Datensicherheit im Auto Immer online, immer angreifbar

Für Datensicherheit ist ein Cloud-Zentrum nötig, das die Fahrzeuge während der gesamten Lebenszeit überwacht.

(Foto: Continental)

Durch die Vernetzung sind moderne Autos verletzlicher als je zuvor. Welche Sicherheitslücken für Hacker interessant sind - und wie unterschiedlich Autobauer damit umgehen.

Von Joachim Becker

Die Welt spielt verrückt. Autos schlagen mit ihren Flügeltüren, bremsen unvermittelt und flackern mit all ihren Lampen wie Christbäume. Verkehrsampeln leuchten wie Discokugeln zum Takt einer unhörbaren Musik, während die Städte falsche Katastrophenwarnungen vor Flut und Feuer per SMS verschicken. Die Geldautomaten zahlen kein Geld mehr aus, in Häfen stehen die Containerterminals still und die Kraftwerke lassen sich nur noch manuell mit einem Notprogramm steuern. Was nach einem düsteren Action-Streifen klingt, ist kein fiktionales Drehbuch, sondern Realität.

In den vergangenen Monaten ließen mehrere Hacker-Angriffe mit Erpressungs-Software den Lauf der Welt merklich ruckeln. Massiv betroffen waren nicht nur Krisenländer wie die Ukraine, sondern auch globale Firmen wie der weltweit größte Containerspediteur Maersk. Ähnliche Angriffsmöglichkeiten entdeckten Forscher von IBM bei "Smart Citys", die ihre Infrastruktur mit dem Internet verbunden haben. Zunehmend sind auch Autos mit eigenen IP-Adressen über lange Zeit online. Tesla ist nicht mehr der einzige Autohersteller, der sich regelmäßig mit ferngesteuerten Angriffen über die Funkschnittstelle konfrontiert sieht.

Das autonome Fahren ist längst da

mehr...

Auf der Hacker-Konferenz Defcon in Las Vegas hat der Tesla-Chef die potenziellen Angreifer hofiert: "Danke für die Unterstützung, Tesla & SpaceX sicherer zu machen", twitterte Elon Musk in der vergangenen Woche. Gleichzeitig wiederholte der Visionär seine Warnung vor Amok-fahrenden Roboterautos: "Ich denke, eines der größten Probleme für autonome Fahrzeuge ist jemand, dem ein flottenweiter Hacker-Angriff gelingt." Um die traditionell guten Kontakte mit dem konstruktiven Teil der Hackerszene auszubauen, soll Teslas Sicherheits-Software künftig als Open-Source-Software frei verfügbar sein. Außerdem wird das Belohnungsprogramm für das Aufdecken von Sicherheitslücken ausgebaut. Hackern, die auf der Suche nach Sicherheitslücken ihr Auto lädiert haben, verspricht Musk zudem eine Unterstützung bei den Reparaturkosten.

Mit dieser Charme-Offensive verstößt Elon Musk wieder einmal gegen die ungeschriebenen Gesetze der Autoindustrie. Seine öffentliche Umarmung von Leuten, die auf Sicherheitslücken aufmerksam machen, ist ein Tabu, weil es solche Lücken in der Kommunikation der meisten Autohersteller gar nicht gibt. Während diese Art von Bedrohungen in der IT-Branche zum alltäglichen Geschäft gehört, gilt bei den meisten Blechbiegern noch immer der "Security by Obscurity"-Grundsatz. "Sicherheit hat man, über sie spricht man nicht", ließe sich diese Strategie wohlwollend übersetzen: Solange bestimmte Sicherheitsdetails nicht an die Öffentlichkeit gelangen, sei das System sicher.

Tausende Autos gleichzeitig könnten zum Ziel werden

Intransparenz als Schutzstrategie funktioniert in Zeiten zunehmender Vernetzung aber nicht mehr. Gerne preisen Autohersteller ihre Fahrzeuge als rollende Computer an. Doch die Elektronikarchitekturen sind viel zu altmodisch, um diesen Vergleich zu rechtfertigen: Mehr als hundert verstreute Steuergeräte im Auto arbeiten bisher mit ihrer eigenen Software. Die Rechner-Hardware ist also mit bestimmten Funktionen wie der Motorsteuerung fest verbunden. "Diese Koppelung von einer Hardware mit einer Funktion entfällt künftig", erklärt Werner Köstler, Leiter Strategie Division Interior bei Continental: "Neue Domänen- oder Server-basierte Elektronikarchitekturen stellen eine einheitliche Rechenplattform zur Verfügung". VW hat angekündigt, seine I.D-Elektrofahrzeuge mit solchen Zentralrechnern auszustatten. Damit lassen sich viele Funktionen erstmals per Luftschnittstelle aktualisieren und damit besser gegen Hacker-Angriffe schützen.

"Bisher haben alle Angriffsziele im Auto eines gemeinsam: Der Angreifer muss sich im oder zumindest in der Nähe des Fahrzeugs befinden", so Koestler. Feindliche Software wurde über den USB-Port, das Multimedia-Equipment, SD-Karten, CDs oder die Diagnose-Schnittstelle OBD ins Fahrzeug geschleust. Dabei musste jedes Fahrzeug einzeln angegriffen werden, der Aufwand lohnte sich meist nur für akademische Whitehat-Hacker, die ihren Marktwert steigern wollten. "Durch die Vernetzung des Fahrzeugs ist das Bedrohungspotenzial jetzt drastisch angestiegen. Über die Telematik-Einheit, über WLan-Hotspots im Fahrzeug und über die Vehicle-to-infrastructure-Kommunikation sind drei neue Angriffsvarianten von jedem Punkt der Welt aus möglich", warnt Koestler, "das ist eine echte Trendwende, gerade weil Tausende von Autos gleichzeitig zum Ziel werden können."

Noch gibt es keinen sechsten EuroNcap-Stern für Cyber Security. Spätestens bei hoch automatisierten Fahrzeugen, die zeitweise komplett von einem Computer gesteuert werden, wird das Vertrauen in die Software-Sicherheit aber zur Leitwährung. Bei Smartphones entscheiden sich schon heute viele Konsumenten gegen Android-Produkte, weil sie die Bedrohung durch Tausende von Schadprogrammen ernst nehmen. Diese Transparenz fehlt in der Autoindustrie. Aus Angst, zur Zielscheibe zu werden, will auch Audi-Elektronikchef Thomas Müller nicht über einen jetzt bekannt gewordenen Hackerangriff auf das Infotainment-System der Ingolstädter reden. Holländischen Profis war es im Juli 2017 gelungen, über die Wifi-Schnittstelle in die Komponenten des Zulieferers Harman einzudringen. Die Hacker konnten auf das Adressbuch zugreifen und Telefonate mithören.