Unter dem Namen „Pwn2Own Automotive“ wird es auf der Automotive World Tokyo im Januar kommenden Jahres erstmals einen eigenständigen Wettbewerb rund um die Cybersicherheit von vernetzten Fahrzeugen geben. Ziel ist es das Connected-Car-Ökosystem sicherer zu machen – durch eine vollständige Durchleuchtung der Angriffsfläche. Der Pwn2Own-Wettbewerb existiert bereits seit 17 Jahren. Sicherheitsforscher aus der ganzen Welt kommen für die Hacking-Events zusammen, um Schwachstellen in häufig genutzten Geräten und Anwendungen ausfindig zu machen – bevor diese Cyberkriminellen zum Opfer fallen. Unterstützt wird der Wettbewerb unter anderem von Tesla.
Auch bei der cyan AG in München, einem Unternehmen, das sich auf IT-Sicherheit spezialisiert hat, sieht man die wachsende Gefahr von Cyberangriffen auf die mobile Welt. Vorstandschef Frank von Seth, 52, der seine berufliche Laufbahn als Versicherungs- und Risikoberater bei verschiedenen Unternehmen auf drei Kontinenten begann, schildert in einem Gastbeitrag Strategien, um das Risiko für Fahrzeughersteller und Autobesitzer zu minimieren.
Die Richtung ist eindeutig: Bald ist ein Auto nichts anderes mehr als ein (selbst-)fahrender Computer. Zwar sind die mechanischen und analogen Elemente heute noch prägend. Doch autonomes Fahren, eine Vernetzung der Bordsysteme, IT-Zugriff von außen mit Upgrade-Möglichkeiten, und nicht zuletzt die Tatsache, dass immer mehr Fahrzeuge von einem Elektromotor angetrieben werden, zeigen, wohin die Reise geht.
Vorstandschef des Münchner IT-Spezialisten cyan
Mit dieser Digitalisierung ändern sich nicht nur der grundlegende Aufbau eines Autos, sondern auch deren Produktion und Zulieferlandschaft. Auch können digitale Angriffsflächen zulasten von Verbrauchern und Unternehmen bei mangelnder Cybersecurity größer werden. Digitale Resilienz nimmt so einen immer größeren Stellenwert im Fertigungsprozess ein und wird zum „To-Do“ der Branche.
Auto wird zum mobilen Endgerät
Technisch gesehen und erst recht aus Sicht von Hackern sind Autos heute schon ein großes mobiles Endgerät – mit allen Konsequenzen, die dazugehören: Es kann aus der Ferne in einer Weise manipuliert werden, die wir uns nicht immer vorstellen wollen, aber womit sich die Profis befassen müssen. Denn nur so können wir auch den passenden Schutz organisieren – ohne gleich an einen digitalen Totalschaden zu denken.
Nun gibt es vereinzelte Marktbeobachter, die gleich Angstszenarien an die Wand malen, ohne konkrete Schutzmechanismen zu skizzieren. Jedoch sollte eine mögliche Gefahr, die eine Nebenwirkung der Neuerungen sein kann, niemals im Fokus stehen, um Hersteller wie Kunden zu verunsichern – oder gar dazu führen, dass diese Funktionen nicht erst eingebaut werden. Natürlich öffnet ein höherer Grad an Digitalisierung auch mehr Einfallstore für Hacker.
IT-Schutz macht den Unterschied aus
Trotzdem sollten IT-Schwachstellen in dieser Schlüsselindustrie nicht als Bremse für den technologischen Fortschritt gesehen werden. Vielmehr unterstützt Cybersecurity schon heute die Weiterentwicklung des Marktumfeldes und folgt in der historischen Reihenfolge der Sicherheitsmaßnahmen auf Sicherheitsgurt, Airbag oder Fahrspurassistent. Kommt es zur Cyberattacke, macht ein hochentwickelter IT-Schutz dann den entscheidenden Unterschied zwischen einem resilienten Unternehmen und einer noch zu fehleranfälligen Infrastruktur in der jeweiligen Firma aus.
Nicht von irgendwoher benannte jüngst das World Economic Forum „Cybersecurity“ als eines der dominantesten Themen für Unternehmen. Die öffentliche Schwerpunktsetzung hilft, die realistische Bedrohungslage aufzuzeigen, ohne gleich Angst und Panik zu verbreiten.
Klau von Kundendaten
Zwei bekannte Angriffe von Cyberkriminellen aus 2022 zeigen, wie sich erfolgreiche IT-Attacken auf Firmen äußern können. Zwischen dem 11. und 29. April 2022 rückte dabei das US-Unternehmen General Motors ins Zentrum eines Angriffs. Hacker konnten auf sensible Kundendaten wie Namen, Anschrift, E-Mail-Adresse, Telefonnummer und in manchen Fällen sogar Privatfotos zugreifen.
