Moderne Fahrzeuge verfügen über rund 100 Millionen Zeilen Programmiercode, das sind siebenmal mehr Codes als in einer Boeing 787 – Autos sind im wahrsten Sinne rollende Computer und inzwischen auch beliebte Angriffsziele von Hackern. Dies gilt laut einem White Paper von T-Systems besonders für vernetzte Fahrzeuge. Sie bieten zahlreiche Angriffsflächen. Zu den Angriffsvektoren gehören Luft- oder physikalische Schnittstellen, das Back- und Frontend, Apps, Mobile Devices oder Telekommunikationsmodule. Angreifer können über diese teilweise mangelhaft gesicherten Schlupflöcher Bewegungsprofile erstellen, Daten absaugen oder gar relevante Fahrzeugsysteme manipulieren. IT-Sicherheit gehört somit zu den zentralen Aufgaben der Automobilentwicklung.
Der Haken: Rund 75 Prozent der Führungskräfte aus der Automobilindustrie verfügen laut einer McKinsey-Studie über keine Strategie für den Fall eines Auto-Hacks. Die Automobilkäufer sind wiederum verunsichert: Die Hälfte der deutschen Internetnutzer fürchtet, das Dritte unbefugt im vernetzten Fahrzeug Daten sammeln. Und die Angriffe nehmen in der Tat zu. Sollten wie von den Analysten des Marktforschungsinstituts Gartner prophezeit in vier Jahren rund 61 Millionen Fahrzeuge vernetzt sein, drängt die Zeit, um die notwendige IT-Sicherheit aufzubauen.
Während es für elektronische Systeme in Kraftfahrzeugen klare Normen (ISO 26262) vorliegen, fehlen trotzt Initiativen zahlreicher Institutionen noch klare Vorgaben für die IT-Security. In den USA liegt wenigstens ein erster Gesetzesentwurf vor, nach dem die Bundesbehörde für Verkehrssicherheit (NHTSA) Security Standards festlegen soll.
Ein weiterer Kritikpunkt: Bis dato fokussieren sich viele Unternehmen aus der Automobilindustrie laut White Paper auf die In-Car-Systeme, wenn es um Informationssicherheit geht. Experten des Beratungsunternehmens PwC beispielsweise gehen davon aus, dass alle Daten im Ökosystem „Connected Car“ über den gesamten Lebenszyklus betrachtet werden müssen. Das Ziel: eine umfassende End-to-End-Security. Dazu bedarf es aber eines klaren Security-by-Design-Grundsatzes in der Automobilindustrie so die Macher des White Papers. „Bislang interpretiert die Automobilbranche die Kritikalität von Daten unterschiedlich“, sagt Mark Großer, Experte für Risk, Security und Compliance für die Automobilindustrie bei Detecon. Die IT-Security muss demnach über die gesamte Lieferkette und den gesamten Lebenszyklus des Autos gleich verstanden und umgesetzt werden. Zu den notwendigen Maßnahmen zählen etwa Vorgaben für die Steuergeräte-Software von Zulieferern sowie Regeln, welche Updates wann und wie ausgeführt werden. Doch diese Punkte umzusetzen, dürfte nicht einfach werden. „In der Automobilindustrie ist es üblich, sein Know-how für sich zu behalten“, so Mark Großer. „IT-Sicherheit erfordert aber Kooperation“. Hersteller und Zulieferer müssen laut White Paper umdenken.
In einigen Bereichen funktioniert das bereits, etwa bei Daten-Plattformen für das Connected Car. Auch zum anonymen Austausch von Angriff-Indizien gab es privatwirtschaftliche und staatliche Vorstöße. Das IT-Sicherheitsgesetzt beinhaltet zudem eine Meldepflicht für Unternehmen, die mehr als eine bestimmte Menge Zertifikate ausstellen. Doch die Ansätze, so das Fazit, eine gemeinsame Cyber-Abwehrfront zu bilden, scheinen bisher nicht erfolgreich zu sein.
