Thema IT-Security in vernetzten Fahrzeugen umgehen werden. Bislang bekleckern sich die OEMs nicht mit Ruhm – im Gegenteil: In den USA versuchen GM und der weltgrößte Hersteller von Landwirtschaftsmaschinen, John Deere, im April 2015 das amerikanische Urheberrechts-Gesetz DMCA (Digital Millenium Copyright-Act) so umzudeuten, dass sich in der Konsequenz auch Wissenschaftler und Security-Forscher mit Arbeiten wie dem „Jeep-Hack“ strafbar machen würden.
An einem offenen, konstruktiven Diskurs über die IT-Sicherheit ihrer Fahrzeuge und Systeme scheinen manche Hersteller also wenig bis gar nicht interessiert. Das zeigt nicht nur das Verhalten von General Motors, und John Deere, sondern auch das Vorgehen von VW beim „Wegfahrsperren-Hack“. Natürlich ist aus Herstellersicht die Angst vor Reputationsschäden nachvollziehbar, falls schwerwiegende Sicherheitslücken in ihren Fahrzeugen an die Öffentlichkeit gelangen. Dass die „Verteufelung“ der (White-Hat)-Hacker-Szene aber nicht zielführend ist, hat man im Laufe der 1990er Jahre bereits in der IT-Branche erkennen müssen. Inzwischen rekrutieren die Tech-Unternehmen Hacker als Security-Spezialisten – nutzen sie also als „Watch Dogs“. Es ist derselbe Weg, den nun offensichtlich auch Tesla gehen möchte: Security-Forscher werden mit Bug-Prämien dafür belohnt, dass sie Schwachstellen im System finden und dieses so sicherer machen. Dadurch muss der Eindruck entstehen, dass Tesla offener und ernsthafter mit dem Thema IT-Sicherheit umgeht als seine Konkurrenten. Aber: die Branche bewegt sich: „Over-the-air“-Software-Updates gehören mittlerweile bei einigen Herstellern (zum Beispiel BMW und Ford) zum guten Ton, GMs Luxusmarke Cadillac beschäftigt bereits seit September 2014 einen „Chief Product Cybersecurity Officer“ und die deutschen Premium-Autobauer BMW, Audi und Daimler suchen derzeit händeringend nach IT-Spezialisten – nicht nur im Security-Bereich.
Auch Fiat Chrysler hat inzwischen – in Kooperation mit BugCrowd – ein Bug-Prämien-Programm gestartet, das zwischen 150 und 1500 Dollar Belohnung für das Auffinden von Sicherheitslücken vorsieht. Titus Melnyk, Security-Architekt bei FCA, dazu: „Wir wollen unabhängige Sicherheitsforscher dazu ermutigen, sich mit uns in Verbindung zu setzen und ihre Erkenntnisse mit uns zu teilen. Nur so können wir potenzielle Sicherheitslücken schließen, bevor sie für unsere Kunden relevant werden.“
Sie wollen mehr Infos zum Thema IT-Security bei Connected Cars? Wir haben die aufsehenerregendsten Auto-Hacks des Jahres 2015 für Sie zusammengefasst. Außerdem zeigen wir Ihnen auch, welche IT-Sicherheitslösungen künftig bei vernetzten Autos zum Einsatz kommen könnten.
*Florian Maier kümmert sich um reichweitenstarke und populäre IT-Themen für die COMPUTERWOCHE
Be the first to comment