Die zunehmende Vernetzung über IoT-Geräte ermöglicht neue Komfortfunktionen, schafft aber zugleich gefährliche Einfallstore für Hackerangriffe. (Bild: Adobe Stock / Open Studio)
Das Internet of Things (IoT) ist die Basis für die Erhebung von Echtzeitdaten, die für das vernetzte Fahrzeug wesentlich sind. Dahinter steht eine große Anzahl von einzelnen IoT-Devices, die im Auto verbaut sind. Doch mit der Vernetzung entstehen Sicherheitsfolgen, die schwer überschaubar sind. „Sobald Remote-Zugriffe auf Fahrzeuge und Daten erlaubt werden, haben die OEMs im Automotive-Bereich eine unglaublich hohe Verantwortung, sicherzustellen, dass kein unautorisierter Akteur in dieses System gelangen kann. Hier sehen wir jedoch bereits eine lange Liste an Fehlschlägen“, sagt Sebastian Steinhorst, Professor für Embedded Systems and Internet of Things an der TU München.
Im Dezember 2024 etwa wurde ein gravierender Datenschutzvorfall beim Volkswagen-Konzern bekannt. Aufgrund einer Fehlkonfiguration bei der VW-Softwaretochter Cariad waren über Monate hinweg Bewegungsdaten von rund 800.000 Elektroautos mehrerer Marken ebenso wie persönliche Daten der Fahrzeugbesitzer ungeschützt in einem Amazon-Cloud-Speicher öffentlich zugänglich. Bei Kia fanden Sicherheitsexperten im letzten Juni erhebliche Schwachstellen im Webportal. Hacker konnten dabei den App-Zugang von Fahrzeugbesitzern nutzen. Allein anhand von Kennzeichen oder Fahrzeugidentifikationsnummer konnten Angreifer sich als „unsichtbare“ Zweitnutzer registrieren, die Autos lokalisieren und Funktionen wie Türverriegelung, Motorstart und Hupe fernsteuern. „Das ist das Gegenteil von gutem IoT-Device-Management“, stellt Sebastian Steinhorst fest.
Das Mobilitäts-Ökosystem wird zum Problem
„IoT-Geräte im Automobil- und Smart-Mobility-Ökosystem sind mittlerweile eine kritische Infrastruktur. Cyberangriffe auf diese Geräte bergen größere Risiken und Auswirkungen als auf andere IoT-Geräte. Daher müssen die Beteiligten für Sicherheit, Betriebsverfügbarkeit und Datenintegrität sorgen“, konstatiert der Cybersecurity-Spezialist Upstream in einem Report. Aus Sicht der Studienautoren läutet die zunehmende Verbreitung von Smart-Mobility-Geräten eine neue Ära massiver Cybersicherheitsrisiken ein. Sie stellen fest: „Zahlreiche Geräte sind anfällig für Angriffe, darunter Ladegeräte und Infrastruktur für Elektrofahrzeuge, autonome Systeme und Kits für selbstfahrende Autos, Verkehrsleitsysteme, Telematiksysteme, Flottenmanagementlösungen und intelligente landwirtschaftliche Geräte.“
Auch Autofahrer sind sich zunehmend der Bedrohung für ihre Fahrzeugsicherheit bewusst: 42 Prozent machen sich Sorgen über Cyberangriffe auf ihr Fahrzeug, und 40 Prozent sehen vernetzte Fahrzeuge mit Software-Updates als Bedrohung an, stellte eine Studie des Center of Automotive Management in Kooperation mit Cisco fest.
Bei allen IoT-Funktionen, in denen over-the-Air (OTA) Veränderungen vorgenommen werden, entstünden Einfallstore, sagt Sebastian Steinhorst: „Zwar führen Regularien wie die NIS2-Richtlinie oder der Cyber Resiliance Act, der ab 2027 gilt, dazu, dass hier notwendigerweise ein Bewusstsein vorhanden ist. Aber wie damit wirklich in der Praxis umgegangen wird, bleibt offen – ebenso ob diese regulatorisch geforderten minimalen Cyber-Security-Anforderungen am Ende genügen“. Durch Regulatorik werde sich die Situation nicht dramatisch verbessern, glaubt der Experte. „In den nächsten Jahren wird es voraussichtlich Situationen geben, wo vielleicht ganze Fahrzeugflotten eines Herstellers und Typs stehen bleiben, weil es gelungen ist, das System zu kompromittieren“, vermutet Steinhorst.
Nur so stark wie das schwächste Glied
Im Fall des VW-Vorfalls lasse sich etwa kein grobes Fehlverhalten feststellen. Es seien beispielsweise nicht unverschlüsselt irgendwo Daten hingelegt worden. Stattdessen habe eine Fehlkonfiguration in der Software dazu geführt, dass es von außen gelang, in einen Modus zu kommen, in dem bestimmte Daten zugreifbar wurden. Damit war es wiederum möglich, an die in der Cloud gespeicherten Schlüssel zu kommen, um Daten entschlüsseln zu können. Das sei also eine mehrstufige Situation gewesen, obwohl das System zunächst auf den ersten Blick sicher wirkte.
„Bei Cybersecurity haben wir immer das gleiche Problem: Das schwächste Glied in der Kette kann dazu führen, dass ein ganzes, gut durchdachtes Sicherheitskonzept in sich zusammenfällt. Mit dem auch künftig weiter steigenden Grad an Komplexität in den Systemen und mehr Vernetzung im Automotive-Bereich zeigen die bisherigen Security Incidents: Es ist nur eine Frage der Zeit, dass das auch Dinge passieren, die dann wirklich mal negativere Effekte haben“, so Sebastian Steinhorst. Bei wachsenden Systemen werde beispielsweise immer mal eine alte Komponente verwendet, die eine Schwäche haben könnte. Die Frage lautet also: Wie lassen sich zukünftig solche Systeme weiter absichern?
Moderne Methoden treffen auf altmodische Prozesse
Denn anders als beim Smartphone, wo das Update für eine Zero-Day-Lücke einige Tage später verfügbar ist, stelle sich das Thema im Fahrzeug anders dar, meint Steinhorst. Nur bei Fahrzeugen, bei denen überhaupt der OTA-Zugriff möglich ist, könne überhaupt ein schneller Security Patch erfolgen. Beim Großteil der Flotte müsse jedoch über das Kraftfahrzeugbundesamt ein Rückruf verschickt werden.
„Es wird schwierig, weil auf der einen Seite sehr moderne Methoden genutzt werden, auf der anderen Seite aber noch zu langsam und träge agiert wird“, konstatiert der Experte. Hier setzten Technologien wie Intrusion Detection und Response Systeme an. Dabei sollte ein aktives System in der Lage sein, bei Hinweis auf eine Sicherheitslücke das Fahrzeug in einen abgesicherten Modus zu bringen oder selbst einen Angriff zu detektieren und autonom erste Abwehrmechanismen in der Software des Fahrzeugs zu starten.
Die Upstream-Studie zitiert auch Martin Arend, General Manager Automotive Security bei BMW: „Um schnell und umfassend reagieren zu können, ist es für die BMW Group von größter Bedeutung, die Wirksamkeit unserer Maßnahmen vor Ort stets im Blick zu behalten. Um diesen Herausforderungen zu begegnen, legen wir weiterhin größten Wert auf die Zuverlässigkeit und Skalierbarkeit unserer Detection-Systeme und machen sie zu einem Eckpfeiler unserer Cybersicherheitsstrategie.“