Cyberangriffe
Die Krux bei vernetzten Autos
23. September 2020 agvs-upsa.ch – Cyberangriffe auf Fahrzeuge verursachen nicht nur wirtschaftliche Schäden, sondern können auch die Gesundheit und das Leben von Menschen gefährden. Der Allianz-Autotag beschäftigte sich daher mit dem Cyberrisiko von vernetzten Autos. Ein Video zeigt, was alles möglich ist.
Quelle: Allianz / AZT Automotive GmbH
abi. Diebe öffnen die Autotüre ohne Schlüssel, das Fahrzeug lässt sich nicht mehr starten, eine fremde Person übernimmt während der Fahrt die Kontrolle über Gas- und Bremspedal oder jemand lädt sein Elektroauto an einer öffentlichen Ladestation auf Kosten von jemand anderem: Was früher nach reinster Science-Fiction klang, ist heute ein realistisches Szenario. «Neben dem Logistik- und Energiesektor könnte das vernetzte Auto künftig eines der Hauptziele der IT-Kriminalität werden», sagte Klaus-Peter Röhler, Vorstand der Allianz SE. Es geht um Diebstahl, Erpressung und Rufschädigung des Herstellers. Im schlimmsten Fall werden ganze Flotten lahmgelegt.
Der 8. Allianz-Autotag von Mitte September beschäftigte sich daher mit der IT-Sicherheit für vernetzte Fahrzeuge. «Bis 2023 rechnen wir mit 110 Millionen vernetzten Fahrzeugen in Europa. Das ist sowohl aus Versicherungssicht als auch für Privatpersonen spannend», sagte Jochen Haug, Schadenvorstand Allianz Versicherungs AG. Denn vernetzte Autos, quasi Computernetzwerke auf Rädern, bieten mit ihren Steuergeräten und Sensoren Komfort und Sicherheit – ein Beispiel ist der Abstandstempomat. Gleichzeitig sind Remote-Updates, Telefonintegration oder Car-to-Car-Kommunikation mögliche Angriffspunkte für Hacker. Die Krux: Das vernetzte Auto muss bezüglich möglicher Cyberrisiken Schutz bieten und gleichzeitig einen einfachen und schnellen Zugriff auf Fahrzeugdaten erlauben, damit die Entwicklung und Bereitstellung von neuen Produkten und Services auch von Dritten möglich ist.
Diskutierten über Cyberangriffe: (v.l.) Conrad Meyer, Christoph Krauss, Moderator Fero Andersen, Hans Adlkofer, Jochen Haug und Christoph Lauterwasser. Ebenfalls an der Diskussion beteiligt waren Klaus-Peter Röhler, Claudius Leibfritz, Frank Sommerfeld, Rico Förster, und Rudi Hackenberg (nicht im Bild). Screenshot: AGVS-Medien
«Das Auto war ursprünglich ein mechanisches Werk. Jetzt müssen wir das Auto neu denken – vor allem in den Bereichen, die mit dem Internet verbunden sind», sagte Christoph Lauterwasser, Geschäftsführer Allianz Zentrum für Technik. Denn ein Auto sei langlebig und wertvoll. «Das macht es attraktiv für Diebe und Erpresser.» Eine der grossen Fragen ist dabei, wie die Sicherheit gegenüber Cyberangriffen über den gesamten Lebenszyklus eines Fahrzeugs garantiert werden kann. Dieser kann sich von der Entwicklung über den Produktionszeitraum und die Nutzung bis hin zum Recycling gut über 20 bis 30 Jahre erstrecken. «Das ist die grosse Herausforderung für die Autobauer.» Übrigens: Laut Lauterwasser besonders gefährlich für Angriffe ist die OBD-Schnittstelle. «Wir müssen uns in Zukunft überlegen, ob wir diesen Zugang noch benötigen und allenfalls bessere Wege finden, um Zugang zum Auto zu haben. Wer ihn benutzt, muss äusserst vorsichtig sein.»
