martin-hunt

Hunt: „Mit der Einführung des Notrufsystems eCall ab 2018 öffnet sich vermutlich eine weitere Türe, die Autobauer schließen müssen.“ Bild: BT

| von Pascal Nagel

Mit jedem Angriff auf ein vernetztes Fahrzeug gerät das Thema IT-Security stärker in den Fokus. Jüngstes Beispiel: Einem IT-Experten ist es gelungen, die Kontrolle über einige Funktionen eines Tesla Model S zu übernehmen. Zwar sind die publik gewordenen Hacks meist der White-Hat-Szene zuzuschreiben, die Notwendigkeit eines besseren Schutzes zeigen sie dennoch unzweifelhaft auf. Im Interview mit carIT spricht Martin Hunt, Leiter des Bereichs Automotive beim britischen Netzwerk- und IT-Dienstleister BT, über Einfallstore für Angreifer, geeignete Maßnahmen der Autobauer und die Chancen durch Ethical Hacking.

Hunt: Vernetzte Autos bieten eine verhältnismäßig neue Technologie, mit der jeder Autobauer möglichst schnell und möglichst günstig am Markt sein will. Bei der Planung war die Sicherheit dabei zunächst einmal kein zentraler Faktor, denn Sicherheit ist weder günstig noch schnell zu haben, noch komfortabel. Aber es gibt gerade Anzeichen, dass sich das ändert: Die spektakulären Hacks im letzten Jahr und in den vergangenen Monaten haben die Autohersteller aufgeschreckt. In erster Linie ist es freilich eine Frage des Bewusstseins. Gehackt werden kann potentiell jedes System. Hersteller müssen ihren Entwicklungsprozess anpassen, um für neue Systeme und Software-Updates IT-Sicherheit von Anfang an zu berücksichtigen. Für bestehende Software sollten sie sich zumindest einem freiwilligen Security-Check unterziehen, bei dem sie die Software mit genauso strengen Maßstäben bewerten wie die Fahrsicherheit ihrer Autos. Man darf die Brisanz des Themas nicht unterschätzen. Hacks sind kein Spaß von Teenagern. Dahinter steckt mittlerweile eine hoch entwickelte Hacker-Industrie, die arbeitsteilig vorgeht.

Was sind im Ökosystem Connected Car die Einfallstore für Angreifer?

In vielen modernen Autos sind mittlerweile über 100 eingebettete Steuersysteme verbaut, die zum Teil miteinander oder mit externen Systemen Daten austauschen. Jedes dieser kommunizierenden Systeme verfügt über Schnittstellen, die per se gefährdet sind. Hinzu kommen weitere Einfallstore, wie Reifendruck-Sensoren, Türen, die sich mit smarten Schlüsseln öffnen lassen, oder Stecker für die On-Board-Unit (OBD), über die man schnell an entscheidende Systeme gelangt. Ein beliebtes Einfallstor sind momentan die Entertainment-Systeme, die ja zum Teil auch mit den Smartphones der Fahrer verbunden sind. Es ist nicht so schwierig, ein Schadprogramm auf ein Smartphone zu spielen, das sich dann Zugriff auf das System im Auto verschaffen kann. Auch die externen IT-Systeme, zum Beispiel Laptops von Werkstatt-Technikern oder Server von Infotainment-Anbietern und Herstellern, müssen überprüft und gesichert werden. Mit der Einführung des Notrufsystems eCall ab 2018 eröffnet sich vermutlich eine weitere Türe, die Autobauer schließen müssen.

Im Bereich Fahrzeug-Security entdecken immer mehr Hersteller Ethical Hacking für sich. Ist die White-Hat-Szene den Herausforderungen gewachsen?

Ethical Hacker – die sogenannten „White Hats“ – testen Systeme mit einer standardisierten Methode, indem sie Hackerangriffe imitieren, mögliche Schwachstellen melden und Handlungsempfehlungen aussprechen. Es ist sinnvoll, solche Experten zu Rate zu ziehen, denn sie suchen auch dort nach Sicherheitslücken, wo die Entwickler eines IT-Systems sie überhaupt nicht vermuten würden. In den Methoden unterscheiden sich die White- und Black-Hat-Hacker kaum, aber ihre Zielsetzung ist natürlich fundamental anders. Es ist wichtig, hier einen professionellen Anbieter auszuwählen, dem man vertraut, und nicht etwa einen Hacker mit krimineller Vergangenheit. Da sich die Angriffsszenarien ständig ändern, kann sich niemand auf seinem Wissen ausruhen. Die White-Hat-Hacker sind den Anforderungen dann gewachsen, wenn sie sich immer auf dem aktuellen Stand halten, was Angriffsmethoden und das Ausnutzen von Schwachstellen betrifft.

Der Eintrag "freemium_overlay_form_cit" existiert leider nicht.