Noch bevor es selbstfahrende Autos gibt, geht die Angst vor Sicherheitslücken um. Je vernetzter die Fahrzeuge werden, desto vielfältiger sind die Angriffsmöglichkeiten. "Cyber-Sicherheit zählt zu den wichtigsten strategischen Feldern in der Automobilindustrie", sagt Helmut Matschi, Mitglied des Continental-Vorstands. Gerade haben die Hannoveraner Argus Cyber Securtiy übernommen. Das Start-up wurde 2013 von israelischen Ex-Militärs gegründet. Von Tel Aviv aus haben sich die mittlerweile 70 Spezialisten einen Namen gemacht - auch mit Hacker-Angriffen in der Autobranche.
War es Zufall, dass Bosch attackiert wurde? Ausgerechnet der weltgrößte Automobilzulieferer, der über eine Tochterfirma für Datensicherheit verfügt? Eines seiner vernetzten Produkte wurde Anfang des Jahres von Argus geknackt: Bosch bietet einen nachrüstbaren Stecker (englisch: Dongle) für Internet-Services unter dem Namen Drivelog Connect an. Dieser Sender in der Diagnoseschnittstelle (OBD II) wurde zum Einfallstor für den feindlichen Hackerangriff.
Das wäre wohl nur eine Fußnote der Autogeschichte. Statt Schaden anzurichten, nahm Argus am 20. Februar 2017 Kontakt mit Bosch auf, um die Schwaben auf die Sicherheitslücke hinzuweisen. Erst als der Fehler behoben war, machten die Israelis den Fall unter Fachleuten publik. Allerdings bekam das Wall Street Journal Wind von der Sache und veröffentlichte am 13. April einen Bericht. Der Angriff wurde offenbar gezielt als PR-Aktion genutzt, um das Renommee von Argus zu steigern. Es ist durchaus üblich, dass clevere Hacker zeigen, dass sie die Sicherungssysteme überlisten können. Dieses "White-Hat"-Hacking sucht nach Schwachstellen in der Bordelektronik, bevor die dunkle Seite sie findet. Doch die Grenzen zwischen Weiß und Schwarz verschwimmen mitunter.
Angriff auf den Marktführer
Pikant an der ganzen Geschichte: Kurz vor der Hackerattacke gegen Bosch ging Argus eine Kooperation mit Elektrobit ein. Die Software-Tochter von Continental will eine umfassende Schutzlösung für autonome Autos entwickeln. Bosch hatte schon vor fünf Jahren mit Escrypt einen Spezialisten für Sicherheitslösungen im Auto-Bordnetz gekauft. Anfang dieses Jahres folgte die Übernahme von Trust Point Innovation Technologies: "Damit stärken wir unsere führende Position im Bereich der Automotive Cyber Security weltweit", so Escrypt-Geschäftsführer Thomas Wollinger. Genau diesen Marktführer hat Argus mit seinem Hackerangriff öffentlich vorgeführt.
In James-Bond-Manier kappten die Israelis während der Fahrt die Benzinzufuhr. Ein unter dem Auto befestigtes Smartphone diente dafür als Funkschnittstelle. "Der Eingriff in das manipulierte Fahrzeug ist nicht skalierungsfähig, sondern würde in jedem einzelnen Fall einen hohen individuellen Aufwand erfordern", wiegelt eine Bosch-Sprecherin ab, "es bestand zu keiner Zeit ein Sicherheitsrisiko für Autofahrer." Viel Mühe, wenig Schaden: Trotzdem verrät der Fall einiges über die Zukunft. Anders als beim VW-Abgas-Skandal dauerte es nur wenige Tage, um die lückenhafte Software der Drivelog Dongle zu überspielen.
Künftig wollen Autohersteller allen Kunden (Sicherheits-)Updates schnell und vor allem gleichzeitig zur Verfügung stellen. Voraussetzungen sind eine breitbandige Luftschnittstelle im Auto und neue Schutzmechanismen im Bordnetz. Dazu gehört eine Form von Selbstdiagnose, die Schad-Software automatisch erkennt und an eine zentrale Feldüberwachung meldet. Bosch hat mit seiner schnellen Eingreifgruppe unter dem Namen Product Security Incident Response Team (PSIRT) gezeigt, dass sie das Problem umgehend und ohne Zutun der Nutzer beheben können.