Home » News » Warum IT-Sicherheit in Autos so komplex ist

Warum IT-Sicherheit in Autos so komplex ist

Im Interview mit Cristian Ion, dem Head of Secure Engineering bei Cymotive, geht es um die Herausforderungen der IT-Sicherheit in Autos und autonomen Fahrzeugen. Ion betont, dass die Sicherheit von Fahrzeugen eine extrem komplexe Angelegenheit ist und es viele Risiken gibt, die es noch zu bewältigen gilt.

3 Min. Lesezeit
Cymotive Car-Shield and Sofware
Foto: Cymotive Technologies

Auf das populäre Hackertool „Flipper Zero“ angesprochen, erklärt Christian Ion, dass solche Tools zwar natürlich gerade für autonome Fahrzeuge eine gewisse Gefahr darstellen, aber auch im positiven Sinne genutzt werden könnten und sollten – etwa für das Testing und die Angriffserkennung per Intrusion Detection: „Flipper Zero als Hacking-Tool für Funkkommunikation sehe ich eher als nützliches Werkzeug für umfangreiche Testing-Anforderungen. Das Pen-Testing-Tool erleichtert zwar auch Laien und Skript-Kiddies den Angriff, aber es bietet auch die Möglichkeit, zahlreiche Skripte zu laden und dann abzuarbeiten, um viele Angriffsvektoren automatisiert zu testen. Insgesamt gibt es aktuell noch recht wenige erschwingliche Hardware-Tools für USB oder CAN-Bus, die als Pen-Testing- und Angriffstools fungieren können, um die Sicherheitsmaßnahmen von Fahrzeugen ausreichend zu testen.“ In gewisser Weise fülle das Hackertool hier eine Lücke.

Ion spricht auch über die Schwierigkeiten, mit denen die Autoindustrie konfrontiert ist, wenn es um die Übernahme von Technologien aus anderen Branchen geht. Er betont, dass es nicht darum geht, Technologien einfach zu kopieren, sondern sie sinnvoll anzupassen. Beispiel Fahrzeug-Software: „Die Industrie- und Automobilbranche haben gemeinsam, dass sie Produkte entwickeln, die lange laufen“, so Ion. „Heute wird bereits Software für Fahrzeuge entwickelt, die 2030 auf den Markt kommen und dann 10, 15 oder 20 Jahre fahren. Sie werden also 2050 noch aktiv genutzt werden. Das muss die Software-Entwicklung heute schon berücksichtigen und die Möglichkeit vorsehen, bei jedem Gerät Updates einspielen zu können. Dazu gilt es regulatorische Rahmenbedingungen zu beachten und zusätzlich alle beteiligten Hersteller entlang der Supply Chain in die Lage zu versetzen, die Updates abgesichert durchzuführen.“

Ein besonderer Aspekt, der die Auto-IT-Sicherheit komplex macht, ist die physische Zugänglichkeit der Fahrzeuge. Im Gegensatz zu Industrieprodukten sind Autos leicht zugänglich und stehen oft auf öffentlichen Parkplätzen. Zudem kommunizieren Fahrzeuge auf verschiedene Weise mit der Außenwelt, was sie anfällig für Angriffe macht.

Ion betont auch die Vielzahl von IT-Komponenten in einem Fahrzeug, die oft von zahlreichen verschiedenen Zulieferern stammen. Er vergleicht die Autoindustrie in Bezug auf die Sicherheit mit der Smartphone-Branche vor 15 Jahren und weist darauf hin, dass eine ähnliche Entwicklung mit zunehmender Konsolidierung von Plattformen zu erwarten ist.

In Bezug auf die Gefahren erfolgreicher Fahrzeug-Attacken erwähnt Ion den Diebstahl einzelner Fahrzeuge und die Manipulation von Backend-Systemen: „Gelingt es, in das Backend-Managementsystem einer Flotte einzudringen, können Hunderte oder Tausende von autonomen Fahrzeugen an einen Ort in einer Stadt geschickt werden, um dort einen Stau zu verursachen, oder auf Autobahnen verteilt werden, um dort alle Fahrzeuge zu stoppen.“ Er weist auch auf die Manipulation von Sensoren und Kartendaten hin, die zu völlig unvorhersehbaren Aktionen bei autonomen Fahrzeugen führen können.

Wie ein wirksamer Schutz aussehen könnte

Um sich gegen diese Bedrohungen zu schützen, setzen Automobilhersteller auf verschiedene Sicherheitsmaßnahmen. Ion: „Um es Angreifern so schwer wie möglich zu machen, gehen OEMs dazu über, nicht mehr alle Geräte an ein einziges Bussystem und ein zentrales Gateway anzuschließen, sondern Zonen mit vielen kleineren Gateways im Fahrzeug zu etablieren. Das verkürzt die Wege (und erhöht die Performance), schottet aber auch Teilbereiche gegeneinander ab und erschwert Hackern den Zugriff auf kritische Systeme. Gibt es nur ein Gateway, so steht nach dessen Übernahme das gesamte System unter fremder Kontrolle. Neue Systeme nutzen dafür mehrere physisch getrennte Subnetze, Virtualisierung und Embedded-Chips mit Virtualisierung für Echtzeitbetriebssysteme.“

Immerhin, einen Vorteil haben Car-IT-Systeme gegenüber allgemeinen IT-Systemen und IT-Infrastrukturen – sie „wissen“ sehr genau, welche Systeme und ‚Player‘ im Fahrzeug was machen dürfen und wie sie kommunizieren. Ion: „Anders als zum Beispiel in Mobilfunknetzen ist immer klar, welche Kommunikation erlaubt und welche ´ungewöhnlich´ ist. Dies erleichtert es, Angriffe und Angreifer mit einem Intrusion Detection System zu erkennen und per Intrusion Prevention System rechtzeitig Gegenmaßnahmen zu ergreifen.

Ion mahnt, dass die Autoindustrie die IT-Sicherheit in Fahrzeugen ernst nimmt und kontinuierlich daran arbeitet, die Risiken zu verstehen und angemessene Sicherheitsmaßnahmen zu ergreifen.

Cymotive Cristian Ion
Foto: Cymotive Technologies

Cristian Ion, CYMOTIVE Technologies

Andere interessante News

Geschäftsmann berührt die Verbindung zu Informationssicherheit, Dateninformationen im Cyberspace

CISPA-Neubau startet

Der Neubau des CISPA Helmholtz-Zentrums für Informationssicherheit auf dem Neumann-Gelände in St. Ingbert rückt näher: Im Dezember 2024 haben Bund und Saarland mit einem Konsortial...

Private Sicherheitskraft

Private Sicherheitswirtschaft: Fast 290.000 Beschäftigte

Die private Sicherheitswirtschaft in Deutschland boomt: Laut aktuellen Zahlen des Statistischen Bundesamtes beschäftigt die Branche mittlerweile beeindruckende 289.509 Menschen. Mi...

Abstrakter Hintergrund mit leuchtend blauen Linien und einem Netzwerk miteinander verbundener Knoten um Energienetze zu symbolisieren.

telent bringt effektive Schutzkonzepte für resiliente Energienetze

Die digitale Transformation im Energiesektor treibt die Energiewende voran. Die zunehmende Vernetzung erfordert höhere Standards in Netzstabilität, Cybersecurity und Kommunikations...