Wie das Center of Automotive Management (CAM) in einer Studie 2024 herausgearbeitet hat, zählt Cybersecurity „zu den größten Herausforderungen und Erfolgsfaktoren der Automobilbranche in den nächsten Jahren“. Denn „mit der zunehmenden Vernetzung und Digitalisierung von Autos, Produktion und Logistik steigt das Risiko für Cyberangriffe auf die Automobilindustrie.“ Dabei sind es gar nicht mal nur die Automobilhersteller, die Attacken auf ihre Produkte abzuwehren und zu verhindern haben, sondern zu etwa zwei Drittel die Zulieferer. „Die Cybergefahrenlage für die Automobilbranche ist in den letzten Jahren kontinuierlich angestiegen“, betont CAM-Studienleiter Prof. Dr. Stefan Bratzel. „Mit der Verbreitung von Software-definierten Fahrzeugen, der Elektromobilität, dem autonomen Fahren und der vernetzten Lieferkette erhöhen sich die Cyber-Risiken weiter. Eine professionelle Cybersecurity-Strategie von Unternehmen gewinnt als unerlässlicher Hygienefaktor in der Automobilindustrie stark an Bedeutung.“ Und auch Holger Unterbrink, Cyber-Experte und Technical Leader bei der Cisco Talos Intelligence Group, sieht zahlreiche Angriffsmöglichkeiten für professionelle Cyberangreifer nicht nur im Auto selbst, sondern auch bei der Produktion und in den verzweigten Logistikketten. Hinzu kommen der Ersatzteilmarkt und die Autowerkstätten. Er sagt: „Cyberangreifer gehen inzwischen äußerst professionell vor. Rund um den Bereich ‚Automotive‘ hat sich eine eigene Hacker-Industrie entwickelt, die hochgradig arbeitsteilig und skrupellos agiert. In komplexen IT-Systemen der Fahrzeugbranchen haben Angreifer gute Chancen, Sicherheitslücken zu finden.“
Manipulation zentraler Funktionen
Doch nicht erst seit Autos rollende Mobiltelefone sind, arbeitet die Industrie fieberhaft daran, mögliche Sicherheitslücken in ihren Fahrzeugen zu schließen. Bereits 2010 war es Forschern der University of Washington und der University of California bei verschiedenen nicht näher bezeichneten Modellen über das On-Board-Diagnose-System (ODB) bzw. Fernzugriff über Radio- oder Telematiksysteme gelungen, zentrale Funktionen zu manipulieren. Inzwischen lassen sich mit dieser Methode Autos mit der Smart-Key-Lösung binnen weniger Minuten ohne eigenen Schlüssel starten und entwenden. Laut der Experten-Plattform heise online werden bei solch einer Attacke „in das serielle Datenbus-Netzwerk, das Steuergeräte vernetzt, über ein simples Eingabegerät wie einen manipulierten Bluetooth-Lautsprecher gefälschte Nachrichten über Endpunkte wie das Vorderlicht eingespeist. Diese Botschaften täuschen einen Smart Key und dessen Anweisungen vor, was den Diebstahl des angegriffenen Fahrzeugs ermöglicht.“ Noch im Mai dieses Jahres merkte der ADAC an, dass ganze 90 Prozent von 750 überprüften Autos mit Keyless-Systemen problemlos geöffnet und gestartet werden konnten.
Inzwischen sind viele Fahrzeuge mit dem Internet verbunden. Und dass über eine WLAN-Verbindung und den Webbrowser im Infotainment-System ebenfalls Funktionen wie das Anhalten des Fahrzeugs oder die Türentriegelung zu steuern sind, wurde 2016 am Tesla Model S demonstriert. Einem chinesischen Forscherteam gelang es damals über einen Hotspot, aber auch über das Mobilfunknetz, auf das Linux-basierte Betriebssystem zuzugreifen. Die Schwachstelle wurde seinerzeit innerhalb von 10 Tagen durch ein Update behoben.
Vor dem Hintergrund solcher Vorfälle teilte Elon Musk 2017, als die Welt und der Tesla-Chef noch relativ in Ordnung schienen, seine Sorgen bezüglich Cybersecurity in seinen Produkten: „Ich denke, eines der größten Risiken für autonome Fahrzeuge ist, dass jemand einen flächendeckenden Hackerangriff zustande bringt. Wenn es jemandem gelingen würde, zum Beispiel alle autonomen Teslas zu hacken – rein theoretisch – dann könnte er, nur als Scherz, sagen: ‚Schickt sie alle nach Rhode Island‘ – aus allen Teilen der USA. Und das wäre dann wohl das Ende von Tesla.“ Sechs Jahre später wurde dieses Szenario dann ziemlich eindrucksvoll in der Netflix-Produktion „Leave The World Behind“ mit Julia Roberts und Ethan Hawke in Szene gesetzt: Aus Rhode Island wurde Long Island, aber ansonsten wurde Musks Befürchtung 1 zu 1 umgesetzt: Hacker kapern Unmengen an Teslas Model 3 und schicken sie alle zum selben Standort. Die Folge sind Massenkarambolagen und somit blockierte Straßen, sprich Fluchtwege. Eine ziemlich bedrückende und dystopische Vorstellung, auch für andere Hersteller vernetzter und in der Konsequenz möglicherweise autonom agierender Fahrzeuge.
