CC BY-NC 2.0 via flickr/BrianMoranHDR
Anders als in Europa oder Deutschland sind Angriffe auf IT-Systeme in Fahrzeugen in den Vereinigten Staaten mittlerweile ein Dauerthema. Autos, Hacking und IT-Sicherheit widmet sich der Tech Insider heute mit einem Überblick über die derzeit bekannten Probleme und einigen recht apokalyptischen Vorhersagen. Er warnt vor einer Katastrophe:
A cybersecurity expert who works with three major automakers says car hacking will continue to be a problem, and he says that only after something „catastrophic“ happens will it be tackled head on.
(Ein IT-Sichereitsexperte, der mit den drei wichtigsten [US-]Autoherstellern zusammenarbeitet, sagt, dass das Auto-Hacking ein anhaltendes Problem ist, das erst nachdem etwas „Katastrophales“ geschieht angegangen werden wird.
Seit dem Jeep-Hack (pdf), über den breit berichtet wurde, sind IT-Angriffe auf Fahrzeuge in der US-Presse fast permanent Thema. Auto-Hacking ist allerdings nicht einheitlich definiert. Im engeren Sinne ist der Angriff auf Softwarekomponenten in Fahrzeugen gemeint, die für die Funktionsfähigkeit und Sicherheit von Bedeutung sind. Man muss aber nicht gleich die Bremsen und den Reifendruck im Hinterkopf haben: In einem weiteren Sinne kann man auch an das Manipulieren von eingebauten Unterhaltungssystemen denken, das böswillige Abschalten der Klimaanlage bei Hitze oder an das Entriegeln von Türen. Das Hacking kann aus der Ferne („remote“) vorgenommen werden oder durch direkten Zugriff auf das Gerät. Im Grunde gilt für Auto-Hacking nichts anderes als für jede andere Form des Hackings, was die verschiedenen Angriffsvektoren angeht.
Wenn im August auf der Konferenz BlackHat in Las Vegas wie angekündigt ein Werkzeug namens „CANSPY“ veröffentlicht wird, könnte das die notwendigen Diskussionen über IT-Sicherheit in Fahrzeugen noch befeuern. Denn das Tool soll es mehr Menschen ermöglichen, Schwachstellen in Fahrzeugen selbst zu suchen.
Der Vorwurf an Autohersteller, der sich seit Beginn der Berichterstattung häuft, wird auch beim Tech Insider wiederholt. Es gäbe noch immer kein Sicherheitsdenken beim Autobau:
There is no security being done at all when a car is being built. Zero.
(Es wird sich nicht um Sicherheit gekümmert, wenn ein Auto gebaut wird. Null.)
„Security“ ist hier im Sinne der IT-Sicherheit gemeint. Die Zulieferer seien dabei Teil des Problems, da nicht immer klar sei, ob von Dritten gebaute Komponenten nach dem Einbau in Fahrzeugen ein Sicherheitsproblem darstellen könnten. Tech Insider fragt die Autohersteller folgerichtig danach, ob sie versuchen, Hacker zum Testen der einigen Fahrzeuge zu engagieren. Viel mehr als Gewiesel und Phrasen ist den Antworten der Hersteller leider nicht zu entnehmen.
Probleme mit der IT-Sicherheit können sich potenzieren, wenn Autos mehr und mehr selbst die Steuerung übernehmen. Seit Mitte April existieren zwar auch für Deutschland neue Regeln für teilautomatisiertes Fahren: Die Systeme müssen derart konstruiert sein, dass der Fahrer immer eingreifen, übersteuern oder abschalten kann, egal ob Assistenzsystem oder Autopilot. Wenn der Fahrer aber von Auto-Hacking betroffen ist, helfen solche Regeln nicht weiter. Hier wären politische Antworten zu suchen, etwa Vorsichtsmaßnahmen vorzuschreiben, die IT-Sicherheitsprozeduren und deren verlässliche Umsetzung regeln, oder auch Rückrufparameter zu präzisieren. Sonst könnte die gruselige Vorhersage des Tech Insider, dass es erst zu einer Katastrophe kommen müsse, bevor sich etwas ändert, tatsächlich noch wahr werden.