Erfolgreiche Hackerangriffe schrecken die Automobilhersteller auf. Die Branche müsse so schnell reagieren können wie eine IT-Firma, warnen Experten. Die Hersteller rüsten deshalb auf.
Stuttgart - In diesem Frühjahr war es wieder so weit: Hacker manipulierten einen kleinen Auto-Analyse-Helfer von Bosch so, dass sie den Motor des fahrenden Wagens stoppen konnten. Nicht auszudenken, was das für die Insassen hätte bedeuten können. Eigentlich kann Boschs Konnektor mit dem Namen Drivelog Connect bequem in die gängige Diagnose-Schnittstelle eines Autos gesteckt und mit der passenden Smartphone-App via Bluetooth verbunden werden. Für die Anschaffungskosten von rund 70 Euro könne auf diese Weise das Fahrverhalten analysiert oder das geparkte Auto gefunden werden, wirbt Bosch. Das Hilfsmittel gibt es für fast alle Automarken. Doch der Konnektor, der für mehr Sicherheit sorgen soll, wurde zur Falle: Den Hackern gelang es, eine Sicherheitslücke auszunutzen und über weitere Schwachstellen die Kontrolle über den Wagen zu übernehmen.
Zum Glück handelte es sich bei den Angreifern nicht um Kriminelle. Der israelische Sicherheitsdienstleister Argus steckte dahinter. „Wir haben Bosch informiert“, sagt der Chef Ofer Ben-Noon beim Gespräch mit unserer Zeitung. „Sie haben sofort reagiert.“ Das bestätigt auch Bosch: Die Schwachstelle sei durch eine Softwareanpassung behoben, die Konnektor-App aktualisiert und die Nutzer informiert worden.
Automobile haben sich zu rollenden Rechnern entwickelt und sind angreifbar
Die Verbraucher haben sich daran gewöhnt, dass ihre Computer und Smartphones von Viren befallen und Daten ausspioniert werden können. Dass auch Autos viele Gefahren bergen, ist vielen nicht bewusst. Doch Automobile haben sich zu rollenden Rechnern entwickelt. Sie bieten Stau- und Spurhalteassistenten, Einparkhilfen, Kollisionswarner, Infotainment-Systeme oder die Anzeige über freien Parkraum. Oft sind dafür Dutzende Mikrocomputer eingebaut, die unter anderem Lenkung und Bremsen steuern. Für Autos von heute werden Millionen von Zeilen Code programmiert. Schon eine kurze Fahrt eines Oberklassefahrzeugs erzeugt oft mehr Daten, als der durchschnittliche Smartphonenutzer in einem kompletten Monat verbraucht.
All das macht die Wagen angreifbar. Der Autohersteller Chrysler rief 2015 in den USA 1,4 Millionen Wagen wegen einer Software-Sicherheitslücke zurück. Sicherheitslücken wurden auch bei BMW, VW, General Motors, Tesla und anderen Autoherstellern entdeckt. Hinter den Angriffen steckten vor allem Sicherheitsforscher. Dennoch könnten auch kriminelle Hacker vor allem die Auto-Schnittstellen zur Außenwelt als Einfallstor nutzen. Das Infotainment-System ist über W-Lan mit dem Internet verbunden, das Handy via Bluetooth, USB-Sticks werden eingestöpselt. Der Reifendruckmesser benutzt eine Funkfrequenz, Sensoren kommunizieren miteinander. Die Hersteller haben das Problem erkannt. Sie investieren in Sicherheitstechnik und suchen den Rat von Cyberexperten. Häufig jenen von Argus, dem weltgrößten Sicherheitsdienstleister in diesem Bereich.
„Wir arbeiten mit fast allen Autobauern in Deutschland zusammen“, sagt Ben-Noon. Außerdem gebe es eine Partnerschaft mit dem Autozulieferer Continental. Von den Autobauern dürfe er allerdings nur Daimler nennen. Die Stuttgarter wählten Argus für die Innovationsplattform Start-up Autobahn aus. Zum aktuellen Stand der Zusammenarbeit will sich Daimler auf Anfrage nicht äußern, da es sich um ein „sicherheitsrelevantes Thema“ handle.
