Vernetzte Fahrzeuge: Auf der Straße lauern künftig neue Sicherheitsrisiken

Fortschritte in der vernetzten Fahrzeugtechnologie werden die Zukunft des Fahrens für alle radikal verändern. Die Vorteile, die man sich davon verspricht, sind unter anderem die Fähigkeit der Autos, voneinander zu „lernen“, früh vor mechanischen Problemen zu warnen und mit anderen Geräten aus der Ferne zu interagieren. Für Versicherungen könnte auch die Erstellung eines akkuraten Risikoprofils von jedem Fahrer möglich sein, was für einige zu reduzierten Prämien führen dürfte. Eine Vernetzung der Fahrzeuge könnte Fahrzeughersteller möglicherweise in die Lage versetzen, ihre Zielkunden individuell mit Software-Updates anzusprechen, welche deren persönlichen Vorstellungen gerecht werden.

Allerdings bringen diese technologischen Fortschritte auch neue Risiken für die Sicherheit im Straßenverkehr mit. Nur wenige Menschen begreifen, dass eine Fahrzeugausstattung mit Internetverbindung die Autos in einen „Browser auf Rädern“ verwandelt. Ein Fehlen geeigneter Sicherheitsmaßnahmen eröffnet die unerfreuliche Aussicht darauf, dass die Kommunikation abgehört werden könnte. Sollte dies passieren, so dauert es nicht mehr lange, bis böswillige Hacker aus der Ferne mit der Modifikation der Software in den Fahrzeugen beginnen.

Anfangsprobleme mit vernetzten Fahrzeugen haben bereits Schlagzeilen gemacht. Im vergangenen Jahr versäumte BMW die Verschlüsselung seines ConnectedDrive-Systems nach HTTPS-Standard. Die Fahrzeuge waren daraufhin angreifbar durch Man-in-the-Middle-Attacken. Des Weiteren gibt es Bedenken hinsichtlich Fords Plan zur Vernetzung von Fahrzeugen mit Heimgeräten via Amazon Echo und Wink. Dadurch könnten diese Geräte anfällig für bösartige Angriffe über bekannte Schwachstellen in smarten Haushaltsgeräten, beispielsweise Fernsehgeräten oder Thermostaten, werden.

Noch besorgniserregender ist die Tatsache, dass derzeit alle digitalgesteuerten Komponenten in Fahrzeugen miteinander vernetzt sind. Das bedeutet im Endeffekt, dass sich sicherheitskritische Features der Fahrzeuge – wie etwa die Software zur Steuerung der Airbags oder des Motormanagements – im selben Netzwerk befinden wie die Software für die Unterhaltungselektronik im Auto. Theoretisch könnte nichts einen Hacker davon abhalten, auf ein Entertainment-System zuzugreifen und dann von dort auf andere Features überzuspringen, um bösartige Befehle an den Motor, die Bremsen oder die Steuerung zu senden.

Aktivisten – wie Senator Ed Markey in seinem detaillierten Bericht über vernetzte Fahrzeuge – beginnen, Bewusstsein für dieses Problem zu generieren. Bisher ist jedoch das Thema Sicherheit noch nicht in die Industrienorm ISO 26262, die das Software-Design im Automobilbereich regelt, aufgenommen worden. Daher können wir nicht erwarten, dass Sicherheitsfragen rund um vernetzte Fahrzeuge in Kürze gelöst sein werden.

Als Reaktion darauf haben sich einige der größeren Hersteller an die allgemeine Öffentlichkeit gewandt und diese gebeten, als „Prüfstand“ zu fungieren. GM beispielsweise hat ein Bug-Bounty-Programm eingeführt. Mittels öffentlichem Crowdsourcing sollen damit Schwachstellen in den zunehmend komplexen Cybersystemen der vernetzten Fahrzeuge gemeldet werden.

Eine todsichere Möglichkeit zur Sicherung von Verbindungen ist die Verwendung von VPNs. Drei Bereiche sollten bei der Verwendung eines VPNs in einer vernetzten Fahrzeugumgebung berücksichtigt werden:

• Verbindungen: Es sollte festgelegt werden, ob die Anwendung bei Bedarf oder ständig Zugriff erfordert und ob Kommandozeilen- oder API-Steuerung benötigt wird.
• Authentifikation: Sichere Authentifikation kann mittels Netzwerkzertifizierung von Software/Hardware erreicht werden.
• Zentrales Management: Jedes mit dem Internet verbundene Gerät sollte zur Installation von Software-Patches/Updates, zur Skalierung der VPN-Vernetzung und für das Authentifikationsmanagement zentral konfiguriert werden können.

Während Fahrzeuge immer mehr in größere Netzwerke von vernetzten Geräten integriert werden – jedes mit stark variierenden Sicherheitslevels – laufen Fahrzeughersteller unwissentlich Gefahr, ihre neuesten Modelle einem verwirrenden Netz von Schwachstellen auszusetzen. Die einzige Lösung für Automobilhersteller besteht darin, überall auf die Einführung eines allgemeinen „goldenen Standards“ für Software-Design hinzuarbeiten. Dieser sollte die Best Practices der Sicherheitsbranche weltweit einbeziehen. Zusätzlich ist die Einführung von Secure Connectivity – wie etwa VPNs – für die gesamte Versorgungskette im Bereich Automotive Software sowie für alle Drittanbieteranwendungen und -geräte, die sich mit ihren Fahrzeugen verbinden wollen, schnellstmöglich erforderlich.