Keine Überraschung: Connected-Cars sind für Cyberangriffe anfällig. Sicherheitsanbieter Trend Micro hat kürzlich eine neue Studie zur Sicherheit von Connected Cars veröffentlicht. In dieser Studie werden verschiedene Angriffsszenarien und Cyberrisiken beschrieben, welche die Sicherheit des Fahrers und anderer gefährden.
Anzeige
Die Forscher bewerteten 29 reale Angriffsszenarien nach dem DREAD-Bedrohungsmodell zur qualitativen Risikoanalyse. (1) Diese Angriffe können aus der Ferne und/oder von den Fahrzeugen der Opfer aus gestartet werden. Folgende Beispiele zählt die Studie auf:
- DDoS-Angriffe auf Intelligent Transportation Systems (ITS) können die Kommunikation des vernetzten Fahrzeugs beeinflussen und stellen ein hohes Risiko dar.
- Exponierte und verwundbare Connected-Car-Systeme sind leicht zu entdecken, wodurch sie einem höheren Angriffsrisiko ausgesetzt sind.
- Über 17 Prozent aller untersuchten Angriffsvektoren stellen ein hohes Risiko dar. Diese erfordern lediglich ein simples Verständnis der Connected-Car-Technologie und können auch von wenig qualifizierten Angreifern durchgeführt werden.
„Unsere Untersuchungen zeigen, dass es für Angreifer zahlreiche Möglichkeiten gibt, die Connected-Car-Technologie zu missbrauchen", sagt Rainer Vosseler, Threat Research Manager bei Trend Micro. „Glücklicherweise hält sich die Zahl der realen Gelegenheiten für Angriffe derzeit in Grenzen, und Kriminelle haben noch keinen zuverlässigen Weg gefunden, derartige Angriffe zu monetarisieren. Mit der jüngsten Verordnung der Vereinten Nationen, die vorschreibt, dass in allen vernetzten Fahrzeugen Cybersecurity integriert sein muss (2), sowie einem neuen ISO-Standard, der derzeit erarbeitet wird, ist es an der Zeit, dass die Automobil-Branche Cyberrisiken früher erkennt und adressiert. Nur so können wir sicher auf eine Zukunft des vernetzten und autonomen Fahrens blicken."
Es wird prognostiziert, dass zwischen 2018 und 2022 weltweit mehr als 125 Millionen PKWs mit integrierter Konnektivität ausgeliefert werden. (3) Auch das vollständig autonome Fahren entwickelt sich stetig weiter. Dieser Fortschritt schafft ein komplexes Ökosystem, das Cloud, IoT, 5G sowie andere Schlüsseltechnologien umfasst und damit eine breite Angriffsfläche mit Millionen an möglichen Endpunkten und -nutzern bietet.
Während sich die Branche weiterentwickelt, entstehen für Cyberkriminelle, Hacktivisten, Terroristen, Nationalstaaten, Insider und sogar skrupellose Fahrer zahlreiche Möglichkeiten zur Monetarisierung und Sabotage, warnt die Studie. Von allen 29 untersuchten Angriffsvektoren wurde das Gesamtrisiko erfolgreicher Cyberangriffe als mittel eingestuft. Da SaaS-Anwendungen jedoch vermehrt in die elektrisch/elektronische (E/E) Architektur der Fahrzeuge eingebettet werden und Cyberkriminelle neue Strategien entwickeln, um daraus einen gewinnbringenden Nutzen zu ziehen, steigt das Angriffsrisiko.
Um den in der Studie skizzierten Angriffsszenarien entgegenzuwirken, müssen alle kritischen Bereiche in die Sicherheitsarchitektur von Connected Cars integriert werden. Auf diese Weise ist auch die Ende-zu-Ende-Datenlieferkette gesichert. Trend Micro empfiehlt folgende allgemeine Richtlinien für den Schutz von vernetzten Fahrzeugen:
- Gehen Sie von der Möglichkeit eines erfolgreichen Angriffs aus und bereiten Sie sich mit effektiven Warn-, Eindämmungs- und Schadensbegrenzungsprozessen darauf vor.
