Die traditionsbewusste Automobilbranche stellt die Transformation vom Auto zum „rollenden Computer“ vor ganz neue Herausforderungen: So sieht sie sich nicht nur mit einem starken Wettbewerb konfrontiert, sondern muss auch in Sachen IT-Sicherheit neue Konzepte und Standards einführen. Denn dass vernetzte Fahrzeuge auch immense Risiken bergen, zeigt sich spätestens immer dann, wenn Sicherheitslücken und Hacker ins Spiel kommen. Vor allem im letzten Jahr bestimmten Schlagzeilen über spektakuläre Angriffe von Car-Hackern und gefährliche Manipulationen an unseren Autos die Nachrichten – von der potenziell lebensgefährlichen Fernsteuerung eines Jeeps bis zum Airbag-Hack. Auch wenn diese Hacks allesamt kontrolliert durchgeführt wurden und nicht von realen Cyberkriminellen, so zeigten sich doch in verschiedensten Modellen unterschiedlicher Hersteller signifikante Sicherheitslücken.

Vielfältige Angriffsmöglichkeiten
In einem modernen Fahrzeug sind bereits heute bis zu 100 Mikrocomputer verbaut, die unter anderem Lenkung, Bremsen oder Triebwerksbeschleunigung steuern. Hinzu kommen Infotainment-Systeme und Wi-Fi-Netzwerke für die GPS-Navigation sowie mobile Smartphone-Apps, die mit dem Auto kommunizieren. Cyberkriminellen bieten sich also viele Angriffspunkte, über die sie sich Zugriff zur Software eines Fahrzeugs verschaffen können. Dabei lassen sich grob zwei Angriffsszenarien unterscheiden: Physische Angriffe, bei denen sich der Hacker zunächst Zugang zum Fahrzeug verschafft und direkt am Auto manipulieren kann, z.B. mittels Code-Injection-Techniken, sowie Angriffe aus der Ferne, sogenannte Remote-Angriffe. Hier können Hacker Malware z.B. über Navigationssysteme, mit Bluetooth oder USB verbundenen Devices, SMS-Schnittstellen oder über manipulierte Smartphone-Apps einschleusen und weitere Fahrzeug-Anwendungen infizieren. Bereits vor knapp einem Jahr demonstrierte der Sicherheitsforscher Samy Kamkar, wie er über eine Sicherheitslücke in der beliebten OnStar-App von GM Fahrzeugfunktionen manipulieren kann. Nachdem es ihm gelungen war, sich zwischen die App und den Server des Unternehmens zu schleusen, erlangte er Zugriff auf alle App-Funktionen und konnte anschließend Autotüren fremder Wagen öffnen und sogar den Motor starten. Autodiebstahl 2.0 eben.

Die im Auto verbauten Systeme wandeln sich zudem zunehmend weg von Mikrocontrollern hin zu Mehrprozessorarchitekturen von ARM und Intel mit komplexeren Betriebssystemen, wie wir sie von PCs und mobilen Geräten her kennen. Typische Beispiele sind die in der Head-Unit und der Mittelkonsole verbauten Systeme. Damit werden die bereits zahlreich bekannten Angriffe auch auf diesen Systemen möglich. Hinzu kommt, dass OEMs oder auch die Zulieferindustrie die Software nicht gänzlich selbst schreiben, sondern einen Drittmarkt eröffnen. Sie verteilen Software Development Kits (SDK), um attraktive und bekannte Software auf ihre Plattformen zu bekommen. Und auch diese SDKs bieten potenzielle Angriffsmöglichkeiten.

