Die mobile Zukunft klingt prächtig: vernetzte Autos, die miteinander und mit der Infrastruktur kommunizieren, um den Menschen vor Gefahren zu schützen. Gemäß den Schätzungen der Beratungsfirma Capgemini werden im Jahr 2023 rund 110 Millionen vernetzte Fahrzeuge auf Europas Straßen rollen - zweifelsohne ein Plus an Sicherheit. Aber diese IT-Hightech-Vehikel können auch zu einem Sicherheitsproblem werden. Denn wie ein Computer hat auch ein derart technisch hochgerüstetes Automobil seine Sicherheitslücken. Beweise, dass Hacker ein Fahrzeug kapern können, gibt es genug. 2015 gelang es zwei Hackern, über eine Sicherheitslücke des Unterhaltungssystems eines Jeep Cherokee, das mit dem Internet verbunden ist, in das System des Wagens einzudringen und die Lenkung sowie die Bremsen fernzusteuern. Der Imageschaden für Fiat Chrysler war immens, 1,4 Millionen Fahrzeuge mussten in die Werkstätten zurückgerufen werden, um die Sicherheitslücke zu schließen.
Vorfälle wie der eben geschilderte, zeigen: Jede Schnittstelle ist eine Pforte, die Hacker nutzen können, um das Auto zu manipulieren. Seien es physische wie der OBD-Port, virtuelle wie die Software-Updates, die drahtlos aufgespielt werden oder die in Mode kommenden Smartphones, die zugleich als Autoschlüssel fungieren. Das hat weitreichende Auswirkungen. "Der Schlüssel darf nicht kopierbar sein, und wir brauchen im Falle eines Totaldiebstahls einen transparenten Überblick, wer wann für welchen Schlüssel berechtigt wurde", erklärt Jochen Haug, Schadenvorstand Allianz Versicherungs-AG.
Klar ist, dass die Cyber-Sicherheit auf der Agenda der Autobauer ganz weit nach oben klettert. Das UNECE World Forum for Harmonization of Vehicle Regulations hat Tatsachen geschaffen und bereits im vergangenen Jahr neue UN-Regelwerke zu Cybersicherheit und Software-Updates von vernetzten Fahrzeugen verabschiedet. Und die Europäische Union macht hier Nägel mit Köpfen: Ab Sommer 2022 gelten diesen Vorschriften für alle neuen Fahrzeugtypen und zwei Jahre später für alle Neufahrzeuge. Betroffen sind nicht nur Pkw, sondern auch Kleintransporter, Lkw und Busse. "Aufgrund der neuen Regulierung muss daraus nun ein ganzheitlicher Ansatz geformt werden, welcher den kompletten Lebenszyklus eines Fahrzeuges umfasst", erklärt Sebastian Rist, Projektleiter und Security Consultant bei Escrypt, einem Unternehmen, das sich auf Sicherheitslösungen spezialisiert hat.
IT-Karten nahe an der Brust
Die Zeit drängt, will man nicht eine potenzielle Armada von ferngesteuerten Zombie-Autos auf den Straßen haben. "Wir haben es mit einer Bedrohung zu tun, die weder an Unternehmens- noch an Landesgrenzen haltmacht, und wir sind der Überzeugung, dass ein solches Center Daten und Kompetenzen verschiedener Institutionen zusammenführen muss, unter anderem Regierungsbehörden, Fahrzeughersteller, Automobilzulieferer, Telekommunikationsbetreiber, Forschungseinrichtungen, Reparaturbetriebe und Versicherer", verdeutlicht Klaus-Peter Röhler, Vorstandsvorsitzender der Allianz Deutschland AG.
Der Plan ist einfach, doch solch ein "Cybersecurity Management System" (CSMS) auf die Beine zu stellen, ist keine triviale Angelegenheit. Viele Faktoren beeinflussen die Cybersicherheit eines Wagens. Das geht bei der Komplexität des Automobils los und endet mit der Lieferkette. Schließlich versorgen die Zulieferer die Autobauer mit Modulen, die durchaus sicherheitsrelevant sind. Und wo Software, da auch Einfallstüren. Die Autobauer halten die IT-Karten nahe an der Brust. Wer mit einem sicheren System prahlt, weckt den Ehrgeiz der Hacker. "Die höchsten Sicherheitsansprüche unserer Kunden gelten in gleicher Weise für die Datensicherheit des vernetzten Fahrzeugs als auch unserer Kundendaten. Daimler schützt die Kundendaten vor Manipulationen und Missbrauch. Mit Blick auf den IT-technischen Fortschritt entwickeln wir die Datensicherheit ständig weiter", lässt der schwäbische Premium-Autobauer verlauten.
Investitionen sind nötig
Die Verschwiegenheit ist nachvollziehbar und sinnvoll, macht aber die Aufgabe, das Automobil in eine IT-Trutzburg zu verwandeln nicht einfacher. Eine bewährte Maßnahme und unerwünschte Eindringlinge fernzuhalten, ist, die Software des Wagens immer aktuell zu halten. Ähnlich wie das bei Betriebssystemen der Fall ist, müssen Sicherheitslücken möglichst schnell mit Updates behoben werden. Denn eines ist klar: Kein Soft- und Hardwaresystem ist perfekt und offene Pforten sind brandgefährlich. Aufgrund der drahtlosen Updatemöglichkeit ist das Cybersecurity Management System mittlerweile einfacher und schneller umzusetzen, als das bisher der Fall war, wo man die Autos in die Werkstatt zurückrufen musste, um die neue Software aufzuspielen. Einfacher heißt aber noch lange nicht einfach. "Für all dies gilt es nun Lösungen zu finden, welche bereits während der aktuell stattfindenden Fahrzeugentwicklung zu berücksichtigen sind, was sicherlich für alle Beteiligten eine der größten Herausforderungen darstellt", ordnet Sebastian Rist die anstehenden Aufgaben, die sich den Autobauern stellen, ein.
Dazu ist auch eine umfassende Analyse der Cybersicherheit der Fahrzeuge und der Produktionskette über den gesamten Lebenszyklus nötig. Das ist mit personellem und finanziellem Aufwand verbunden. Allerdings zahlt sich diese Investition aus, da diese Strukturen auch in Zukunft nötig sind. Dazu müssen die Autobauer auch Neuland betreten und Technologien einsetzen, die bei Unternehmen schon länger gang und gäbe sind. "Beispielsweise Intrusion Detection Systeme, welche potenzielle Cyberangriffe automatisiert erkennen und dem OEM mitteilen. Mittels dieser Daten werden Spezialisten befähigt, systematische Angriffe gegebenenfalls durch Ausnutzung noch unbekannter Sicherheitslücken zu erkennen und geeignete Gegenmaßnahmen zu ergreifen", erklärt Rist.