Fahrerlose Autos: Neue Herausforderungen für die Cyber-Sicherheit

Laut Gartner werden fahrerlose Fahrzeuge in reifen Märkten bis 2030 ca. 25 Prozent aller Passagiere transportieren. Die immer ausgefeilteren Cyber-Angriffe und Datenschutzverletzungen in den letzten Jahren haben dazu geführt, dass der Schutz der Autofahrer vor Bedrohungen aus dem Netz zu einem der wichtigsten Entwicklungsschwerpunkte und Herausforderungen in der Automobil- und Sicherheitsindustrie geworden sind. [...]

Fahrerlose Autos haben erheblich mehr elektronische Komponenten als „klassische“ Autos. Die Autofahrt hängt von Sensoren, Radar, GPS-Mapping und verschiedenen künstlichen Intelligenzen ab, die das selbstständige Fahren ermöglichen. Diese neuen Steuerungs- und Sicherheitssysteme müssen in die schon heute vorhandenen elektronischen Systeme an Bord integriert und kabellos mit dem Hersteller verbunden werden und sogar Services von Dritten über das Internet anbieten. Wenn jedoch Hacker aus der Entfernung auf ein Fahrzeug zugreifen und eines seiner Systeme kompromittieren, besteht ein erhebliches Sicherheitsrisiko – angefangen beim Diebstahl vertraulicher und geschäftlicher Daten bis hin zu ganz realen Gefahren für das Leben der Passagiere und für ihr Eigentum.

Die Angriffsmöglichkeiten für vernetzte und autonome Autos

Rechteausweitung und Systemverflechtungen: Die Angreifer werden nach Schwachstellen in weniger geschützten Services wie Unterhaltungssystemen suchen und versuchen, über das interne Netzwerk auf sensiblere Systeme „überzuspringen“. Hier kann die begrenzte Kommunikation zwischen dem Motor-Management-System und dem Unterhaltungssystem ausgenutzt werden, die gestattet wird, damit Alarme wie „Motorfehler!“ oder „Tempomat aktiv“ angezeigt werden.

Systemstabilität und -berechenbarkeit: Neue autonome Autos werden sehr wahrscheinlich Software von mehreren Anbietern enthalten – einschließlich Open Source Software. Die Informatik ist nun im Gegensatz zu industriellen Steuerungssystemen, wie es Autosysteme sind, nicht unbedingt für ihre Vorhersehbarkeit bekannt. Tatsächlich neigen IT-Systeme dazu, auf unberechenbare Weise zu versagen. Das ist sicherlich tolerierbar, so lange es sich nur um eine Website handelt, die nicht erreichbar ist, bis ein Server wieder hochgefahren wird. Es ist aber inakzeptabel im Falle eines Steuerungssystems, das nicht einmal ansatzweise beeinträchtigt werden darf, wenn ein angrenzendes Unterhaltungssystem oder das Auto-WLAN abstürzen oder einfrieren.

Bekannte Bedrohungen passen sich an neue Ziel an

Ransomware: Ein Hacker informiert den Eigentümer über das Autodisplay, dass sein Auto gesperrt wurde und er ein Lösegeld zahlen muss, um die Kontrolle darüber zurückzubekommen. Während Laptops und Tablets relativ einfach und – wenn Backups vorhanden sind – sogar ohne Schaden wiederhergestellt werden können, sind Autos doch eine ganz andere Geschichte. Der Eigentümer befindet sich vielleicht weit weg von zu Hause (die Ransomware kann natürlich so programmiert werden, dass sie erst anspringt, wenn sich das Fahrzeug in einer bestimmten Entfernung von seinem Heimatstandort befindet). Logischerweise hätten nur wenige Autohäuser Erfahrung mit der Lösung dieser Probleme und sehr wahrscheinlich wäre die Hilfe von Spezialisten vonnöten, um die betroffenen Komponenten zurückzusetzen.

