Während viele enthusiastisch auf die neuen Möglichkeiten durch autonome Autos hoffen, blicken Sicherheitsexperten mit Sorge auf die Entwicklungen. Je vernetzter unsere Fahrzeuge werden, umso größer wird auch das Sicherheitsrisiko, dass sie gehackt werden können.
Nach einem langen Arbeitstag schmeißt ihr euren Autoschlüssel auf den Küchentisch und legt euch aufs Sofa. Doch während ihr abschaltet, wird euer Auto gerade eingeschaltet. Und ehe ihr mitbekommt was passiert, ist der Dieb mitsamt eurem Gefährt schon über alle Berge. Ohne Einbruch, ohne Gewalt – einfach nur durch den Keyless-Mechanismus.
Connected Cars: Auto geklaut und man kann es nicht beweisen
Key to Go ist zwar praktisch, aber auch ein hohes Sicherheitsrisiko, warnte unlängst der ADAC wieder. Auch wenn das beschriebene Beispiel bisher eher ein theoretisches Szenario ist, Praxistests wie dieser beweisen, wie einfach Autodiebstähle bei Connected Cars sein können. Der Keyless-Mechanismus war dabei bisher das Aushängeschild für potentielle Sicherheitsgefahren bei vernetzten Autos.
Denn Wireless-Funktionen am Auto wie etwa das Entertainment System oder eben Keyless eröffnen Autodieben auch völlig neue Möglichkeiten. Anstatt die Autos wie bisher mechanisch zu knacken, können diese nun einfach vom Laptop aus gehackt werden. Aktuell halten sich die Schäden in diesem Bereich eher in Grenzen, gibt Connected Cars Experte Thomas Köhler auf Nachfrage von Mobility Mag zu bedenken. Dennoch seien die Folgen für Autobesitzer in zweifacher Hinsicht schlimmer als bei einem herkömmlichen Diebstahl. „Es erfolgt ein Diebstahl von Teilen bei dem der rechtmäßige Besitzer gleich zweifach der Benachteiligte ist: Ihm fehlt etwas und er hat Probleme gegenüber Polizei und Versicherung einen Einbruch nachzuweisen, schließlich geht das Ganze ohne Spuren am Fahrzeug ab.“
Im schlimmsten Fall ist demnach nicht nur das Auto weg, wir können auch nicht beweisen, dass es gestohlen wurde.
Je vernetzter Autos sind, desto mehr Möglichkeiten haben Hacker
Doch während dies noch recht überschaubare Probleme sind, arbeiten fast alle Autobauer mittlerweile an autonomen Fahrzeugen. Von Kameras über Sensoren bis hin zu eingebauten Kommunikationssystemen sehen Sicherheitsexperten hier ein enormes Gefahrenpotential. Denn je mehr Kommunikationskanäle ein Gefährt hat, umso mehr Möglichkeiten gibt es auch, um diese zu hacken.
Immer wieder haben IT-Experten und Journalisten in Demos gezeigt, wie einfach die fahrerlosen Autos sich hacken lassen können.
Hier geht es dann nicht mehr um den simplen Autodiebstahl, sondern um das Eingreifen in Lenkung, Bremssysteme oder das Aushebeln der Kameras. Gerade angesichts von Terroranschlägen wie in Nizza oder Berlin, liegt der Gedanke nahe, dass Kriminelle, autonome Autos als Waffe manipulieren könnten.
Firewalls allein lösen das Problem nicht
Je mehr Autos wie Computer werden, umso mehr müssen Autobauer wie die IT-Branche denken, glaubt Ofer Ben Noon, Mitgründer und Geschäftsführer der israelischen Cybersecurity-Firma „Argus“. „Vom Design über das Betriebssystem bis hin zum Einbau von Firewalls, sollten automatisierte Fahrzeuge ähnlich wie Computer auf mehreren Ebenen gleichzeitig abgesichert werden. Bisher war die Automobilindustrie eher auf Ingenieurstechnik und Design fokussiert. Das muss und wird sich ändern“, erklärt er im Gespräch mit Mobility Mag.
Als jemand, der in der Unit 8200 zur elektronischen Aufklärung und Codeentschlüsselung der israelischen Streitkräfte, tätig war, ist Ben Noon sicher niemand, der das Thema „Sicherheit“ zu gelassen angeht. Derzeit spricht der Geschäftsführer von Argus, das auch in Stuttgart ein Büro hat, vor deutschen Automobilbauern über mögliche Sicherheitsmaßnahmen für automatisierte Fahrzeuge.
Diese haben die Problematik natürlich ebenfalls längst erkannt. Doch auch wenn Ben Noon Autosicherheit von der IT her denkt, die Autoindustrie hat andere (langsamere) Produktionsrhythmen und auch ganz andere Sicherheitsbedenken. Denn während Softwareentwickler Produkte in der Betaphase schon auf den Markt bringen und Sicherheitslücken in Kauf nehmen, wird man sich das bei autonomen Autos sicher nicht erlauben können.
Da es bei Fahrzeugen nicht nur materielle Risiken gibt, sondern auch Menschleben auf dem Spiel stehen, müssten die Sicherheitsfeatures hier sogar viel höher sein, sagt Thomas Köhler. „Firewalls und andere nachträglich implementierte Sicherheitssysteme in Bordsystemen wie sie derzeit propagiert werden lösen das Problem nicht. Sie sind bestenfalls ein Zwischenschritt zu einem neuen Verständnis von Sicherheit wie wir es überall da implementieren müssen wo es potentiell um mehr geht als einen abgestürzten Desktop-Rechner.
„Absolute Sicherheit wird es nicht geben“
Was können und was tun also Autobauer gegen solche potentiellen Gefahren? Die Branche hält sich hier auffällig bedeckt. Auf Nachfrage von Mobility Mag unter deutschen Autoherstellern, antworteten nur Audi und Daimler. Und auch hier sind die Antworten eher vage.
Audi-Sprecher Christian Hartmann etwa, wollte nur so viel über die hauseigenen Sicherheitsmaßnahmen bei Connected Cars und automatisierten Funktionen verraten: „Wir trennen die fahrrelevanten Funktionen von den Connectivity- und Infotainmentfunktionen über Soft- und Hardwarelösungen voneinander. Darüber hinaus erweitern wir laufend die Sicherheitsmechanismen bereits während der Entwicklung neuer Funktionen.“
Benjamin Oberkersch, Daimlers Pressesprecher für Connected Car & Infotainment ging immerhin etwas weiter ins Detail. Bei der Entwicklung neuer Modelle nutze Daimler viele aus der IT-Welt bekannten Sicherheitsmethoden wie etwa Public-Key-Kryptography, Zertifikats-Infrastrukturen, Firewalls, Intrusion Detection Systeme, Virenscanner sowie Verschlüsselungsprotokolle wie zum Beispiel TLS, Ipsec und WPA2. Oberkersch gibt jedoch gleichzeitig zu bedenken: „Eine absolute, 100 prozentige Sicherheit wird es nicht geben.“
Denn obwohl die Autobranche mittlerweile aufgewacht ist und durchaus auf verstärkte Sicherheitsfeatures sowohl bei Connected Cars als auch bei der Entwicklung von automatisierten Modellen achtet, völlige Sicherheit ist eine Illusion. Oder, wie Thomas Köhler es ausdrückt: „Alles was gehackt werden kann wird gehackt werden.“
