Managament , Fachartikel, (ISC)²

Connected Car: Autos werden immer anfälliger für Cyberattacken und das hat Gründe

Connected Car: Autos werden immer anfälliger für Cyberattacken und das hat Gründe

Adrian Davis, Managing Director EMEA bei (ISC)²

Autos werden sich in naher Zukunft in rollende Internetbrowser verwandeln, die sich mit allem verbinden, was ihnen unterwegs begegnet. Dabei ist es gleich, ob es sich um das eigene Smart Home oder aber eine Ampel handelt. Sie werden automatisch mit Updates aus der Ferne zu Stau, Verkehrsbehinderungen und Verkehrsunfällen versorgt oder über sich ändernde Wetter-verhältnisse informiert. Updates und Upgrades wird es „over-the-air“ geben, ohne dass der Halter dafür in die Werkstatt müsste. Mit selbst-fahrenden Autos ist es dann sogar durchaus, möglich einen rollenden Wi-Fi Hotspot anzubieten, welcher sogar mit Ampeln interagiert.

Alle aufgezählten Funktionen und Möglichkeiten transformieren Fahrzeuge zu mobilen Daten-Hotspots, die die über Sensoren gesammelten Informationen mit Unternehmen aus der Automotive-Industrie teilen, welche diese wiederum in neue Services und Produkte umwandeln. Solche Datensätze könnten an andere Unternehmen verkauft werden, um Location Based Advertising (LBA) - abgestimmt auf die jeweiligen Bedürfnisse und Interessen des Fahrers – anzubieten. Versicherungsunternehmen könnten anhand von Fahrprofilen ihre Ratings präziser berechnen und Versicherungsbeiträge entsprechend anpassen. Intel geht bei einem selbstfahrenden Auto von bis zu 4.000 Gigabyte an Daten aus, die pro Tag erzeugt werden.[1]  Diese Daten enthalten für viele unterschiedliche Unternehmen wertvolle Informationen und sollten eigentlich auch entsprechenden Schutz genießen.

Alle bisherigen Indikatoren weisen jedoch leider daraufhin, dass IT-Security im Bereich Connected Car bislang eher hinterher hinkt. Die verschiedensten Schwachstellen, z.B. im Model S von Tesla zeigten auf, dass in den unterschiedlichsten Bereichen der Informationssicherheit noch Nachholbedarf besteht. Einige dieser Schwachstellen waren sogar grundlegender Natur, wie das Fehlen einer Verschlüsselung beim Öffnen eines Autos aus der Ferne bei BMW.[2]

Die Ursache für dieses Problem liegt darin, dass die großen Autohersteller erst im Nachhinein an die Implementierung von Sicherheitsmaßnahmen denken. Hier wird immer noch nach dem Feuerwehr-Ansatz gedacht und gehandelt. Ein Beispiel dafür ist die Rückhol-aktion von Fiat Chrysler, als IT-Sicherheitsforscher eine Schwachstelle in bereits ausgelieferten Fahrzeugen fanden. 1,1 Millionen Autos mussten daraufhin in die Werkstatt. [3]  Die Sicher-heitslücke war so gravierend, als hätte der Hersteller vergessen, etwas Selbstverständliches wie eine Diebstahlsicherung in sein Auto einzubauen.

Aber bevor wir jetzt mit dem Finger auf die Automobilindustrie zeigen, sollten wir uns vergegen-wärtigen, dass Anwendungen - egal in welchem Umfeld – zumeist nicht auf Schwachstellen geprüft werden, bevor sie auf den Markt kommen. Das führt dazu, dass nach den Ergebnissen der (ISC)² „Global Information Security Workforce Study“ Sicherheitslücken in Software von Informationssicherheits-Experten noch immer als das bedeutenste Sicherheitsrisiko eingestuft werden. [4]

Doch zurück zur Automobilindustrie, denn derzeit führt die Entwicklungsphilosophie dazu, dass Software-Entwickler und Sicherheitsexperten als zwei verschiedene Abteilungen mit unter-schiedlichen Aufgaben betrachtet werden. Diese Art der Aufgabenteilung bzw. des nicht-miteinander-zusammenarbeitens führte letztlich zu panischen Rückrufaktionen und schnell eingespielten Software-Updates, wofür bislang der betroffene Wagen jedes Mal in die Werkstatt gebracht werden muss.

Sicherheit sollte der Kernaspekt in der Softwareentwicklung für die Automobilindustrie sein, genauso wie bereits heute die Fahrsicherheit der Leitgedanke bei der Entwicklung neuer Modelle ist. Die Hersteller sollten daher in jedes Stück Software, dass sie programmieren, zuerst die notwendige Sicherheit einbauen, so wie sie bei einem Auto einen Airbag, eine Diebstahlsicherung und Anschnallgurte einbauen, bevor das Fahrzeug auf die Straße gelassen wird. Ein Weg dahin könnte so aussehen, dass Softwareentwickler bereits bei der Programmierung an Sicherheit denken und nicht nur an Bedienbarkeit und Funktionalität. Wenn Sicherheit dann ein integraler Bestandteil des gesamten Softwareentwicklungszyklus ist, dann ist bereits vieles geschafft, was bislang fehlt und zur Anfälligkeit der Systeme führt.

