Tech Insider: Autos, Hacking und IT-Sicherheit

car deLorean
DeLorean: In die Vergangenheit reisen, wenn es im Heute schiefgeht mit der IT-Sicherheit in Fahrzeugen.
CC BY-NC 2.0 via flickr/BrianMoranHDR

Anders als in Europa oder Deutschland sind Angriffe auf IT-Systeme in Fahrzeugen in den Vereinigten Staaten mittlerweile ein Dauerthema. Autos, Hacking und IT-Sicherheit widmet sich der Tech Insider heute mit einem Überblick über die derzeit bekannten Probleme und einigen recht apokalyptischen Vorhersagen. Er warnt vor einer Katastrophe:

A cybersecurity expert who works with three major automakers says car hacking will continue to be a problem, and he says that only after something „catastrophic“ happens will it be tackled head on.
(Ein IT-Sichereitsexperte, der mit den drei wichtigsten [US-]Autoherstellern zusammenarbeitet, sagt, dass das Auto-Hacking ein anhaltendes Problem ist, das erst nachdem etwas „Katastrophales“ geschieht angegangen werden wird.

Seit dem Jeep-Hack (pdf), über den breit berichtet wurde, sind IT-Angriffe auf Fahrzeuge in der US-Presse fast permanent Thema. Auto-Hacking ist allerdings nicht einheitlich definiert. Im engeren Sinne ist der Angriff auf Softwarekomponenten in Fahrzeugen gemeint, die für die Funktionsfähigkeit und Sicherheit von Bedeutung sind. Man muss aber nicht gleich die Bremsen und den Reifendruck im Hinterkopf haben: In einem weiteren Sinne kann man auch an das Manipulieren von eingebauten Unterhaltungssystemen denken, das böswillige Abschalten der Klimaanlage bei Hitze oder an das Entriegeln von Türen. Das Hacking kann aus der Ferne („remote“) vorgenommen werden oder durch direkten Zugriff auf das Gerät. Im Grunde gilt für Auto-Hacking nichts anderes als für jede andere Form des Hackings, was die verschiedenen Angriffsvektoren angeht.

Wenn im August auf der Konferenz BlackHat in Las Vegas wie angekündigt ein Werkzeug namens „CANSPY“ veröffentlicht wird, könnte das die notwendigen Diskussionen über IT-Sicherheit in Fahrzeugen noch befeuern. Denn das Tool soll es mehr Menschen ermöglichen, Schwachstellen in Fahrzeugen selbst zu suchen.

Der Vorwurf an Autohersteller, der sich seit Beginn der Berichterstattung häuft, wird auch beim Tech Insider wiederholt. Es gäbe noch immer kein Sicherheitsdenken beim Autobau:

There is no security being done at all when a car is being built. Zero.
(Es wird sich nicht um Sicherheit gekümmert, wenn ein Auto gebaut wird. Null.)

„Security“ ist hier im Sinne der IT-Sicherheit gemeint. Die Zulieferer seien dabei Teil des Problems, da nicht immer klar sei, ob von Dritten gebaute Komponenten nach dem Einbau in Fahrzeugen ein Sicherheitsproblem darstellen könnten. Tech Insider fragt die Autohersteller folgerichtig danach, ob sie versuchen, Hacker zum Testen der einigen Fahrzeuge zu engagieren. Viel mehr als Gewiesel und Phrasen ist den Antworten der Hersteller leider nicht zu entnehmen.

Probleme mit der IT-Sicherheit können sich potenzieren, wenn Autos mehr und mehr selbst die Steuerung übernehmen. Seit Mitte April existieren zwar auch für Deutschland neue Regeln für teilautomatisiertes Fahren: Die Systeme müssen derart konstruiert sein, dass der Fahrer immer eingreifen, übersteuern oder abschalten kann, egal ob Assistenzsystem oder Autopilot. Wenn der Fahrer aber von Auto-Hacking betroffen ist, helfen solche Regeln nicht weiter. Hier wären politische Antworten zu suchen, etwa Vorsichtsmaßnahmen vorzuschreiben, die IT-Sicherheitsprozeduren und deren verlässliche Umsetzung regeln, oder auch Rückrufparameter zu präzisieren. Sonst könnte die gruselige Vorhersage des Tech Insider, dass es erst zu einer Katastrophe kommen müsse, bevor sich etwas ändert, tatsächlich noch wahr werden.