Wichtig sei, dass nicht nur an das Auto als Produkt gedacht werde, sondern an die gesamte Produktionskette. «Auch während der Produktionsphase bieten sich Hackern Angriffspunkte. Später kommen weitere Dienstleister dazu, die Zugriff auf das Auto haben. Zum Beispiel Service-Provider. Auch sie können angegriffen werden», sagte Hans Adlkofer von Infineon Technologies AG. «Wir müssen daher End-to-End-Lösungen bieten.» Es gebe viele Beispiele, welche die Autobauer übernehmen können, zum Beispiel von Banken. «Wir müssen das Rad also nicht neu erfinden», betonte Adlkofer. Gleichzeitig gab er zu bedenken, dass Hacker besser werden. «Wir müssen ihnen immer einen Schritt voraus sein.»
Dies geschieht beispielsweise durch die Ausbildung von Fachleuten. «Die Aufmerksamkeit für IT-Sicherheit ist gestiegen», sagte Rudolf Hackenberg von der Ostbayerischen Technischen Hochschule Regensburg. «Das Problem ist, dass es heute schwierig ist, gute Leute zu finden. Es herrscht grosser Wettbewerb unter den Unternehmen.» Die europäischen Universitäten würden jedoch aktiv daran arbeiten, dass es genug Fachpersonal gebe.
Conrad Meyer, der im Bereich digitale Forensik bei der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) arbeitet, betonte die Notwendigkeit von Daten. «Für die Forensik ist das wichtig, denn wenn wir Daten haben, sehen wir auch, was passiert ist.» Allerdings müsse genau geregelt werden, wer welche Daten haben dürfe respektive benötige.
Dem schloss sich Haug an: «Daten sind auch für Versicherungen wichtig. Bei einem Unfall können wir aus den Daten im Auto herauslesen, was passiert ist und wessen Fehler es war – die des Fahrers, des Systems oder ob das Auto gehackt worden ist.» Die Allianz fordert deshalb eine europäische Lösung für ein branchenübergreifendes «Automotive Security Information Center». Röhler: «Wir haben es mit einer Bedrohung zu tun, die weder an Unternehmens- noch an Landesgrenzen haltmacht. Wir sind der Überzeugung, dass ein solches Center Daten und Kompetenzen verschiedener Institutionen zusammenführen muss.» Er denkt dabei an Regierungsbehörden, Fahrzeughersteller, Automobilzulieferer, Telekommunikationsbetreiber, Forschungseinrichtungen, Reparaturbetriebe und Versicherer.
Übrigens: Was für Hacker alles möglich ist, zeigten die Jungs von Wired bereits 2015 mit einem Jeep (Video in Englisch):
Quelle: Wired
Quelle: Allianz / AZT Automotive GmbH
abi. Diebe öffnen die Autotüre ohne Schlüssel, das Fahrzeug lässt sich nicht mehr starten, eine fremde Person übernimmt während der Fahrt die Kontrolle über Gas- und Bremspedal oder jemand lädt sein Elektroauto an einer öffentlichen Ladestation auf Kosten von jemand anderem: Was früher nach reinster Science-Fiction klang, ist heute ein realistisches Szenario. «Neben dem Logistik- und Energiesektor könnte das vernetzte Auto künftig eines der Hauptziele der IT-Kriminalität werden», sagte Klaus-Peter Röhler, Vorstand der Allianz SE. Es geht um Diebstahl, Erpressung und Rufschädigung des Herstellers. Im schlimmsten Fall werden ganze Flotten lahmgelegt.
Der 8. Allianz-Autotag von Mitte September beschäftigte sich daher mit der IT-Sicherheit für vernetzte Fahrzeuge. «Bis 2023 rechnen wir mit 110 Millionen vernetzten Fahrzeugen in Europa. Das ist sowohl aus Versicherungssicht als auch für Privatpersonen spannend», sagte Jochen Haug, Schadenvorstand Allianz Versicherungs AG. Denn vernetzte Autos, quasi Computernetzwerke auf Rädern, bieten mit ihren Steuergeräten und Sensoren Komfort und Sicherheit – ein Beispiel ist der Abstandstempomat. Gleichzeitig sind Remote-Updates, Telefonintegration oder Car-to-Car-Kommunikation mögliche Angriffspunkte für Hacker. Die Krux: Das vernetzte Auto muss bezüglich möglicher Cyberrisiken Schutz bieten und gleichzeitig einen einfachen und schnellen Zugriff auf Fahrzeugdaten erlauben, damit die Entwicklung und Bereitstellung von neuen Produkten und Services auch von Dritten möglich ist.
