Die zunehmende Vernetzung zwischen Fahrzeugen, anderen Verkehrsteilnehmern oder der Infrastruktur birgt ein wachsendes Risiko für Manipulationen in sich. Prävention ist der einfachste Weg, um Cyberrisiken zu reduzieren. Eine sicherheitsorientierte Denkweise von Anfang an ist dabei unbedingt erforderlich.
Daten und Konnektivität bilden die Basis für zukünftige Mobilität und erschließen neue Einnahmequellen und Geschäftsmöglichkeiten für alle Akteure und Nutzer.
„Fahrzeuge profitieren von einer Welle technologischer Innovationen, die den Transport dank Konnektivität sicherer und intelligenter machen“, so Faye Francy, Executive Director von Auto-ISAC, einer Organisation zur Zusammenarbeit und zum Informationsaustausch der Automobilhersteller im Bereich der Automotive Cybersecurity. „Genau die Technologie, die uns diese neuen Effizienzen ermöglicht, bringt auch potenzielle Cyber-Risiken für das Fahrzeug mit sich.“
Wie real die Gefahr von Cyberattacken auf Mobilitätslösungen ist, zeigte ein viel beachtetes Experiment des Tech-Magazins „Wired“: Hacker attackierten einen Jeep Cherokee, kontrollierten nicht nur Scheibenwischer und Soundsystem, sondern brachten das Fahrzeug sogar auf einem Highway zum Stehen, indem sie den Motor per Fernzugriff abstellten. Sogar die Bremsen setzten sie außer Betrieb und lenkten den Wagen in den Graben – da es White-Hat-Hacker waren, auf einem abgesperrten Parkplatz. Dies alleine ist schon besorgniserregend genug – doch hochautomatisierte, vernetzte Fahrzeuge werden in Zukunft nicht nur auf der Straße unterwegs sein. Was wäre passiert, wenn dies ein bösartiger Angriff gewesen wäre und einem Lufttaxi gegolten hätte oder einem autonom fahrenden Schiff?
Cyberattacken auf Autos dramatisch gestiegen
In 2021 gab es eine dramatische Entwicklung bei Angriffen auf Autos, bei denen Hacker modernste Technologien mit ausgefeilten Methoden kombinierten – so die Erkenntnis der Analysten von Upstream, einem Anbieter einer cloud-basierten Cybersicherheits- und Datenmanagement-Plattform für vernetzte Fahrzeuge.
„50 Prozent der Fahrzeugdiebstähle in Großbritannien im Jahr 2021 betrafen Angriffe auf schlüssellose Zugangssysteme, und 82 Prozent der weltweiten Angriffe wurden aus der Ferne durchgeführt, ohne dass ein physischer Zugang zum Fahrzeug erforderlich war“, so Yonatan Appel, Mitbegründer und CTO von Upstream.
Standards für mehr Security
Daher hat die UNECE mit WP.29 Regulierungen für Fahrzeughersteller und Zulieferer auf den Weg gebracht, die zum Ziel haben, die Cybersicherheit im Automobil-Bereich zu erhöhen. WP.29 trat in 2022 in Kraft. Danach dürfen in der EU ab 2024 nur noch Autos zugelassen werden, die ein zertifiziertes Cybersecurity-Managementsystem nachweisen können. Zudem wurde die ISO/SAE 21434 „Road Vehicles – Cyber Security Engineering“ eingeführt. Der Standard ist prozessorientiert und zielt auf die Sicherheit aller elektrischen und insbesondere elektronischen Systeme während des gesamten Lebenszyklus eines Fahrzeugs.
650 Millionen Codezeilen umfasst die Software eines Autos im Jahr 2025.
Zum Vergleich: eine Boeing 787 fliegt mit gerade einmal 7 Millionen Codezeilen.
Quelle: com-magazin
Security von Anfang an
„Wenn wir mit unserer Mission, die Automobilindustrie durch Digitalisierung zu transformieren, erfolgreich sein wollen, müssen wir das Thema Security von Anfang bis Ende angehen“, betont Markus Brändle, Leiter des Bereichs Information and Automotive Security bei Cariad, dem Automotive Software-Unternehmen im Volkswagen-Konzern.
So ein „Security by Design“-Ansatz beginnt bei der Beschaffung der Hardwarekomponenten, setzt sich beim Softwaredesign fort und umfasst sämtliche Kommunikationsprozesse. Allgemein anerkannte Codierungsstandards, Code-Analyse-Tools und Code-Reviews tragen zur Reduktion von Risiken bei. In einem lückenlosen Security-by-Design-Prozess müssen Fahrzeughersteller deshalb schon in der Produktentwicklung Verschlüsselungstechnologien und Integritätsprüfungen zwischen den digitalen Fahrzeugsystemen und der Backend-Infrastruktur implementieren – damit übertragene Daten nicht manipuliert werden können. Weil Hacker jedoch immer neue Schwachstellen entdecken, bleiben die Systeme nur sicher, wenn sie fortlaufend mit Sicherheitspatches aktualisiert werden.
Daten sicher austauschen
V2X-Kommunikation und Over-the-Air-Updates benötigen eine Security-Infrastruktur, die einen wirksam gesicherten beidseitigen Austausch authentifizierter Nachrichten gewährleistet. Das erfolgt über digitale Signaturen, die Daten vor Manipulation und unberechtigtem Zugriff schützen, sowie über Zertifikate, die den jeweiligen Absender als vertrauenswürdig ausweisen. Insgesamt muss der V2X-Datenaustausch auf zwei Ebenen abgesichert werden: Zum einen in den eingebetteten Systemen selbst, in den Fahrzeugsteuergeräten und der elektronischen Steuerung von Verkehrsanlagen. Zum anderen durch ein Backend, das die zur sicheren V2X-Kommunikation nötigen Zertifikate effektiv und sicher verwaltet.
„Angesichts der heutigen Revolution in der automobilen Konnektivität und der exponentiellen Zunahme der Zahl der vernetzten Fahrzeuge auf der Straße ist es für die Automobilindustrie unerlässlich, die zunehmenden Bedrohungen der Cybersicherheit zu verstehen, vorherzusagen und zu bekämpfen“, betont Yoav Levy, CEO und Mitbegründer von Upstream.