Fahrzeug-Sicherheit erhält einen neuen Aspekt. Dass moderne Autos, LKWs und andere Fahrzeuge mit Elektronik vollgestopft sind, ist nichts neues. Die Entwicklung hat damit aber lange nicht aufgehört: Der aktuelle Trend geht hin zu untereinander und mit dem Internet vernetzten Automobilen, besonders bei autonomen Fahrzeugen.
Das stellt die Automobilhersteller vor eine neue Herausforderung, denn dadurch werden die Fahrzeuge aus dem Internet angreifbar. Was für Folgen das haben könnte, demonstrierte ein Sicherheitsexperte der Bosch-Tochterfirma Escrypt auf dem VDI-Kongress ELIV in Bonn. Sein Vortrag zeigte auf, dass mit Tools aus dem Darknet eine Ransomware programmiert werden kann, die Fahrzeuge oder ganze Fahrzeugflotten lahmlegt und erst nach Zahlung eines Lösegelds wieder freigibt. In “freier Wildbahn” gab es solch einen Angriff zwar bisher noch nicht, doch das Szenario ist realistisch.
Nutzungsdauer als Herausforderung
Die Sicherheit von Fahrzeugsoftware unterscheidet sich dabei in einem Aspekt besonders von der von Computern oder Smartphones: Die durchschnittliche Lebensdauer eines Fahrzeugs liegt um ein vielfaches höher, mitunter bei 20 Jahren oder mehr. Golem.de schreibt dazu: “Die Autos dürfen zwar durchrosten, sollen sich aber bis zu ihrer Verschrottung nicht hacken lassen.” Die zunehmende Standardisierung der Technik macht Angriffe außerdem skalierbar: So kann mit einem Angriff nicht nur ein einzelnes Modell getroffen werden, sondern diverse verschiedene.
Die Fülle der Bedrohungen und möglichen Angriffe in Kombination mit der langen Lebensdauer macht aus dem Fahrzeug-Sicherheitskonzept der Zukunft eine große Herausforderung. Die IT-Sicherheit, so der Vortrag, müsse schon bei der Fahrzeutentwicklung beginnen, zu den grundsätzlichen Maßnahmen gehört das Management kryptographischer Schlüssel, sichere Kommunikation, das Erkennen von Angriffen oder die Trennung von Online- und Mobilitätsfunktionen.
Doch selbst bei guter Vorsorge gegen Angriffe müssen sich die Hersteller für den Fall wappnen, dass eine Schwachstellen in einem oder mehreren Modellen gefunden und ausgenutzt wird. Wie bei einem modernen Betriebssystem muss es dann möglich sein, die Software zu patchen und die Schwachstelle somit zu beseitigen. Da auch diese Updates einen möglichen Angriffsweg darstellen können, müssen sie besonders sorgfältig abgesichert werden, denn manipulierte Software kann für den Fahrzeughalter im schlimmsten Fall lebensgefährlich sein. Außerdem müssen Updatekonzepte besonders langfristig angelegt sein, selbst die Obsoleszenz von kryptographischen Standard-Verfahren muss bei einem so langen Nutzungszeitraum einberechnet werden.
Gemeinsame Anstrengungen für Sicherheit
Sollte die Automobilindustrie selbst nicht in der Lage sein, sich auf Standards zu einigen, werden staatliche Organisationen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese erstellen müssen. Bislang setzt die Automobilindustrie aber darauf, diese Arbeit in ihren eigenen Gremien zu erledigen. Dem Vortrag des Escrypt-Experten zufolge haben die Hersteller ein gemeinsames Interesse an der Sicherheit, da der Hack eines Herstellers die <a href=”https://www.isw-online.de/kompetenzen/it-security/“>Sicherheit</a> aller in Zweifel ziehen würde – es würde also die ganze Branche darunter leiden.
Es bleibt zu hoffen, dass die Automobilhersteller ihre Absichten in der Absicherung der Fahrzeuge umsetzen – dieses Vorhaben dürfte einige Anstrengungen mit sich bringen.
