Connected Car stilisierte Darstellung

Fahrende Computer: Cyber Security in vernetzten Autos

Moderne Autos sind zunehmend vernetzt und bieten dadurch komfortable Vorteile für den Kunden. Zugleich vergrößert diese Vernetzung jedoch die Angriffsfläche für Cyberkriminelle. Die Vorstellung, das Auto könnte plötzlich von Fremden kontrolliert und gesteuert werden, verunsichert viele Endnutzer. Doch wie groß ist die Gefahr wirklich und welche Sicherheitsmaßnahmen können und müssen Automobilhersteller ergreifen?



Vernetzte Fahrzeuge erobern den Markt

Vernetzte Autos sind keine ferne Zukunftsvision, sondern bereits in einer Vielzahl auf den Straßen unterwegs – Tendenz steigend. Ein moderndes Fahrzeug verfügt bereits jetzt über rund 130 Millionen Zeilen Programmiercode. Zum Vergleich: Das Betriebssystem Windows 10 besteht aus 55 Millionen Zeilen Code. Und das Marktforschungsinstitut Juniper Research prognostiziert, dass bereits 2023 weltweit 775 Millionen vernetzte Fahrzeuge auf den Straßen unterwegs sein könnten.

Diese Entwicklung überrascht nicht: Das vernetzte Auto bietet dem Kunden einen hohen Komfortgewinn. Ob die Echtzeitanzeige von Unfällen und Staus, die Anzeige von freien Parkplätzen in der Umgebung oder komfortable Infotainment-Systeme – das Auto wird zum hilfreichen und „quasi selbstständigen“ Assistenten. Laut einer Umfrage des ADAC sind den Deutschen bei Connected Cars folgende drei Punkte am wichtigsten:

  1. Echtzeit-Verkehrsinformationen und Routenempfehlungen basierend auf dem Fahrzeugstandort
  2. Im Pannenfall direkte Verbindung zum Pannendienst bzw. Werkstatt inkl. Übermittlung von Standort- und Fahrzeugdaten
  3. Staufolge- und Autoassistent (z.B. selbstständiges Abbremsen und Anfahren des Fahrzeugs im stockenden Verkehr sowie Geschwindigkeitsregelung)

Demnach steht vor allem der praktische Nutzen der technischen Unterstützung im Vordergrund. Was dem Kunden jedoch diesen Komfortgewinn bietet, ist ein potenzielles Einfallstor für Cyberkriminelle.



Die Gefahr der Vernetzung: Datenschutz und Privatsphäre in Connected Cars

In ein paar Jahren dürfte jeder Neuwagen weltweit einen Internetzugang haben. Diese zunehmende Vernetzung der Autos vergrößert die Angriffsfläche für die Fahrzeugelektronik. Wo vor einigen Jahren für eine Cyberattacke auf das Auto noch ein physischer Zugriff nötig war, können vernetzte Autos theoretisch von überall angegriffen werden. Jede Schnittstelle, ob physikalisch (CD-Spieler, USB-Port etc.), per Funk (WLAN, Bluetooth etc.) oder über die Software (Apps, Firmware, Cloud-Technologie etc.) kann zum potenziellen Einfallstor für Cyberkriminelle werden. 

Das moderne Auto kommuniziert beispielsweise mit Smartphones, anderen Fahrzeugen und Smart-City-Diensten und speichert Routen sowie Standorte von Wohnungen, Geschäften oder Büros. Diese sensiblen und zum Teil persönlichen Daten machen Autos zu einem lohnenden Ziel für Cyberkriminelle. Sicherheitslücken können ausgenutzt werden, um Daten zu sammeln und ggf. weiterzuverkaufen oder mit dem Zugriff und evtl. unter Androhung der Manipulation hohe Lösegelder zu erpressen. Vor allem das Lahmlegen ganzer Fahrzeugflotten bietet erhebliches Erpressungspotenzial.



Wenn Hacker die Kontrolle übernehmen – Bestätigte Fälle

Die Gefahr durch Cyberangriffe ist dabei kein unrealistisches Science-Fiction-Szenario. Upstream Security, ein israelischer Software-Anbieter für Automotive Cyber Security, hat im letzten Jahr 100 gelungene Hackerangriffe im Automobilbereich gezählt – acht Jahre zuvor waren es ganze vier Angriffe. Dieser Anstieg zeigt: Cyberkriminelle erkennen lohnenswerte Angriffsmöglichkeiten im Automobilbereich.

In einem aufsehenerregenden Experiment vor fünf Jahren übernahmen die zwei Informatiker Charlie Miller und Chris Valasek die Kontrolle über einen Jeep, in dem der Journalist Andy Greenberg auf dem Highway unterwegs war. Sie schalteten die Klimaanlage an, drehten das Radio auf und sorgten dafür, dass der Journalist kein Gas mehr geben konnte. Zu der Zeit steckte das Thema der Connected Cars noch in den Kinderschuhen.

