IT-Sicherheitsaspekte intelligenter Fahrzeuge
Die vernetzte Welt des Internet of Things (IoT) macht auch vor Fahrzeugen nicht Halt. Neben der bisher im Fokus stehenden Sicherheit von Autos, wird auch immer stärkeres Augenmerk auf die Sicherheit der bei Fahrzeugen zum Einsatz kommenden Digitaltechnik gelegt.
Autos, Motorräder und LKWs verwandeln sich immer mehr in komplizierte Computersysteme auf zwei oder mehr Rädern. Aufgrund der installierten Komponenten sowie deren Vernetzung handelt es sich dabei quasi um Rechenzentren auf Rädern. Die steigende Anzahl von IT-Komponenten und deren Vernetzung führt zu Cyber-Security-Risiken und auch Herausforderungen im Safety-Bereich für intelligente Fahrzeuge.
Aus dem Alltag ist bekannt, dass der Befall eines Consumer-Geräts (z. B.: IoT-Kamera, Smartphone) mit Schadsoftware ärgerlich ist sowie oft mit einem Datenverlust oder dem Missbrauch des Geräts für Angriffe einhergeht. Im Gegensatz zu einer Beschädigung oder einer Kompromittierung eines gewöhnlichen Consumer-Geräts ist allerdings bei der Störung eines Fahrzeugs neben einem Datenverlust auch die Entstehung bedrohlicher Situationen möglich. Zudem sind Fahrzeuge kostenintensivere Anschaffungen für Privatpersonen, die zuverlässig sein müssen, um zum Beispiel zur Arbeit zu kommen oder die Familie zu transportieren.
Intelligente Fahrzeuge können das Fahrerlebnis verbessern, die Sicherheit erhöhen und unangenehme Situationen vermeiden oder vollständig autonom agieren. Die einzelnen Lösungen ermöglichen die Verbesserung von Fahrzeugfunktionen, die Erleichterung von Wartungstätigkeiten oder bringen Nutzen hinsichtlich des Komforts oder auch der Sicherheit der Insassen.
Durch die umfangreiche Erfassung, Verarbeitung, Speicherung und Übertragung von Daten entstehen aber auch Gefahren, insbesondere hinsichtlich des Datenschutzes bzw. der IT-Sicherheit. Dabei handelt es sich um wesentliche Hürden, die Autofahrerinnen und Autofahrer verunsichern können.
Die Vernetzung intelligenter Fahrzeuge und potenzielle Risiken
Moderne Fahrzeuge weisen oft eine Vielzahl kabelloser Schnittstellen auf und sind sowohl intern als auch extern vernetzt. Diese Connectivity ermöglicht vollkommen neue Funktionen und Verbesserungen. Unglücklicherweise entstehen aber genau dadurch auch Bedrohungen hinsichtlich der Sicherheit und Schwachstellen im Bereich des Datenschutzes.
Intelligente Fahrzeuge (auch smart-cars oder connected cars) sind Teil der technologischen Entwicklung und zunehmend Teil des IoT. Eine wesentliche Grundidee ist die Daten-Gewinnung von dem Fahrzeug und über die Benutzerinnen oder Benutzer, um Einblicke in das Nutzungsverhalten gewährt zu bekommen. Generell gibt es zwei Möglichkeiten, wie intelligente Fahrzeuge mit anderen Geräten kommunizieren können. Einerseits ist die direkte Kommunikation möglich und andererseits können indirekte Verbindungen über Cloud-Systeme der Hersteller hergestellt werden.
Das bedeutet, dass intelligente Fahrzeuge eigenständig Daten erzeugen und Daten aus externen Quellen im IoT-Ökosystem erhalten. Da derartige Daten äußerst wertvoll sind, lohnt sich für Kriminelle ein Diebstahl bzw. eine Manipulation.
Mögliche Angriffe auf Fahrzeuge und deren Daten
Neben dem finanziellen Wert sorgen die Verknüpfung intelligenter Fahrzeuge sowie die Erzeugung von großen Datenmengen und der Datenfluss über ungesicherte Computernetzwerke dafür, dass derartige Fahrzeuge potenzielle Ziele für Angriffe darstellen. Mögliche Angriffsszenarien sind:
- Diebstahl des gesamten Fahrzeuges oder wertvoller Fahrzeugkomponenten durch Überwinden der vernetzten Sicherungseinrichtungen
- Manipulation von Sensoren und Signalen
- Safety-Risiko durch eine entfernte und unerwartete Verriegelung des Lenkschlosses
- Diebstahl privater Daten
- Übernahme der Kontrolle über eine Vielzahl von Fahrzeugen
Wie können Kriminelle Zugang zu intelligenten Fahrzeugen erlangen?
