Moderne Automobile ähneln immer mehr fahrenden Großrechnern. Es sind Supercomputer, die Millionen von Codezeilen enthalten und riesige Datenmengen verarbeiten können. Zugleich steigt der digitale Vernetzungsgrad der Fahrzeuge — und damit die Verwundbarkeit gegenüber Cyberangriffen.
Mehr als die Hälfte der weltweit verkauften Autos verfügte 2020 über eine serienmäßige Internetverbindung — für die Automobilindustrie ein ganz wichtiger Meilenstein. Neuwagen integrieren mittlerweile unterschiedlichste Mobilgeräte oder Apps und vernetzen sich standardmäßig mit der Hersteller-Cloud. Verschiedene Assistenzsysteme sollen die Mobilität sicherer und komfortabler gestalten. Gesetzlich verpflichtende Notrufsysteme erfordern einen breiten Datenaustausch zwischen Autos und der Verkehrsinfrastruktur.
Infotainment-Systeme mit Nachrichten- oder Wetter-Portalen, Web-Radio-Sendern und zur Einbindung sozialer Netzwerke schieben die Digitalisierung moderner Fahrzeuge weiter an. Neben genügend Pferdestärken unter der Motorhaube kommt es Autobesitzern immer häufiger auf den Grad der Digitalisierung ihres Neuwagens an. Das Datenvolumen im Straßenverkehr steigt in dem Maße, wie das Fahrerlebnis verbessert und neue Kundenbedürfnisse bedient werden. Diese Hyperkonnektivität birgt jedoch erhebliche Risiken. Auf dem Weg in die digitale Pkw-Zukunft verschiebt sich die Fahrzeugsicherheit von der Straße auf die digitale Autobahn.
(Vernetzter) Autodiebstahl. Anfang des Jahres schaffte es ein 19-Jähriger aus Dinkelsbühl, insgesamt 25 Teslas in 13 Ländern zu hacken und Zugang zu Fenstern, Musik, Licht und dem Sicherheitssystem Sentry Mode zu bekommen. Die Autos ließen sich per Fernzugriff ohne Schlüssel starten. Aktuelle Untersuchungen des ADAC bei über 500 Autos zeigen, dass es sich dabei um ein häufig anzutreffendes Risikoszenario handelt. Statistisch gesehen werden in Deutschland jeden Tag 29 Autos geklaut. Automobile mit Keyless-Komfort-Schließsystem sind deutlich leichter zu stehlen als Fahrzeuge mit normalem Funkschlüssel. Nur fünf Prozent der überprüften Autos waren gegen Angriffe geschützt und damit sicher vor dieser Art von Diebstahl.
Hacks der IT-Sicherheitssysteme von vernetzten Autos nehmen auch deshalb zu, weil die erforderliche Einbruchstechnologie in der Anschaffung nicht teuer ist. So konnten Kriminelle mehrere Autos in England stehlen, indem sie sich einfach mit einem manipulierten Nintendo Game Boy unbefugten Zugang verschafften. Die britische Polizei brachte sie in Verbindung mit fünf unterschiedlichen Diebstählen von Fahrzeugen im Wert von rund 210.000 Euro. Der zweckentfremdete Einsatz günstiger Spiele-Gadgets dokumentiert anschaulich, wie leicht sich fast jedes vernetzte Auto kompromittieren lässt.
Verletzungen beim Datenschutz. Unabhängig von allen Sicherheits- und Datenschutzfragen rollt die fahrzeuggetriebene Datenlawine scheinbar unaufhaltsam. Ein Untersuchungsbericht der »Washington Post« förderte zu Tage, wie viele persönliche Daten ein 2017er Chevrolet Volt sammelt. Im Infotainmentsystem waren demnach Anrufprotokolle, telefonische Identifikationsinformationen und Kontaktdaten des Mobiltelefons bis hin zu Privatinfos über den Eigentümer, E-Mails und Fotos gespeichert. Insbesondere mit Blick auf selbstfahrende Autos prognostizierte der ehemalige Intel-CEO Brian Krzanich, dass diese Datenflut durch unzählige Sensoren weiter wachsen wird. Jedes Auto erzeuge demnach 40 Terabyte an Daten pro acht Stunden Fahrt. »Eine Million selbstfahrender Autos werden so viele Daten erzeugen wie die Hälfte der Weltbevölkerung.«
Mit immer leistungsstärkeren Prozessoren und zusätzlichen Empfängern sammeln vernetzte Wagen in erheblichem Umfang persönliche Informationen über die Fahrzeuginsassen. Unglücklicherweise lagern diese Informationen auch noch in ungesicherten Datenspeichern. Neben daraus resultierenden Datenschutzfragen kommt erschwerend hinzu, dass dabei verschiedene Konnektivitätsmodi eingesetzt werden.