- Schützen Sie die Ende-zu-Ende-Datenlieferkette über das E/E-Netzwerk des Fahrzeugs, die Netzwerkinfrastruktur, die Backend-Server und das VSOC (Vehicle Security Operations Center) hinweg.
- Nutzen Sie gewonnene Erkenntnisse, um die Verteidigungsmaßnahmen weiter zu stärken und wiederholte Vorfälle zu verhindern.
- Relevante Sicherheitstechnologien sind Firewall, Verschlüsselung, Device Control, App-Sicherheit, Schwachstellen-Scanner, Code Signing, IDS für CAN, Antivirus für die Head Unit und weitere Lösungen.
Weitere Informationen
Vollständiger Bericht Cyber Security Risks of Connected Cars
(1) DREAD beurteilt den möglichen Schaden, wie einfach ein Angriff zu starten und zu reproduzieren ist, wie einfach sich ausnutzbare Schwachstellen finden lassen und wie viele Nutzer davon betroffen wären.
Anzeige
2015
"… ist es an der Zeit, dass die Automobil-Branche Cyberrisiken früher erkennt und adressiert. Nur so können wir sicher auf eine Zukunft des vernetzten und autonomen Fahrens blicken."
Diese Aussage entlockt wohl jedem, der auch nur etwas kritisch(er) und informiert(er) der ganzen IT-/Digitalisierungssache (oder besser Wahnsinn?!?!) gegenübersteht, lediglich nur ein gelangweiltes Gähnen, oder müdes Lächeln. Die Schlinge, die wir uns selbst um den Hals gelegt haben, zieht sich ständig weiter zu… Muss herrlich sein, in einem autonomen Fahrzeug zu sitzen und plötzlich zu merken, dass ein Fremder die Steuerung übernommen hat und man gerade ferngesteuert mit 120 Km/h auf z. B. eine belebte Einkaufsstraße zu rast… Aber ich weiß, ich bin – in gewissen "fortschrittlichen" Kreisen – nur mal wieder technik- und zukunftsfeindlich, Spaßbremse, Schwarzmaler, Angsthase und Verschwörungstheoretiker… :-)
nö, Realist
zu den vielen (Nichtssagenden, unnützigen, mehrdeutigen) Abkürzungen kam mir da in den Sinn: SaaS = Shitstorm as a Service
Nun, da kann ich dich beruhigen – die Leute, die das betrifft, wissen mit den Begriffen was anzufangen – und ich kann es auch weitgehend einordnen. Der Rest macht es wie bei WhatsApp und Facebook – einfach abnicken. Autokauf läuft doch nach wie vor zuerst über Farbe und Innenausstattung – und weniger über "was sammelt die Kiste an Daten, habe ich ein vernetztes Fahrzeug" – denn dann hätten die BMWs, Audis oder Daimlers keinen Chance.
Und die Zeiten, wo Siemens die englische Begriffe in denglisch umgesetzt hat, sind eindeutig vorbei. *)
*) erinnere mich als junger Ingenieur 1981 Mikroprozessorsysteme programmiert zu haben. Mein Arbeitgeber, eine große Chemiefirma, hatte die Dokumentation zur Entwicklungsumgebung (ISIS II MDS) sowohl in Deutsch von Siemens und in Englisch von Intel vorliegen. Man warf mir die Handbücher in Deutsch mit "mach mal" auf den Tisch. Nach einem halben Tag bin ich aufgestanden und habe gefragt "wo ist die Intel-Dokumentation in Englisch, das Siemens-Deutsch versteht niemand". Ich habe dann die englischsprachige Intel-Dokumentation bekommen und war glücklich – ich konnte einfach arbeiten – obwohl meine Englisch-Kenntnisse seinerzeit ausbaufähig waren (2. Bildungsweg ließ auch Leute mit 2 Jahren Englisch bis zur Fachhochschulreife zu). Für die Youngster unter den Lesern: Da gab es kein Google zur Suche und auch kein Google Translate, was man heute bemühen könnte.
Ich gehe doch davon aus, dass die Bus- und Datensysteme zum Lenk- und Bremseingriff und die für die Navigation/Kommunikation physisch und logisch getrennt sind?
Oder doch nicht? Weil 3 Cent teurer :-) oder komfortabler?