Sicherheitsbewusstsein auf Seiten der Nutzer – Sicherheitsstandards auf Seiten  der Hersteller
Um Szenarien wie diese zukünftig verhindern zu können, bedarf es gezielter Aufklärungsarbeit, gesteigertem Sicherheitsbewusstsein und moderner Sicherheitstechnologien auf jeder Ebene der Fahrzeug-Technik.  Wie groß die Unwissenheit vieler Autofahrer in Sachen Car-IT ist, zeigt auch die Studie von BearingPoint und TNS. Demnach sind sich 39 Prozent der der Autobesitzer nicht einmal darüber bewusst, dass vernetzte Funktionen in ihren Fahrzeugen vorhanden sind. Und auch auf Seiten der Händler werden Fehler gemacht: So gaben nur 40 Prozent aller Befragten an, über die technischen Funktionen ihres Autos ausreichend informiert worden zu sein. Viele monierten zudem die fehlenden Kenntnisse der Händler in Bezug auf vernetzte Funktionen. Ein großes Risiko, denn nur wer gut über die im Fahrzeug eingebetteten Anwendungen informiert ist, wird auch verfügbare Softwareupdates regelmäßig herunterladen, was im Falle entdeckter Sicherheitslücken unabdingbar ist. Autohersteller müssen ferner darauf achten, dass Softwareaktualisierungen auch jenseits der Werkstatt einfach via Mobilfunknetz ins System überspielt werden können. Denn je geringer der Aufwand für ein Update ist, desto wahrscheinlicher ist es, dass der Fahrzeugnutzer dieses auch zeitnah installiert. Natürlich sind auch hier höchste Sicherheitsmaßnahmen notwendig, damit die Mobilfunkverbindung  keine neue Risikoquelle eröffnet.

Aber auch auf Seiten der Softwareentwickler müssen neue Sicherheitsstandards etabliert werden. Jegliche im Fahrzeug eingebettete Software sowie alle mobilen Apps, die mit dem Auto interagieren müssen mit wirksamen Härtungs-Technologien ausgestattete sein, die den Binärcode der Anwendungen vor jeglichen Manipulationen schützt und das Einschleusen von Malware verhindern. Zudem gilt es sicherzustellen, dass die Anwendungen ausschließlich mit den „richtigen“ Servern kommunizieren.

Wie wahrscheinlich ist ein Angriff auf mein Auto?
So beunruhigt mancher Autofahrer bei all den Schlagzeilen rund um gehackte Autos auch sein mag, bisher haben Cyberkriminelle kein wirkliches Interesse an Autos und ihren Unterhaltungssystemen gezeigt. So hat es bisher keinen öffentlichen Fall eines durch einen Hackerangriff verursachten Unfalls gegeben. Dass Connected Cars noch nicht im Hauptfokus der Hacker liegen, dürfte vor allem dem Mangel finanzieller Anreize geschuldet sein. Das Hacken von PCs und Mobilgeräten, die jede Menge wertvolle Banking- und Kredtitkartendaten enthalten, aber auch Cyber-Angriffe auf vernetzte Industrieanlagen sind deutlich profitabler. Wenngleich auch Fahrzeug-Software eine Reihe von Betrugsmöglichkeiten mit finanziellen Vorteilen bereithält. So entsteht laut einer Untersuchung des ADAC durch manipulierte Tachos jährlich ein Schaden von rund sechs Milliarden Euro. Private Gebrauchtwagenkäufer bezahlten für derart manipulierte Autos im Schnitt 3000 Euro zu viel. Aber auch Ideen wie automatisches Zahlen an Tank- und Elektroladestellen, über die heute bereits nachgedacht wird, dürften das Hackerherz erfreuen. Aus Sicht der Security ergeben sich hier dann dieselben Herausforderungen wie beim mobilen Bezahlen mit Handy und Co.

Ausschließen lassen sich Hackerangriffe auf Fahrzeuge in Zukunft selbstverständlich nicht, wobei wir uns eher vor Datenklau und illegalen Überwachungen fürchten sollten als vor Manipulationen von Bremse und Co. Auch dürften Dienstwägen und Fahrzeugflotten von Unternehmen gefährdeter sein als Privat-Autos.

Die Zukunft fährt autonom
Noch hat die Digitalisierung und Vernetzung unserer Mobilität ihren Höhepunkt nicht erreicht, denn die Zukunft gehört dem autonomen Fahren. Fahrerlose Autos oder LKWs sollen in den kommenden Jahren nicht nur Komfort und Effizienz erhöhen, sondern vor allem für mehr Sicherheit im Straßenverkehr sorgen. Damit dieser Ansatz aber letztlich aufgeht und die gewollte Sicherheit nicht mehr Unsicherheiten mit sich bringt, müssen Automobilhersteller und Technologie-Unternehmen reichlich in den Schutz unserer Car-IT und die dazugehörige die Aufklärungsarbeit investieren.