Von Autodiebstahl bis Datenraub
Die Gründe für Hacker, die Gewalt über autonome oder wenigstens vernetzte Fahrzeuge zu erlangen, müssen nicht immer großverbrecherischer, terroristischer oder geopolitischer Natur sein, wobei diese Gefahr stets mitgedacht werden sollte. Auch andere vorstellbare Schäden, die Hackerangriffe potenziell verursachen können, sind immens. Und: Je vernetzter Fahrzeuge sind und je mehr personalisierte Informationen sie enthalten, desto interessanter wird es, in ein Fahrzeug einzudringen und an diese Informationen zu gelangen. Das weckt Begehrlichkeiten und wird vermutlich dazu führen, dass die Zahl der Versuche noch weiter ansteigen wird. Denn nicht nur Gelegenheit macht Diebe – vor allem Erfolgschancen und Profitaussichten erzeugen Kriminalität. Erst Ende letzten Jahres war der Chaos Computer Club über ein Datenleck bei der VW-Softwaretochter Cariad an die Bewegungsdaten und Kontaktinformationen zu Besitzern von 800.000 E-Autos in Europa gelangt. Betroffen waren Modelle von VW, Seat, Audi und Škoda, deren Fahrzeugdaten über einen Amazon-Cloudspeicher zugänglich gewesen waren. Das zeigt, wie potenziell lukrativ weil ergiebig – was die Beute betrifft – Angriffe sein können.
Moderne Fahrzeuge, moderne Bedrohungen
Und die möglichen Einfallstore werden nicht weniger: Marius Mihailovici, Geschäftsführer von Porsche Engineering Romania, rechnete 2021 vor: „Autos sind schon heute rollende Computer. In ihnen arbeitet ein Netzwerk aus Dutzenden Recheneinheiten: Zwischen 70 und 100 dieser Electronic Control Units (ECUs) sind in modernen Fahrzeugen verbaut. [...] Der nächste Schritt werden HCPs (High Performance Computing Platforms) sein, die deutlich mehr Rechenleistung in einem Steuergerät ermöglichen. Die höhere Rechenleistung und die Integration sind notwendig, da die Anzahl der Codezeilen und die Komplexität der Funktionen im Fahrzeug von Jahr zu Jahr ansteigen. Eine Zahl mag das verdeutlichen: 100 Millionen. So viele Zeilen Code stecken in einem modernen Auto. Zum Vergleich: Eine Boeing 787 Dreamliner bringt es gerade einmal auf 14 Millionen Zeilen.“
Moderne Fahrzeuge sind also komplexe Computersysteme. Ihre IT-Architektur basiert auf zentralen Rechnerstrukturen und bietet eine enorme Konnektivität – sowohl innerhalb des Fahrzeugs als auch nach außen zu anderen Fahrzeugen und zur Infrastruktur. Und auch im Inneren des Autos müssen Sicherheitsfragen kritisch und penibel betrachtet werden. Denn das Auto entwickelt sich zunehmend zu einem Speicherort für persönliche Daten. Schon heute zahlen wir teils mit persönlichen Daten, wenn wir das Navigationssystem benutzen. Darüber hinaus stellen Carsharing, Streaming-Dienste wie Netflix, Konten bei Amazon, kontaktloses Bezahlen an der Zapfsäule potenzielle Risiken dar. Letzteres, also die Ladeinfrastruktur für Elektrofahrzeuge, zählen die Macher der eingangs erwähnten Studie übrigens zu den „besonders gefährdeten Bereichen“, da hier durch die vielen verschiedenen Marktteilnehmer eine äußerst komplexe Struktur geschaffen werde, die viele Angriffspunkte für Cyber-Kriminelle biete.
Im Auto selbst kommen Infotainmentsysteme, Telematiksysteme, die Vehicle-to-Vehicle-Kommunikation, die angesprochenen Diagnoseschnittstellen wie OBD oder auch Ladevorgänge bei Elektroautos als Eindringungspunkte in Frage. Außerdem bieten Schnittstellen wie USB oder Bluetooth Möglichkeiten für das Eindringen ins System des Fahrzeugs. Und auch Reifendrucksensoren, SIM-Karten und Smartphone-Apps, die das Auto steuern, gelten als mögliche Gefahrenquellen. Kurzum: Die Angriffsflächen wachsen, und damit steigt auch die Dringlichkeit, Fahrzeuge wirksam gegen Cyberangriffe abzusichern.
Und die Hersteller?
Die Autohersteller selbst, die wie erwähnt nur einen kleinen Teil der Cyber-Strukturen rund um ihre Fahrzeuge selbst verantworten, reagieren mit unterschiedlichen Maßnahmen. Und das müssen sie auch. Spätestens seit dem verbindlichen Inkrafttreten der neuen UNECE-Regelungen zur Cybersicherheit für alle neu hergestellten Fahrzeuge, bleibt ihnen nichts anderes übrig. Die Maßnahmen umfassen neben der verpflichtenden Implementierung von Cybersecurity-Management-Systemen (CSMS) und der Umsetzung der ISO/SAE 21434 Norm unter anderem die Anpassung der Modellpalette. So stellte beispielsweise Volkswagen die Produktion des VW up und des T6.1 ein, bei Porsche traf es den 718 Boxster und den Cayman (in der EU), da eine Anpassung der Modelle an die neuen Anforderungen zu kostenaufwändig gewesen wäre. Im Vordergrund stehen aber auch Investitionen in unternehmensinterne Sicherheitsprogramme: BMW führte die Secure Feature Activation (SFA) ein, um sicherheitsrelevante Funktionen in Fahrzeugen zu schützen, bei Audi gibt es inzwischen das Vulnerability Reporting Programm, das es Sicherheitsexperten ermöglicht, potenzielle Schwachstellen in Produkten zu melden. Derweil bleibt die Gefahr bestehen, dass sich Malware von internen Systemen eines Zulieferers auf Dienstleister-Netzwerke und sogar Unternehmensnetzwerke der Automobilhersteller verbreiten. Es scheint angezeigt, gemeinsame Strukturen zu entwickeln, die die Gefahren so gut es geht eindämmen, um mögliche Angriffe weitestgehend auszuschließen.