Solche öffentlichkeitswirksamen Fälle und die bestehende Gefahr durch Hackerangriffe sorgen dafür, dass das Thema Cyber Security für Automobilhersteller zum Pflichtthema wird. OEMs müssen Schutzmaßnahmen gegen diese Form der Bedrohung ergreifen und investieren dementsprechend zunehmend in diesem Bereich.



Die Aufgabe der Hersteller: Sicherheit für vernetzte Fahrzeuge über den gesamten Lebenszyklus

Bei der Cyber Security in Connected Cars gibt es zwei große Herausforderungen. Die erste besteht in der Komplexität der Produkte und ihrer Lieferketten. Die Vielzahl der Kommunikationsvorgänge, in die Autos heute und in Zukunft eingebunden sind und die Inhomogenität der Modelle und Konfigurationen machen die Sicherung dieser Prozesse komplex. 

Zweitens muss die Security den gesamten Lebenszyklus des Produkts abdecken. Jedes einzelne Gerät muss sicher sein und das über die gesamte Lebensdauer. Cyber Security wird so zu einer Daueraufgabe, die nicht mit der Übergabe des Fahrzeugs an den Kunden beendet ist. Auch Gebrauchtwagen, Umbau von Teilen sowie Verschrottung müssen gesichert werden. 

Automobilkonzerne müssen das Thema somit ganzheitlich angehen. Die Sicherheitsmaßnahmen müssen sowohl das Fahrzeug selbst als auch die Funkverbindungen, das Backend im Rechenzentrum und die Sicherheit bei Zulieferern umfassen. Für letztere setzt sich immer mehr das TISAX-Zertifikat als Standard durch, das wir in unserem Blogartikel „IT- und Informationssicherheit in der Automobilbranche“ näher erläutert haben. Für die Zertifizierung aufseiten der Hersteller sind derzeit neue Sicherheitsnormen in Arbeit.



Rechtliche Situation: neue Sicherheitsnormen in Arbeit

Grundsätzlich müssen OEMs für die Security als Grundlagenanforderung sowohl nationale als auch internationale Regelungen berücksichtigen. Zum Teil treten sogar regionale Bestimmungen hinzu, wie beispielsweise das Gesetz zur „Security of Connected Devices“ in Kalifornien. Daraus wird bereits deutlich, dass es bislang an klaren Vorgaben fehlt.

Die ISO/SAE 21434 „Road vehicles – Cybersecurity engineering” soll diese Lücke schließen. Mit dieser Norm wird derzeit ein neuer Standard entwickelt, dessen Veröffentlichung für November 2020 geplant ist. Bestandteil dieser neuen ISO-Zertifizierung wird sein, dass Automobilhersteller zukünftig ein CSMS (Cyber Security Management System) einführen und nachweisen müssen. Eine derzeit erarbeitete EU-Regelung schlägt eine CSMS-Zertifizierung als verpflichtend für die Typzulassung von Fahrzeugen vor.

Das CSMS – ähnlich wie das bestehende ISMS (Information Security Management System) – sieht vor, dass Hersteller Sicherheitsmaßnahmen planen und einführen, Managementprozesse etablieren und auch für angeschlossene Systeme und Anwendungen Sicherheitsvorkehrungen treffen müssen. Im CSMS werden ebenso Angriffserkennung sowie Incident- und Response-Prozesse definiert werden müssen. Das CSMS soll somit sicherstellen, dass Cyber Security im gesamten Prozess, von der Entwicklung über die Fertigung und Auslieferung bis hin zur Wartung und letztendlich Verschrottung gewährleistet werden kann.



Automotive Cyber Security – Produktiver Austausch auf der 18. hybriden escar – Embedded Security in Cars Konferenz 

Es wird deutlich, dass das Thema Cyber Security in vernetzten Autos einen ganzheitlichen Ansatz erfordert. Zu dieser Thematik findet im November wieder die escar Konferenz, die weltweit füh-rende Konferenz zum Thema „Automotive Cyber Security“, statt. In diesem Jahr zum ersten Mal als hybride Veranstaltung – unterstützt durch eine virtuelle Event App. Die Konferenz bietet Informationsaustausch und Netzwerkausbau zwischen Wirtschaft, Wissenschaft und Politik, begleitet durch State of the Art Expertenvorträge. Workshops vor Ort und virtuell vermitteln darüber hinaus praxisnahes Wissen. Hier können Sie sich den Rückblick auf die escar Konferenz 2019 durchlesen.


Die escar – Embedded Security in Cars findet in diesem Jahr bereits zum 18. Mal statt. Alle Informationen zu Programm & Sprechern finden Sie auf der Konferenz-Seite europe.escar.info, wo Sie sich auch anmelden können.

Wir freuen uns auf den Austausch mit Ihnen zu diesem vielseitigen und wichtigen Thema!




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security