Auto im Visier: Der Hacker als Beifahrer

Kürzlich wurde im Rahmen einer Security-Konferenz demonstriert, dass sich das Hightech-Elektro-Auto Tesla Model S aus der Ferne hacken lässt. Doch auch "herkömmliche" moderne Fahrzeuge sind mit immer mehr technischen Raffinessen ausgestattet – und werden dadurch immer interessanter als Ziel für Angriffe über das dem Internet. [...]

Zwei Studenten der Zhejiang University haben auf der Computer-Sicherheits-Konferenz SyScan360 in Beijing, China, ein Tesla Model S des gleichnamigen kalifornischen Autoherstellers gehackt. Sie klinkten sie sich in das System des E-Mobils ein, öffneten alle Türen und das Schiebedach, „drückten“ auf die Hupe und knipsten die Lampen ein – während das Fahrzeug unterwegs war. Schon zuvor warnte der US-Security-Experte Nitesh Dhanjani, selbst Tesla-Fahrer, vor der Möglichkeit eines solchen Angriffs. 
Noch sind solche Angriffe fern von der Alltäglichkeit. Doch je weiter die Technisierung der Fahrzeuge voranschreitet, je mehr Daten in den Autos gespeichert werden und je mehr Funktionen auch von außen zugänglich werden, desto mehr steigen auch die Gefahren und das Risiko von „Car-Hacks“. Mehr als 80 Mikrocomputer kommunizieren schon heute in einem modernen Auto über interne Datenkanäle mit einer Vielzahl an Motorsteuergeräten, Embedded-CPUs und anderen Steuerungssystemen, die für verschiedene Funktionen verantwortlich sind. Angefangen bei der Stereo- und Klimaanlage bis hin zu den Bremsen, Airbags und auch der Lenkung (Steer-by-Wire). Der CAN (Controller Area Network) beispielsweise ist für die Verbindung zwischen dem internen und den externen Netzwerken verantwortlich. Hierzu zählen WLAN, Bluetooth und NFC, über die Drittanbieter Inhalte den bereitstellen und Daten des Fahrzeugs auslesen können. Die CAN ist nur eine der Angriffswege bei car2x, also der Kommunikation vom Fahrzeug mit der Umgebung.
Eine Abwandlung von car2x ist car2car, bei der das Auto mit anderen Fahrzeugen kommuniziert und auf ihr (Fahr-)Verhalten reagiert. Die Sicherheitsexperten von Utimaco warnen in einer Aussendung: „Da es in diesem Bereich um die Sicherheit von Menschenleben geht, ist eine sichere Verbindung fundamental. Auf dem europäischen Markt, den deutsche Automobilhersteller dominieren, sind Gespräche für übergreifende Standards mit Industrieverantwortlichen sowie Anbietern von elektronischen Komponenten geplant.“
Utimaco zufolge zählt dazu auch das Verhalten bzw. die Vorgehensweise von intelligenten Fahrzeugen. Wie haben diese zu reagieren, wenn eine Notfallambulanz die Sirene einschaltet, oder wenn ein Schulbus den Warnblinker setzt, um Schulkinder ein- und aussteigen zu lassen? Eine Manipulation der Datenströme könnte fatale Folgen haben, warnen die Experten. In Kombination mit car2x, bei dem Geschwindigkeitskontrollen, Umweltzonen und andere Energiemanagement-Unterstützungssysteme könnte aber auch eine besonders sichere und umweltbewusste Fahrweise realisiert werden. Die Sicherheitsexperten von Utimaco sehen in dem Hack des Smart-Cars allerdings nicht nur eine Gefahr für intelligente Fahrzeuge, sondern auch eine Chance für mehr Sicherheit und Verantwortung.
DATENSCHUTZ IM AUTO
Auch Lookout, ein Experte für mobile Sicherheit, warnt dieser Tage vor einem fahrlässigen Umgang mit persönlichen Daten und fehlenden Sicherheitsmaßnahmen bei der Fahrzeugmechanik. Besonders attraktiv sind laut Lookout die in den Autos gespeicherten sowie die übertragenen Daten. Dazu gehören neben genauen Bewegungsprofilen ebenso Daten über Verbrauch, Insassen, Telefonbücher sowie Anruflisten. Nicht selten wären den Experten zufolge auch Kontodaten im Fahrzeugspeicher hinterlegt, mit denen beispielsweise Parkgebühren ohne Eingriff durch den Fahrer bezahlt werden können. Wie schon bei Bankautomaten, ließen sich Informationen zum Bankkonto über die richtige Hardware „on the go“ auslesen, warnt Lookout.
Mit Google Auto und Apple CarPlay finden zudem erstmals ausgereifte Betriebssysteme Einzug in Fahrzeuge. Beide Unternehmen müssten auch auf die IT-Sicherheit achten, mahnt Lookout, da bei einem Einbruch in das Steuersystem Menschenleben auf dem Spiel stehen. Ein weiteres Sicherheitsrisiko stellt das Smartphone oder Tablet dar, mit dem sich das Auto verbindet und Daten austauscht. Über manipulierte Apps, die auf die entsprechenden Schnittstellen zugreifen, könnten Cyberkriminelle an brisante Informationen gelangen. Hier hat die Vergangenheit ebenfalls gezeigt, dass Malware über offizielle Kanäle wie den GooglePlay Store oder Appstore ihren Weg auf mobile Geräte findet und erst mit einer gewissen Verzögerung von Google und Apple wieder gebannt wird. 
Hinzu kommt: Beim vernetzten Auto treffen zwei Industrien aufeinander, deren gemeinsame Schnittmengen bis dato nicht sonderlich ausgeprägt waren: die IT- und die Automobilindustrie. Während die IT ihre Entwicklungszyklen in Monate einteilt, denkt die Old Economy in Jahreszeiträumen – die Entwicklung eines Fahrzeugs dauert im Schnitt immer noch fünf bis sechs Jahre. Das macht das notwendige Miteinander nicht einfacher. „Das vernetzte Fahrzeug ist diesbezüglich noch ein datenschutzrechtliches Minenfeld“, erklärte zu diesem Thema kürzlich Raimund Wagner, Geschäftsführer der AMV Networks GmbH, ein Unternehmen, das auf Datentransfer und Datenschutz in der Automobilindustrie spezialisiert ist. Wagner weiter: „Die Automobilindustrie muss es von Anfang an besser machen als die Internetbranche in der Online-Welt oder auch die Telekommunikationsbranche in der Handy-Welt.“ (pi/rnf)

Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*