Autohersteller versuchen, im Kampf gegen Hacker, Rezepte der IT-Industrie zu übernehmen. Experten hatten den Herstellern Sicherheitsmängel vorgeworfen. Tüv und Dekra wollen künftig die Cybersicherheit der Autos überprüfen.
Stuttgart - Bei Bosch sucht man neuerdings den Schulterschluss mit Hackern. Zumindest mit jenen, die dem Stuttgarter Technologiekonzern wohlgesonnen sind. Auf einer Webseite können Sicherheitslücken von Bosch-Produkten gemeldet werden. Die Angaben überprüft ein neues hauseigenes Unternehmen, das Product Security Incident Response Team, kurz PSIRT. Die schnelle Eingreiftruppe für die Produktsicherheit soll Sicherheitslecks schneller erkennen und schließen helfen, denn bis 2020 sollen alle elektronischen Produkte des Unternehmens vernetzt sein. Die für die Automobilbranche sind besonders heikel, schließlich ist das vernetzte Fahren ein Milliardenmarkt. Ein Hackerangriff mit Verletzten oder gar Toten wäre auch wirtschaftlich eine Katastrophe.
„Die Angreifer sind oft Sicherheitsforscher und liefern den Aufbau der Attacke mit – das stellen wir dann nach und informieren dann gegebenenfalls die betroffene Abteilung“, sagt PSIRT-Chef Thorsten Kuhles. So war es auch im Frühjahr dieses Jahres, als der israelische Sicherheitsdienstleister Argus einen Auto-Analysehelfer von Bosch so manipulierte, dass der Motor eines fahrenden Wagens gestoppt werden konnte. Schon bald nach Bekanntwerden wurde die Schwachstelle durch eine Softwareanpassung behoben und die zugehörige App aktualisiert. Bosch geht damit wie Softwareunternehmen vor, die die Expertise wohlgesonnener Angreifer aus dem Netz alltäglich nutzen. „Mit unserer Eingreifgruppe und dem kooperativen Ansatz gehen wir in der Automobilbranche voraus“, sagt Kuhles – „bei manch anderem Hinweisgeber meldet sich noch der Rechtsanwalt.“
Bei fast jedem Hersteller wurden bereits Sicherheitslücken entdeckt
Sicherheitsexperten halten das für den richtigen Weg. Sie hatten der Branche Sicherheitsmängel bei der Cybersicherheit vorgeworfen. Autohersteller und -zulieferer müssten in einer vernetzten Welt wie IT-Unternehmen denken – und vor allem auch so handeln. Autos entwickeln sich immer stärker zu rollenden Rechnern mit Stau- und Spurhalteassistenten, Einparkhilfen, Kollisionswarnern und Infotainmentsystemen, deren Schnittstellen zur Außenwelt viele Angriffspunkte bieten. Schwachstellen, die mit dem steigenden Absatz auch immer mehr feindliche Hacker und Cyberkriminelle ausnutzen werden. Bei fast jedem Hersteller wurden bereits Sicherheitslücken entdeckt. Deshalb müssten Autos mit zumindest den gleichen Standards wie Computer geschützt werden, fordern die Experten. Nötig seien Sicherheits-Updates, die täglich aufgespielt werden können.
Doch in punkto Sicherheit müssen die Hersteller erst noch Fahrt aufnehmen. So wollen die heimischen Firmen dem US-Elektroautopionier Tesla nacheifern, der bereits Updates über das Internet zur Verfügung stellt. Auch in anderen Bereichen stimmt zumindest die Richtung. So denken die Hersteller schon beim Design der Wagen Verteidigungsstrategien gegen Hacker mit. „Die Entwicklung von Schutz- und Sicherheitsmechanismen wird über den gesamten Lebenszyklus eines Fahrzeugs hinweg fortgeführt“, teilt zum Beispiel Daimler mit. Um Fahrzeug- und Nutzerdaten zu schützen, nutze man die „aus der IT-Welt bekannten“ Sicherheitsmechanismen wie Angrifferkennungssysteme, Verschlüsselungstechnologien, Firewalls, Zertifikate und Virenscanner. Einen 100-prozentiger Schutz könne es allerdings nicht geben.
Die Autobauer bestellen Auftrags-Hacker
Um den Schutz zumindest zu erhöhen, greifen die Hersteller deshalb immer häufiger auf die Expertise von auf Cybersicherheit spezialisierten Firmen zurück. Begehrt sind vor allem jene aus Israel. Die Unternehmen aus Nahost gehören auch wegen ihrer Nähe zu Geheimdienst und Armee zur Weltspitze. So hat Volkswagen mit israelischen Sicherheitsexperten ein eigenes Unternehmen für Cybersicherheit im Automobilbereich gegründet, das Cymotive Technologies heißt. BMW lässt einzelne Elektronikkomponenten wie auch das Gesamtsystem zusätzlich von Dienstleistern testen. Diese agieren dabei wie Auftragshacker. „Die Behebung der durch solche Tests gefundenen möglichen Schwachstellen fließt in den Qualitätsprozess der Komponenten mit ein, das heißt Schwachstellen werden im Entwicklungsprozess behoben“, teilt das Unternehmen mit.
Tüv und Dekra wollen künftig die Cybersicherheit der Wagen prüfen
Doch gerade den schnellen Austausch von wichtigen vernetzten Teilen können viele Hersteller noch nicht leisten. Bisher fehlen auch Standards, mit denen Prüforganisationen den Schutz vernetzter Fahrzeuge vor Hackerangriffen bewerten können. Zurzeit arbeiten unter anderem die Automobilindustrie, Tüv, Dekra, die EU und ihre Mitgliedstaaten daran. In ein, zwei Jahren könnten erste Regularien und damit eine Basis für künftige Prüfnormen feststehen. „Es ist enorm wichtig, dass es solche Prüfnormen und damit ein gemeinsames Verständnis gibt, was Cybersicherheit für Fahrzeuge bedeutet“, sagt Houssem Abdellatif, Leiter Automatisiertes Fahren beim Tüv Süd.
Bisher sei das Design der Autos nicht für die Vernetzung ausgelegt gewesen, betont Abdellatif. Jetzt müssten die Hersteller Schnittstellen einbauen und auch schützen – inklusive Alarmsysteme. „Unsere Rolle als Tüv und unabhängiger Dritter ist es, dass wir künftig auch diese Alarmsysteme untersuchen, eventuell in der Hauptuntersuchung. Und wir müssen festlegen, wie und bis wann ein Sicherheitsleck behoben werden muss.“