Das Vorgehen: Durch Diebstahl bereits vorhandener Passwörter auf anderen Plattformen (bspw. Streamingdienst), konnten so die Zugänge zu General Motors geknackt werden. Es wurde vermutet, dass Passwörter dabei außerhalb der GM-Netzwerke vergeben wurden. Externe Seiten boten dabei weniger Schutz, was es Cyberkriminellen ermöglichte, die Daten freizulegen.
Schwachstelle Drittsoftware
Unternehmen können aus diesem Fall ableiten, dass es heute nicht mehr ausreicht, nur das hauseigene Netzwerk zu schützen. Externe Partner, die in operative Prozesse eingebunden werden, müssen mindestens genauso resilient agieren, wie das jeweilige Unternehmen. Gegenseitige Zusammenarbeit erhöht dabei insofern auch die gegenseitige Abhängigkeit im Bereich der Cybersecurity.
Für Autofahrer selber können IT-Angriffe außerdem sehr schnell zu Einschränkungen in der Fortbewegung sorgen. Anfang 2022 gelang es dabei einem IT-Jungunternehmer in Süddeutschland, die Teilkontrolle über mehrere E-Autos gleichzeitig zu erlangen. Neben der Innenkamera können dabei Fenster und Türen bedient bzw. der Motor gestartet werden. Auch hier wurden Schwachstellen in einer sogenannten Drittsoftware, also nicht direkt die des Automobilunternehmens für Attacken genutzt.
Schutz rund um die Uhr
Die Schlussfolgerung für das Marktumfeld bleibt vergleichbar: Nur auf einen digital resilienten Namen zu setzen, reicht nicht mehr aus, um den Firmen und Verbrauchern ein Maximum an Sicherheit zu gewährleisten.
Wo aber genau muss sozusagen die digitale Hand angelegt werden, damit die Weiterentwicklung der Automobilindustrie ohne Anfälligkeit für IT-Attacken vollzogen wird? Nun, zur Absicherung sind vor allem netzwerk-, anwendungs- und plattformbasierte Sicherheitslösungen effektiv. Wie so oft müssen sie dabei den Zielkonflikt meistern, praktisch und attraktiv in der Anwendung zu sein und zugleich effizienten Schutz bieten.
„Threat Intelligence“
Der heutige Stand der Cybersecurity bietet bereits mehrere Ansätze zur digitalen Verteidigung. Beispielsweise „Threat Intelligence“-Ansätze, bei der maschinelle Intelligenz mit dem Wissen von kompetenten Security-Experten kombiniert werden. Threat Intelligence verknüpft in dem Kontext verschiedene digitale Funktionen innerhalb eines Ökosystems.
Mehr als 1.000 Milliarden anonymisierte DNS-Anfragen lassen sich währenddessen verarbeiten. DNS steht dabei für Domain Name System und kann als eine Art Kontaktverzeichnis im Netz verstanden werden. Verdächtige Domains können so identifiziert und in ein unternehmenseigenes Forschungssystem eingespeist werden. Hinzu kommt Globales Live Sourcing, das 24/7 in rund um die Welt stationierten Datenzentren Inhaltsanalysen durchführt und so aktuelle Informationen an Sicherheitsfilterdatenbanken liefert.
Angriffspunkte beim Autonomes Fahren
Bezogen auf die Automobilbranche bedeutet das, dass die fahrzeugeigene Technologie mittels moderner Cybersicherheitssysteme vor Cyber-Gefahren zu schützen; vor allem die im Fahrzeug integrierten Kommunikationsmittel. Auch für die anderen elektronischen Systeme auf Softwarebasis in PKWs, LKWs oder Bussen muss die Automobilindustrie effiziente Schutzmaßnahmen ergreifen.
Wenig überraschend: Gerade beim autonomen Fahren eröffnen sich durch den hohen Grad der Automatisierung viele Angriffspunkte. Bisher mag es noch der Kreativität eines Thriller-Autors entsprungen sein, dass jemand von außen die Steuerung eines Fahrzeugs übernimmt. In naher Zukunft werden solche Bedrohungsszenarien indes wahrscheinlicher – worauf die Industrie reagieren muss. Cybersecurity in der Automobilindustrie ist daher aktueller als je zuvor und muss parallel zur technologischen Weiterentwicklung mit einbezogen werden, um Autofahrern und Unternehmen mit den sichersten Autos aller Zeiten die Sorge vor großflächigen IT-Attacken zu nehmen.