Diskutierten über Cyberangriffe: (v.l.) Conrad Meyer, Christoph Krauss, Moderator Fero Andersen, Hans Adlkofer, Jochen Haug und Christoph Lauterwasser. Ebenfalls an der Diskussion beteiligt waren Klaus-Peter Röhler, Claudius Leibfritz, Frank Sommerfeld, Rico Förster, und Rudi Hackenberg (nicht im Bild). Screenshot: AGVS-Medien
«Das Auto war ursprünglich ein mechanisches Werk. Jetzt müssen wir das Auto neu denken – vor allem in den Bereichen, die mit dem Internet verbunden sind», sagte Christoph Lauterwasser, Geschäftsführer Allianz Zentrum für Technik. Denn ein Auto sei langlebig und wertvoll. «Das macht es attraktiv für Diebe und Erpresser.» Eine der grossen Fragen ist dabei, wie die Sicherheit gegenüber Cyberangriffen über den gesamten Lebenszyklus eines Fahrzeugs garantiert werden kann. Dieser kann sich von der Entwicklung über den Produktionszeitraum und die Nutzung bis hin zum Recycling gut über 20 bis 30 Jahre erstrecken. «Das ist die grosse Herausforderung für die Autobauer.» Übrigens: Laut Lauterwasser besonders gefährlich für Angriffe ist die OBD-Schnittstelle. «Wir müssen uns in Zukunft überlegen, ob wir diesen Zugang noch benötigen und allenfalls bessere Wege finden, um Zugang zum Auto zu haben. Wer ihn benutzt, muss äusserst vorsichtig sein.»
Wichtig sei, dass nicht nur an das Auto als Produkt gedacht werde, sondern an die gesamte Produktionskette. «Auch während der Produktionsphase bieten sich Hackern Angriffspunkte. Später kommen weitere Dienstleister dazu, die Zugriff auf das Auto haben. Zum Beispiel Service-Provider. Auch sie können angegriffen werden», sagte Hans Adlkofer von Infineon Technologies AG. «Wir müssen daher End-to-End-Lösungen bieten.» Es gebe viele Beispiele, welche die Autobauer übernehmen können, zum Beispiel von Banken. «Wir müssen das Rad also nicht neu erfinden», betonte Adlkofer. Gleichzeitig gab er zu bedenken, dass Hacker besser werden. «Wir müssen ihnen immer einen Schritt voraus sein.»
Dies geschieht beispielsweise durch die Ausbildung von Fachleuten. «Die Aufmerksamkeit für IT-Sicherheit ist gestiegen», sagte Rudolf Hackenberg von der Ostbayerischen Technischen Hochschule Regensburg. «Das Problem ist, dass es heute schwierig ist, gute Leute zu finden. Es herrscht grosser Wettbewerb unter den Unternehmen.» Die europäischen Universitäten würden jedoch aktiv daran arbeiten, dass es genug Fachpersonal gebe.
Conrad Meyer, der im Bereich digitale Forensik bei der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) arbeitet, betonte die Notwendigkeit von Daten. «Für die Forensik ist das wichtig, denn wenn wir Daten haben, sehen wir auch, was passiert ist.» Allerdings müsse genau geregelt werden, wer welche Daten haben dürfe respektive benötige.
Dem schloss sich Haug an: «Daten sind auch für Versicherungen wichtig. Bei einem Unfall können wir aus den Daten im Auto herauslesen, was passiert ist und wessen Fehler es war – die des Fahrers, des Systems oder ob das Auto gehackt worden ist.» Die Allianz fordert deshalb eine europäische Lösung für ein branchenübergreifendes «Automotive Security Information Center». Röhler: «Wir haben es mit einer Bedrohung zu tun, die weder an Unternehmens- noch an Landesgrenzen haltmacht. Wir sind der Überzeugung, dass ein solches Center Daten und Kompetenzen verschiedener Institutionen zusammenführen muss.» Er denkt dabei an Regierungsbehörden, Fahrzeughersteller, Automobilzulieferer, Telekommunikationsbetreiber, Forschungseinrichtungen, Reparaturbetriebe und Versicherer.
Übrigens: Was für Hacker alles möglich ist, zeigten die Jungs von Wired bereits 2015 mit einem Jeep (Video in Englisch):
Quelle: Wired
Kommentar hinzufügen
Kommentare