Damit dieser Lösungsansatz umgesetzt werden kann, bedarf es aber einer anderen Form der Wissensvermittlung im Bereich Softwareentwicklung. An Sicherheit bereits in der Frühphase der Entwicklung zu denken, ist in den Lehrplänen der Universitäten und anderer Ausbildungs-einrichtungen noch kein Thema. Dies muss sich künftig aber definitiv ändern. In Großbritannien ist man hier schon ein Stück weiter. Das Chartered Institute für IT hat im letzten Jahr sogenannte „Cybersecurity Guidelines“ in die Lehrpläne der Fakultäten für Computerwissenschaften eingeführt. Dadurch werden sowohl angehende Softwareentwickler als auch Computerspiele-entwickler in den Grundlagen der Informationssicherheit unterrichtet. Fragen für das erste General Certificate of Secondary Education (GCSE) wurden veröffentlicht und in Schulen Unterrichtseinheiten zum Thema Cybersecurity in den Informatikunterricht eingebaut. Darüber hinaus hat das UK Engineering Council das Thema Cybersecurity in ihre UK-SPEC-Anforderungen an angehende Ingenieure implementiert.

Doch die Automobilwirtschaft sollte jetzt nicht mit dem Finger auf die Ausbildungsinstitutionen zeigen und sich darauf ausruhen, dass hier in Zukunft Abhilfe geschaffen wird. Stattdessen ist es ihre Aufgabe, bereits bei der Einstellung von Softwareentwicklern darauf zu achten, dass diese sich in ihrem Studium auch mit Informationssicherheit beschäftigt haben. Hier sollten die gleichen Kriterien gelten, die auch bei den Ingenieuren verlangt werden. Denn nur, wenn in Zukunft jede Software, die in einem Fahrzeug zum Einsatz kommt, genauso zur Fahrsicherheit beiträgt wie der Anschnallgurt oder der Airbag heute, dann wird und kann sich das Connected Car auch durchsetzen.

Rainer Rehm, Präsident des (ISC)2 Chapter Deutschland e.V. fügt hinzu: „Erst wenn security und safety als gleichberechtigt angesehen werden, wird in der Gesamtbetrachtung des „Systems Auto“ entsprechend Vorsorge und Prüfung für information security betrieben werden. Bereits jetzt sollte allerdings durch Monitoring erkannt werden, wenn eine Funktion, die eigentlich nur die Außentemperatur misst, anzeigt und nach "Hause" sendet, auf einmal andere Informationen wie GPS-Daten und Geschwindigkeit aus "Versehen" mit übermittelt. Noch schlimmer wird es, wenn anhand der Antworten des Servers andere Funktionen (z.B. Bremssteuerung) beeinträchtigt oder manipulierbar würden. Bei beiden Beispielen gilt es das Prinzip des "weakest link" und des "security by design" durch aktive und reaktive Maßnahmen sicherzustellen. Diese bereits in Flugzeugen eingesetzten Mechanismen und Verfahren werden wir ebenfalls im Auto erleben, wenngleich dass noch einige Zeit dauern dürfte.“

 

[1] https://newsroom.intel.com/news/intel-announces-250-million-investment-autonomous-driving/  aufgerufen am 03.01.2017
[2] http://www.theregister.co.uk/2016/07/08/bmw_vulns/  aufgerufen am 03.01.2017
[3] https://www.tagesschau.de/wirtschaft/fiat-rueckruf-101.html  aufgerufen am 03.01.2017
[4] https://www.isc2cares.org/uploadedFiles/wwwisc2caresorg/Content/Professional-Perspective-DACH-Region-German.pdf  Seite 4.

Diesen Artikel empfehlen

Autor: Adrian Davis, Managing Director EMEA bei (ISC)²

Blockchain ist Chance für die IT-Sicherheitsindustrie

Die kryptografische Währung Bitcoin und die als Blockchain bekannte dahinterstehende Technologie sind aktuelle Hype-Themen, jedoch inhaltlich einem breiteren Publikum noch weitgehend unbekannt. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat deshalb eine Handreichung zum Umgang mit der...

Unternehmen stehen sich beim Thema Cyber-Sicherheit selbst im Weg

Intel Security hat in Zusammenarbeit mit dem Center for Strategic and International Studies (CSIS) den globalen Bericht „Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity“ veröffentlicht. Er enthüllt drei wesentliche Gründe, wieso Cyber-Kriminelle den Unternehmen immer...

Studie deckt Missstände bei Cyber-Abwehrzentren auf

Der Report wird von HPE Security Intelligence and Operations Consulting (SIOC) veröffentlicht und untersucht etwa 140 SOCs aus aller Welt. Jedes SOC wird nach der Skala des HPE Security Operations Maturity Model (SOMM) gemessen, die Mitarbeiter, Prozesse, Technologien und Geschäftsfähigkeit eines...