Wie groß die Gefahr mobiler Vernetzung generell ist, zeigt beispielhaft Zimperiums »Global Mobile Threat Report 2022«, in dem unterschiedliche Risiken, Bedrohungen und Angriffe auf mobile Endpunkte erfasst sind. Jedes vierte Mobilgerät wurde demnach von bösartiger Software angegriffen, und im Jahresverlauf waren 2.034.217 neue Malware-Samples nachweisbar. Der Report bietet eine umfassende Momentaufnahme der mobilen Bedrohungen weltweit und dokumentiert, dass versierte Angreifer die von ihnen verwendeten Taktiken je nach mobiler Umgebung und erkannter Schwachstellen anpassen. Mit 4G- oder 5G-Konnektivität benötigen sie nicht einmal mehr physischen Zugang zu einem Fahrzeug, um Datenzugriff zu erhalten und sensible Informationen zu extrahieren.
Fernsteuerung von vernetzten Autos. Angriffe aus der Ferne sind daher Teil der automobilen Realität. Schon heute braucht man dafür kein Spezialwissen, sondern nur grundlegendes Technikverständnis. Im Darknet wird Soft- und Hardware für Hackerattacken zum Verkauf angeboten. Hier gibt es auch Informationen über bekannte Sicherheitslücken unterschiedlicher Fahrzeuge. Durch eine Schwachstelle im Infotainmentsystem konnten Sicherheitsforscher beispielsweise bei voller Fahrt auf die Lenkung, die Bremsen und das Gaspedal eines Jeep Cherokee zugreifen und das Fahrzeug fernsteuern. Der Hersteller Fiat Chrysler reagierte und musste 1,4 Millionen SUV in den USA in die Werkstätten zurückbeordern.
Smartphones sind allgegenwärtig und eine weitere Gefahrenquelle. Häufig werden sie zur Kontrolle und Steuerung von IoT-Geräten und -Netzwerken verwendet. Für viele IoT-Geräte verteilen die Hersteller keine Updates mehr, oder sie werden im Patchmanagement einfach vergessen. Folge: Hacker übernehmen anfällige Geräte, Hubs und Gateways und verbreiten gefährliche Malware weiter. Deshalb sind Schädlinge wie XorDDoS, Mirai und Mozi auf dem Vormarsch und attackieren gezielt Internet-of-Things-Strukturen.
Die wachsende Popularität mobiler Applikationen wirkt sich ebenfalls auf die Fahrzeugsicherheit aus. Sie sind aktuell der drittbeliebteste Angriffsvektor. Sogar Autos können über das Mobiltelefon ein- und ausgeschaltet werden. Manche Apps gehen sogar noch weiter und führen automatische Parkvorgänge durch. Autofahrer lieben diesen Komfort, aber vergrößern dadurch auch die verfügbare Angriffsfläche.
Der Weg in die Zukunft. Das hohe Maß an mobiler Vernetzung bleibt auch in Zukunft — und Angreifer wissen das. Hacker richten deshalb ihre Aufmerksamkeit vermehrt auf vernetzte Autos. Sie verfügen über mehrere Einstiegspunkte, die unterschiedliche Angriffsmöglichkeiten unter Ausnutzung von Schwachstellen bieten. Cyberangriffe auf vernetzte Fahrzeuge haben seit 2016 jährlich um fast 100 Prozent zugenommen. Angesichts dieser Entwicklung muss die Automobilindustrie höchste Priorität auf die Cybersicherheit moderner Fahrzeuge legen. Nur mit fortschrittlichen Security-Technologien für mobile Einsatzszenarien können Hersteller die erforderliche Datensicherheit durchsetzen und Hacker ausbremsen.
Ashish Patel,
General Manager EMEA,
Zimperium