Die Cyber-Sicherheit wird in Zukunft ein wichtiges Thema für die Autobauer. Ab 2022 gelten neue Regeln für die Software-Updates von vernetzten Fahrzeugen. Die Zeit drängt, ansonsten drohen Zombie-Autos.

Die mobile Zukunft klingt prächtig. Vernetzte Autos, die miteinander und mit der Infrastruktur kommunizieren, um den Menschen vor Gefahren zu schützen. Gemäß den Schätzungen der Beratungsfirma Capgemini werden im Jahr 2023 rund 110 Millionen vernetzte Fahrzeuge auf Europas Straßen rollen. Ein Plus an Sicherheit zweifelsohne. Aber diese IT-Hightech-Vehikel können auch zu einem Problem werden. Denn wie ein Computer hat ein derart technisch hochgerüstetes Automobil seine Sicherheitslücken.

Beweise wie Hacker ein Fahrzeug kapern können, gibt es genug. 2015 schafften es zwei Hacker über eine Sicherheitslücke des Unterhaltungssystems des Wagens, das mit dem Internet verbunden ist, in das System eines Jeep Cherokee einzudringen und die Steuerung sowie die Bremsen fernzusteuern. Der Imageschaden für Fiat Chrysler war immens und 1,4 Millionen Fahrzeuge mussten in die Werkstätten zurückgerufen werden, um die Sicherheitslücke zu schließen.

Vorfälle wie der eben geschilderte, zeigen: Jede Schnittstelle ist eine Pforte, die Hacker nutzen können, um das Auto zu manipulieren. Seien es physische wie der OBD-Port oder virtuelle wie die Software-Updates, die drahtlos aufgespielt werden und die in Mode kommenden Smartphones, die zugleich als Autoschlüssel fungieren. Das hat weitreichende Auswirkungen. „Der Schlüssel darf nicht kopierbar sein, und wir brauchen im Falle eines Totaldiebstahls einen transparenten Überblick, wer wann für welchen Schlüssel berechtigt wurde“, erklärt Jochen Haug, Schadenvorstand Allianz Versicherungs-AG.

Klar ist, dass die Cyber-Sicherheit auf der Agenda der Autobauer ganz weit nach oben klettert. Das UNECE World Forum for Harmonization of Vehicle Regulations hat Tatsachen geschaffen und bereits im vergangenen Jahr neue UN-Regelwerke zu Cybersicherheit und Software-Updates von vernetzten Fahrzeugen verabschiedet. Die Europäische Union macht Nägel mit Köpfen: Ab Sommer 2022 gelten diese Vorschriften für alle neuen Fahrzeugtypen und zwei Jahre später für alle Neufahrzeuge. Betroffen sind nicht nur Pkws, sondern auch Kleintransporter, Lkws und Busse. „Aufgrund der neuen Regulierung muss daraus nun einen ganzheitlichen Ansatz geformt werden, welcher den kompletten Lebenszyklus eines Fahrzeuges umfasst“, erklärt Sebastian Rist, Projektleiter und Security Consultant bei Escrypt, einem Unternehmen, das sich auf Sicherheitslösungen spezialisiert hat.

Die Zeit drängt, will man nicht eine potenzielle Armada von Zombie-Autos auf den Straßen haben. „Wir haben es mit einer Bedrohung zu tun, die weder an Unternehmens- noch an Landesgrenzen haltmacht, und wir sind der Überzeugung, dass ein solches Center Daten und Kompetenzen verschiedener Institutionen zusammenführen muss, unter anderem Regierungsbehörden, Fahrzeughersteller, Automobilzulieferer, Telekommunikationsbetreiber, Forschungseinrichtungen, Reparaturbetriebe und Versicherer“, macht Klaus-Peter Röhler, Vorstandsvorsitzender der Allianz Deutschland AG, klar.

Der Plan ist einfach, doch so ein „Cybersecurity Management Systems“ (CSMS) auf die Beine zu stellen, ist keine triviale Angelegenheit. Viele Faktoren beeinflussen die Cyber-Sicherheit eines Wagens. Das geht bei der Komplexität des Automobils los und endet mit der Lieferkette. Schließlich versorgen die Zulieferer die Autobauer mit Modulen, die durchaus sicherheitsrelevant sind. Und wo Software da auch Einfallstüren. Die Autobauer halten die IT-Karten nahe an der Brust. Wer mit einem sicheren System prahlt, weckt den Ehrgeiz der Hacker. „Die höchsten Sicherheitsansprüche unserer Kunden gelten in gleicher Weise für die Datensicherheit des vernetzten Fahrzeugs als auch unserer Kundendaten. Daimler schützt die Kundendaten vor Manipulationen und Missbrauch. Mit Blick auf den IT-technischen Fortschritt entwickeln wir die Datensicherheit ständig weiter“, lässt der schwäbische Premium-Autobauer verlauten.

Die Verschwiegenheit nachvollziehbar und sinnvoll macht aber die Aufgabe, das Automobil in eine IT-Trutzburg zu verwandeln, nicht einfacher. Eine bewährte Maßnahme und unerwünschte Eindringlinge fernzuhalten, ist, die Software des Wagens immer aktuell zu halten. Ähnlich wie das bei Betriebssystemen der Fall ist, müssen Sicherheitslücken möglichst schnell mit Updates behoben werden. Denn eines ist klar, kein Soft- und Hardwaresystem ist perfekt und offene Pforten sind brandgefährlich. Aufgrund der drahtlosen Updatemöglichkeit ist das Cybersecurity Management System mittlerweile einfacher und schneller umzusetzen, als das bisher der Fall war, wo man die Autos in die Werkstatt zurückrufen musste, um die neue Software aufzuspielen. Einfacher heißt aber noch lange nicht einfach. „Für all dies gilt es nun Lösungen zu finden, welche bereits während der aktuell stattfindenden Fahrzeugentwicklung zu berücksichtigen sind, was sicherlich für alle beteiligten eine der größten Herausforderungen darstellt“, ordnet Sebastian Rist die anstehenden Aufgaben, die sich den Autobauern stellen, ein.

Dazu ist auch eine umfassende Analyse der Cybersicherheit der Fahrzeuge und der Produktionskette über den gesamten Lebenszyklus nötig. Das ist mit personellem und finanziellem Aufwand verbunden. Allerdings zahlt sich diese Investition aus, da diese Strukturen auch in Zukunft nötig sind. Dazu müssen die Autobauer auch Neuland betreten und Technologien einsetzen, die bei Unternehmen schon länger gang und gäbe sind. „Beispielsweise Intrusion Detection Systeme, welche potenzielle Cyberangriffe automatisiert erkennen und dem OEM mitteilen. Mittels dieser Daten werden Spezialisten befähigt, systematische Angriffe gegebenenfalls durch Ausnutzung noch unbekannter Sicherheitslücken zu erkennen und geeignete Gegenmaßnahmen zu ergreifen“, erklärt Sebastian Rist.

Wolfgang Gomoll; press-inform