Spyware: Fahrerlose Autos sammeln riesige Datenmengen und wissen daher viel über ihren Eigentümer – einschließlich der häufigsten Fahrziele, seiner Adresse, Einkaufsvorlieben, Personentransporte. Wenn ein Hacker weiß, dass sich jemand weit weg von zu Hause befindet, kann er diese Information an eine Einbrecherbande verkaufen oder seine Anmeldedaten nutzen, um sein Bankkonto leer zu räumen.
Schließlich gibt es noch Rechts- und Authentizitätsbedenken: Kann man davon ausgehen, dass die Standortdaten eines Autos immer der Realität entsprechen? Oder können solche Daten auch manipuliert werden? Das ist ein Problem, das unbedingt angegangen werden muss. Eine vergleichbare Problematik stellt die Software von unterschiedlichen Providern dar. Wenn ein Auto sich von Netzwerk zu Netzwerk bewegt, wer ist dann verantwortlich, wer haftet für Sicherheitsverletzungen und mögliche Verluste und Schäden?

Damit autonome Autos künftig sicherer sind, müssen zunächst die Hersteller sensibilisiert werden. Die Implementierung von geeigneten und effektiven Sicherheitstechnologien ist ein zwingendes Ziel, auch wenn es (noch) keine regulatorischen Anforderungen gibt. Ein weiteres Problem ist, dass immer mehr IoT-Geräte, die handelsübliche Kommunikationsprogramme benutzen, über gar keine Sicherheitsmaßnahmen verfügen. Bei autonomen Autos muss der Standard im Vergleich zu den aktuellen IoT-Geräten um einiges angehoben werden.

Eine engere Zusammenarbeit mit der Internetsicherheitsindustrie ist also unumgänglich. Die Automobilsicherheit kann in drei unterschiedliche Bereiche unterteilt werden, die in einigen Fällen auf ähnlichen Techniken beruhen und in anderen ganz neue Ansätze benötigen:

  • Interne Kommunikation: Intelligente Fahrzeuge werden über mehrere unterschiedliche Systeme verfügen, die in einem gewissen Umfang miteinander kommunizieren werden. Um zwischen gewollten und unbefugten Aktivitäten unterscheiden zu können, muss diese Kommunikation von Sicherheitssystemen wie Firewalls und Intrusion Prevention Systems (IPS) streng überwacht und gemanagt werden.
  • Externe Kommunikation: Viele, wenn nicht sogar alle Systeme an Bord kommunizieren mit Services im Internet: für die Wartung durch den Hersteller, für Software-Updates, für Reise- und Fahranweisungen etc. Der Datenverkehr zu und vom Fahrzeug muss auch durch Firewalls und IPS-ähnliche Funktionen geprüft und gemanagt werden, damit Bedrohungen wie unbefugte, fehlerhafte oder rechtswidrige Kommunikationen entdeckt werden können.
  • Die Konnektivität der Fahrzeuge wird sehr wahrscheinlich auf gut etablierten Datennetzwerken wie 3G und 4G beruhen, wenn auch auf etwas andere Art. Obwohl diese mobilen Services bereits unzähligen verschiedenen Geräten weltweit Zugang zum Internet bieten, ist die inkonsistente Sicherheit ihr großer Nachteil. Ein Angriff auf oder über das mobile Netzwerk könnte gleichzeitig erhebliche sicherheitsrelevante Fehler in wortwörtlich tausenden sich in Bewegung befindenden Fahrzeugen provozieren. Angesichts solch einer möglichen Katastrophe ist eine gründliche Überarbeitung der mobilen Netzwerke, die die kritische Konnektivität der Fahrzeuge bereitstellen werden, von höchster Priorität.

Schließlich müssen noch hochsichere Identitäts- und Zugriffssteuerungssysteme integriert werden, die speziell für Maschinen geeignet und designt sind. Damit lassen sich Authentifikationsfragen für Systeme klären: Fahrzeuge können so Verbindungen mit kritischen Systemen eingehen und Internet-Services Fahrzeuge und Informationen für die Cloud verifizieren sowie Transaktionsfragen im Namen der Eigentümer zulassen.
*Die Autorin Irene Marx ist Country Managerin Fortinet Österreich.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*