Die Kommunikationsschnittstelle, über die beispielsweise Hersteller und Werkstätten zum Aufspielen von Updates für Software und Assistenzsysteme oder zum Auslesen des Fehlerspeichers digital auf Autos zugreifen können, stellt auch ein Einfallstor für Hacker und Cyberkriminelle dar. Cyberangriffe auf Fahrzeuge könnten in Zukunft stark an Bedeutung gewinnen. Die Gefahr monetär motivierter Angriffe, die sich gegen Hersteller, Flottenbetreiber richten, ist noch relativ gering. Anders sieht es bei politisch, ideologisch oder emotional motivierten Angriffen aus. Karsten Crede von ERGO Mobility Solutions gibt einen Überblick.
Unsere Autos sind in den vergangenen Jahren immer smarter geworden. Diverse digitale Anwendungen erleichtern das Autofahren nicht nur, sie machen es auch sicherer, kurzweiliger und individueller. Ebenso können Werkstätten und Hersteller „over-the-air“ auf das Fahrzeug zugreifen, Updates für Software und Assistenzsysteme aufspielen oder auch den Fehlerspeicher auslesen.
Um sämtliche dieser neuen Services möglich zu machen, benötigt das Fahrzeug vor allem eines: eine Kommunikationsschnittstelle mit der Außenwelt. Das Problem dabei ist jedoch, dass diese „Tür“ auch von denen genutzt werden kann, die man nicht in seinem Fahrzeug haben möchte. Kurzum, mit steigendem Digitalisierungsgrad ist das Fahrzeug auch ein potenzielles Ziel von Hackern und Cyberkriminellen geworden.
Dass ein Fahrzeug grundsätzlich hackbar ist, wurde in mehreren Studien gezeigt. Medial am prominentesten war wohl der Hack von Charlie Miller und Chris Valasek im Jahr 2015. Zusammen mit dem Journalisten Andy Greenberg zeigten sie schon vor über sieben Jahren, was möglich ist. Ohne jemals im Fahrzeug gewesen zu sein, waren sie in der Lage, die Kontrolle über einen Jeep Cherokee zu übernehmen, mit dem sich Greenberg gerade auf dem Highway befand.
Sie hatten nahezu vollständigen Zugriff auf das Fahrzeug. Ihre Möglichkeiten reichten von „kleinen Streichen“ wie dem Manipulieren des Fahrzeugbildschirms und dem Aufdrehen der Musiklautstärke bis hin zu großen und sicherheitsrelevanten Eingriffen wie dem Ausschalten des Motors oder der Übernahme der Lenkanlage.
Beruhigend an diesem Hack waren vor allem zwei Dinge: Zum einen hatten Miller und Valasek nichts Böses im Sinn. Der Hack war als wissenschaftliches Experiment ausgelegt. Der Herstellerkonzern Fiat Chrysler Automobiles rief im Anschluss ca. 1,4 Millionen Fahrzeuge zurück, um die entsprechende Sicherheitslücke zu schließen. Die zweite gute Nachricht war, dass dieser Angriff nicht über Nacht realisierbar war. Selbst zwei der besten IT-Experten auf diesem Planeten haben mehrere Monate gebraucht, um sich schlussendlich in das Fahrzeug zu hacken.
Nichtsdestotrotz stellen Cyberangriffe auf moderne vernetzte Fahrzeuge eine reale Gefahr dar. Diese Gefahr muss zudem anders bewertet werden als die klassische Cyberkriminalität, die sich seit jeher primär auf Computer von Unternehmen und Privatpersonen fokussiert. Ein Virus oder eine Malware auf einem Computer sind ein Ärgernis und richten im schlimmsten Fall finanziellen Schaden an. In einem Auto jedoch kann ein Cyberangriff auch tödlich Folgen haben, wenn etwa ein Hacker bei hohen Geschwindigkeiten die Bremsen manipuliert.
Bei der Frage, wie wahrscheinlich derartige Angriffe in der Realität sind, muss man sich auch mit der Motivation der Hacker auseinandersetzen. Hat der Angreifer monetäre Interessen, so sind es – neben dem klassischen Diebstahl – insbesondere Erpressungsszenarien, über die sich der Hacker eine Auszahlung erhofft. Solche Erpressungen können sich gegen Hersteller, Flottenbetreiber oder auch Privatpersonen richten. Der Ransomware-Angriff, wie man ihn aus der traditionellen Computerwelt kennt, bei dem sämtliche Daten verschlüsselt und erst nach Zahlung eines Lösegelds wieder freigegeben werden, lässt sich auf das Auto-Szenario übertragen. Nur werden hier keine Daten verschlüsselt, sondern das Fahrzeug stillgelegt.
Der Nutzer muss dann abwägen, was für ihn das geringere Übel darstellt. Die Zahlung des Lösegeldes oder „Reparatur“ des Fahrzeuges auf eigene Faust. Erste Versicherer gehen dazu über, Cyberangriffe explizit in ihre Policen einzuschließen. Eine genaue Quantifizierung des Risikos ist aktuell jedoch noch schwierig.
Der geschätzte jährliche Schaden deutscher Unternehmen durch Cyberangriffe lag zuletzt bei über 200 Mrd. Euro. Wie relevant die Thematik für die Kfz-Versicherung wird, werden die kommenden Jahre zeigen.
Noch ist die Gefahr monetär motivierter Angriffe relativ gering. Solche Angriffe folgen ökonomischen Mustern und sind nur dann attraktiv, wenn am Ende die Erträge die Kosten übersteigen. In den allermeisten Fällen sind die Kosten solcher Hacks – insbesondere durch den immensen Zeiteinsatz – jedoch so hoch, dass kaum ein Angreifer unabhängig vom Szenario hierbei auf eine positive Bilanz kommen würde.
Anders stellt sich die Situation bei politisch, ideologisch oder emotional motivierten Angriffen dar. Ökonomische Gesetze gelten dabei nicht. Das Spektrum solcher Angriffe ist breit. Im Jahr 2010 verschaffte sich ein entlassener Mitarbeiter eines Autohandels in Texas Zugang zu über 100 Fahrzeugen. Einige legte er still, andere ließ er dauerhaft und unkontrolliert hupen. Ebenso sind aber auch Szenarien mit Verletzen und Toten denkbar.
Das Problem von Cyberangriffen auf Fahrzeuge wird in Zukunft an Bedeutung gewinnen. Die Automobilindustrie und öffentliche Hand beschäftigen sich bereits seit längerer Zeit mit der Entwicklung geeigneter Verteidigungsmaßnahmen. In puncto Regulierung gelten zum Beispiel seit letztem Sommer die UNECE-Regelung R155 (Cybersecurity Management System) und R156 (Software Update and Software Update Management System). Damit müssen Hersteller nachweisen, dass ihre Systeme sicher sind und Hacker keinen Zugriff erhalten können.
Most Popular