9 Ergänzungen

  1. Wenn sich irgendwann die gleiche Sicherheitsphilosophie abzeichnet wie bei sonstigen Consumer-Produkten, dann wird es für uns sehr schwer, auf ein Auto zuzugreifen, aber nicht für die Geheimdienste. Das Automobil wird zur perfekten Mordwaffe. Unfall mit Augenzeugen ohne nachweisbaren technischen Defekt. Oppositionelle auf der ganzen Welt können dann nur noch Oldtimer nutzen.

    1. Oder einfacher – Eine IP aus Russland hatte zuletzt kontakt damit – deshalb war 100%ig rechtssicher auch die Russische Regierung dahinter!
      Neuland eben!

      Vielleicht gibt es ab 2020 signaturbasierte Virenscanner *sarkasmus*

  2. Mit Vollgas in die ferngesteuerte Zukunft.

    Verantwortungsdiffusion beim Hersteller, wenn ihm Fahrlässigkeit (pun intended) nachgewiesen werden kann, ansonsten Verantwortungsdeflektion: pööööhse Häcker sind schuld, dass unsere fernsteuerbaren Autos Kacke sind!

    Eichhörnchen, auf in den Cyberkrieg!

  3. „[…]gruselige Vorhersage des Tech Insider, […] zu einer Katastrophe kommen müsse, bevor sich etwas ändert, tatsächlich noch wahr werden.

    Multimillionenstrafen für jeden noch so kleinen Vorfall helfen erfahrungsgemäß schon eher; völlig nutzlose von der Regierung regelmäßig gefeierte ‚freiwillige‘ Vereinbarungen sind die Regel.

    Oder eine -unfreiwillige- 300KM Highspeed-Stadtrundfahrt der Bundeskanzlerin bei der Präsentation
    des neuesten vollvernetzten autonomen Hightechauto der deutschen Autoindustrie(-:

  4. Am Besten bleiben Autos Autos, Häuser bleiben Häuser und Computer bleiben Computer. Ist zwar nicht so aufregend, aber auch nur einen Bruchteil so dumm, unverantwortlich, unübersichtlich, sinnlos, manipulierbar, ausnutzbar oder gefährlich wie dieser aktuelle Modetrend. Dann gibt es auch weniger Elektroschrott und die Sachen halten vermutlich länger …

  5. Wie wir spätestens aus der Diskussion um TTIP wissen, wird in den USA das Nachsorgeprinzip angewendet. Eines der Horrorszenarien könnte sein, das sich bei einem auftreten den Fahrzeugbrand die Türen automatisch verriegeln, die Insassen eingesperrt sind. Wie gesagt das sind Horrorszenarien, die treten nie ein. MurphysLaw tritt tritt ja ebenfalls nie ein.

  6. Fahrzeuge Deutscher Hersteller oder klassicher automotive bauer mache mir 0 Sorgen. Im Gegensatz stehen die Neuen automitive Frimen aus dem IT bereich. Diese fahren jetzt schon die Billigheimer Strategie auf Kosten von Sicherhheit. Soz.zb TESLA. Als Bordsystem wird ernsthaft Android benutzt. Um somit kostengündtig und schnell und sofort günstig Funktionaliät anbieten zu können. Völlig schnurz, dass das datenschutzmäßig allein schon untragbar ist. Hinzukommt, dass das nicht dafür ausgereift ist. Siehe http://www.spiegel.de/auto/aktuell/tesla-toedlicher-unfall-mit-autopilot-in-den-usa-a-1100736.html
    Die Tech Firmen treiben aktuell einigen Lobby Aufwand, um die Haftungsfrage mehr hin zum Nutzer zu Verlagern, und weg vom Hersteller ( aktuell haftet der Hersteller voll für Systemversagen). Dem sollte man konsequent einen Riegel vorschieben.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.