Der Firmenchef ist ein Ex-Geheimdienstler
Wie viele andere Anbieter von Sicherheitsdienstleistungen in Israel diente Ben-Noon in der Einheit 8200 der israelischen Armee – das Pendant zum amerikanischen Geheimdienst NSA. 2013 machte er sich selbstständig und gründete Argus. Das Wissen aus der Cyberabwehr nutzte der 31-Jährige für sein neues Geschäftsmodell: „Wir haben verstanden, dass man in einigen Jahren diese Kompetenzen in der Autoindustrie brauchen würde“, sagt er. Seitdem habe er das größte Problem der Automobilbranche kennengelernt – die Produktionsweise. „Wenn sie sich nicht auf die Geschwindigkeit der IT einstellt, ist das äußerst riskant.“ Künftig müssten Autos so produziert werden, dass vernetzte Teile ebenso schnell nachgerüstet bzw. mit Updates versehen werden können wie ein Computer, sagt Ben Noon und fügt hinzu: „Doch das passt derzeit überhaupt nicht zur Autoindustrie. Sie will solche Veränderungen möglichst vermeiden, weil sie teuer und komplex sind.“
Der Autoexperte Ferdinand Dudenhöffer stimmt dem zu – zu lange hätten die Autobauer das Thema Cybersicherheit vernachlässigt. „Wenn Sie heute ein neues Auto kaufen, ist die Technologie bis zu zehn Jahre alt. Es gibt Tausende von Angriffsmöglichkeiten. Wir bewegen uns von einer Offlinewelt in eine Onlinewelt. Deshalb brauchen die Autohersteller und ihre Zulieferer noch sehr lange, um die Sicherheitslücken relativ sicher zu schließen“, so Dudenhöffer. Künftig hätten die Autobauer kein halbes Jahr mehr Zeit für einen möglichen Rückruf, es müsse automatische Softwareupdates wie bei PCs geben – hier sei der US-Hersteller Tesla das Vorbild: „Tesla führt bereits permanente Softwareupdates über das Internet durch.“
Die Autohersteller investieren derzeit massiv in die Cybersicherheit
Die Autohersteller und ihre Zulieferer arbeiten an weiteren Lösungen. So hat Bosch ein Sicherheitsteam gegründet, das Sicherheitslecks konzernweit schneller erkennen und schließen helfen soll. Dabei arbeitet Bosch mit nicht kriminellen Hackern zusammen. VW hat mit israelischen Sicherheitsexperten eine Firma für Cybersicherheit im Automobilbereich gegründet. Daimler und BMW lassen Hackerangriffe simulieren, um Schwachstellen zu entdecken.
Das ist auch nötig, meinen Sicherheitsexperten. Besonders bei Angriffen auf Firmenwagen oder Bussen ließe sich mit Erpressertrojanern künftig viel Geld holen, warnt Ben-Noon. Auch deshalb gelte die Autobranche für Hacker als besonders attraktiv. „Wenn die Automobilhersteller das Rennen um die Cybersicherheit gewinnen wollen, müssen sie agiler als die Hacker sein. Schon für die IT-Industrie ist das eine große Herausforderung. Für die Autoindustrie ist sie noch größer“, so der Argus-Chef.
Israels Ex-Soldaten geben bei Cybersicherheit den Takt vor
Es ist kein Zufall, dass mit Argus der weltweit größte Sicherheitsdienstleister für das vernetze Fahren aus Israel kommt. Das Land gehört mit seinen mehr als 350 auf Cybersicherheit spezialisierten Firmen zur IT-Weltspitze. Die meisten Firmen wurden von ehemaligen Mitgliedern der israelischen Armee gegründet, das Land gilt im Cyberkrieg mit als führend. Eine spezielle Rolle spielt die Einheit 8200, das Pendant zum amerikanischen Geheimdienst NSA. Ihr Fokus: Sicherheitslücken der Gegner entdecken und eigene zu schließen. Den Wissensvorsprung, den sie dabei erarbeiten, nutzen etliche Soldaten später für das eigene Unternehmensgeschäft.
Auch Ofer Ben-Noon diente acht Jahre lang in der Einheit 8200, dann gründete er 2013 Argus. Aus den Erfahrungen mit eigenen simulierten Hackerangriffen gestaltete sein inzwischen 65-köpfiges Team, von dem das Gros ebenfalls aus der Einheit 8220 stammt, das erste Sicherheitsprodukt. 2014 investierten israelische Wagniskapitalgeber vier Millionen Dollar (3,4 Millionen Euro) in das Unternehmen. 2015 gaben Fonds sogar 26 Millionen Dollar (22 Millionen Euro), darunter der Automobilzulieferer Magna International und die Allianz SE. Auch für Versicherungskonzerne gewinnen durch Hackerangriff verursachte Unfälle künftig an Bedeutung.