- Direkter Zugang: Über das Diagnosesystem (z. B.: kabelgebunden)
- Indirekter Zugriff: Aus kurzer oder größerer Distanz und kabellos
- Entfernter Zugang: Über einen installierten Schadsoftware-Trojaner
Was können Nutzerinnen und Nutzer tun?
Im Wesentlichen sind gewöhnliche Schutzmaßnahmen aus der IT auch auf „mobile Rechenzentren“ anwendbar. Das bedeutet, dass auch bei Fahrzeugen regelmäßige Updates von großer Bedeutung sind. Wie in der konventionellen Informationstechnologie sind zeitgerechte Korrekturen von Sicherheitslücken (auch als Patches oder Security-Updates bekannt) eine wichtige und etablierte Stütze der Computer-Sicherheit. Anbieter von Schutzprogrammen verbessern die Systeme systematisch und integrieren neue Erkenntnisse über Angriffsmuster – auch bei der Fahrzeugsoftware.
Der folgende Abschnitt geht auf mögliche Aktivitäten ein, die Endanwenderinnen und Endanwender setzen können, um die Risiken eines Angriffs zu minimieren.
Ändern sie Ihre Einstellung zu Ihrem Fahrzeug
- Erwartungen: Passen Sie Ihre Erwartungen an und schränken Sie Zugangspunkte, wo es sinnvoll ist, ein (z. B.: muss nicht jedes Feature aus der Ferne nutzbar sein).
- Auto als Computer: Behandeln Sie das intelligente Auto wie einen Computer oder besser, wie ein rollendes Rechenzentrum.
- Vertrauenswürdiger Hersteller: Setzen Sie auf erprobte und zuverlässige Hersteller.
- Beschreibung: Lesen Sie die Beschreibung Ihres Autos aufmerksam und legen Sie dabei besonderes Augenmerk auf Abschnitte zu Maßnahmen und Tools im Bereich der Cyber-Sicherheit.
- Fahrzeug absperren: Versperren Sie Ihr intelligentes Auto mit sicheren Methoden (z. B.: Fingerprint, komplexe Passwörter, sichere Schlüssel).
- Need-to-know-Prinzip: Übermitteln Sie die Zugangsdaten zu Ihrem Fahrzeug nur vertrauenswürdigen Personen.
- Externe Geräte: Denken Sie darüber nach, welche Geräte Sie an Ihr Fahrzeug anschließen wollen (eine Gefahr stellen z. B. unsichere Geräte und infizierte USB-Sticks dar).
- Informieren: Holen Sie aktiv Neuigkeiten über Ihr Fahrzeug und relevante Warnungen ein.
- Falls das Auto gehackt wurde: Wenn Sie das Gefühl haben, Ihr Fahrzeug wurde gehackt, kontaktieren Sie den Hersteller oder Ihren Händler, um das Fahrzeug analysieren zu lassen.
Programme und deren Aktualisierung
- Aktualisierungen und Updates: Halten Sie die Software bzw. Firmware Ihres Fahrzeugs aktuell und aktivieren Sie automatische Updates aus zuverlässigen Quellen.
- Vermeiden Sie Manipulationen: Verändern Sie die Programme Ihres Fahrzeugs nicht, um Sicherheitsupdates „manuell“ einzuspielen, wenn Sie nicht ganz genau wissen, was Sie tun.
- Änderungen am Auto: Vermeiden Sie unautorisierte Änderungen an den Programmen Ihres Fahrzeugs.
- Anbindungen kritisch überdenken: Vorsicht ist geboten, wenn Geräte an dem Fahrzeug angebunden werden sollen, die nicht der Wartung oder Diagnosezwecken dienen.
- Reparatur: Suchen Sie eine zuverlässige und vertrauenswürdige Werkstatt auf.
- Anti-Malware: Setzen Sie zuverlässige Anti-Malware ein.
Ihre Daten im intelligenten Fahrzeug haben Sicherheit verdient
- Back-up-Funktionalität: Erstellen Sie geschützte Back-ups und speichern Sie diese an sicheren Orten, die nicht mit dem Fahrzeug verbunden sind.
- Daten nützen: Setzen Sie Ihre Daten ein, wenn es sinnvoll ist, aber schützen Sie diese auch entsprechend.
- Sinnvolle Dienste: Denken Sie darüber nach, welche Services Sie zwingend benötigen und auf welche Sie verzichten können.
- Unbenötigtes deaktivieren: Deaktivieren Sie Funktionen im Fahrzeug, die Sie nicht benötigen.
Fazit: Behandeln Sie Ihr intelligentes Fahrzeug wie ein rollendes Rechenzentrum oder einen Computer, auf dem sich sensible Daten befinden.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria