+
Die Hacker konnten bei dem Experiment bei einem Jeep Cherokee Bremsen, Geschwindigkeit, Klimaanlage und Radio steuern. Foto: Adrian Bradshaw/Archiv

Bosch-Manager: Auto-Hacks sind schwer nachzuahmen

Noch bevor selbstfahrende Autos auf den Straßen unterwegs sind, machen sich Hacker einen Sport daraus, sie zu manipulieren. Das Rennen um die Cybersicherheit im Fahrzeug hat begonnen.

Gerlingen/Stuttgart (dpa) - Die vielen bekanntgewordenen Hacks von Autos sind nach Einschätzung eines Bosch-Managers schwer zu kopieren. "Da steht ein sehr hoher Aufwand dahinter", sagte Martin Emele, Leiter des Bereichs Produktsicherheit bei der Bosch-Tochter ETAS GmbH der Deutschen Presse-Agentur.

"Die Angriffe sind auch nicht unbedingt auf andere Fahrzeugmodelle geschweige denn andere Hersteller übertragbar." Die Hacks erforderten eine gewisse Expertise, weil die Systeme komplex seien, so Emele. Zudem würden in den Fahrzeugen oft unterschiedliche Bordelektronik oder Steuergeräte verwendet.

Zuletzt war zu den Hacker-Konferenzen Black Hat und DefCon eine ganze Reihe von Angriffen öffentlich geworden. FiatChrysler musste in den USA die Software von 1,4 Millionen Jeep-Fahrzeugen aktualisieren, weil Hacker über eine Sicherheitslücke im Unterhaltungssystem des Wagens, das mit dem Internet verbunden ist, bis zur Steuerung des Fahrzeugs vordringen konnten. Andere demonstrierten, wie sie über ein Digitalradio von GM ein aufschließen oder starten konnten. Wieder andere schafften es, einen Tesla S während der Fahrt auszuschalten.

In allen drei Fällen waren die Hacker Sicherheitsforscher, die ihr Können demonstrierten. "Bei den bekannten Hacks spielte meist natürlich auch der technische Ehrgeiz eine Triebfeder", sagt Emele. "Das ist eine Spielwiese für Universitäten und Forschungseinrichtungen, durch die man eine gewisse Bekanntheit erlangen kann."

Ein kriminelles Interesse gebe es bei Tachomanipulation, beim einfachen Öffnen oder Diebstahl von Autos, sagte Emele. Der ADAC hatte Anfang des Jahres eine Schwachstelle bei BMW aufgedeckt, mit deren Hilfe fremde Autotüren per Funk entriegelt werden konnten. Interessant seien alle Kommunikationsdaten, die sicherheitsrelevante Systeme beeinflussen können, sagt Emele. "Außerdem personenbezogene Daten wie Kontakte, Navigationsziele und Ähnliches."

Jens Hinrichsen, der bei dem niederländischen Chip-Spezialisten NXP für Bauteile zuständig ist, die auch in Autos eingesetzt werden, warnte zuletzt: Autohersteller müssten zum Schutz vor Hacker-Angriffen Bereiche mit Internet-Verbindung strikt vom Rest der übrigen Fahrzeugtechnik abgrenzen. Der für den Jeep-Hack verantwortliche Sicherheitsforscher Chris Valasek, Direktor für Fahrzeugsicherheitsforschung bei der Beratungsfirma IOActive, warnte zuletzt: Die Autobauer hinkten in einigen Bereichen hinterher.

Bosch selbst setzt auf ein mehrstufiges System und sogenannte Penetrationstests, die Hackerangriffe simulieren. Methoden also, die Sicherheitsexperten auch für den Schutz von Unternehmen empfehlen. "Das Schalenmodell funktioniert im Prinzip wie eine Ritterburg mit einer hohen Mauer und mehreren Befestigungswällen mit tiefen Gräben dazwischen", sagte Emele.

So darf bei den Systemen von Bosch die Internetverbindung immer nur vom Fahrzeug aufgenommen werden. Bis dahin ist das Fahrzeug im Internet überhaupt nicht sichtbar. Bei der Kommunikation setzt Bosch auf Standard-Verschlüsselungstechniken. "Außerdem verwenden wir Authentifizierungsmechanismen sowohl auf Server- als auch auf Fahrzeugseite", erklärt Emele. Zertifikate stellen sicher, dass sich nur identifizierte Geräte mit dem Backend verbinden können.

Firewalls und Gateways sollen die ungewollte Weitergabe von Informationen im Auto verhindern. Stauinformationen beispielsweise können zwar aus dem Internet kommen. "Diese Information wird bewertet und nach Validierung an die fahrzeuginterne Verarbeitung gegeben", sagt Emele. Sicherheitsrelevante Informationen wie Bremskommandos werden dagegen mit einem Stempel auf Basis eines gemeinsamen Schlüssels zwischen Sender und Empfänger versehen. "Selbst wenn es einem Angreifer gelingen würde, von der Telematik-Einheit ein Bremssignal an das Bremssteuergerät zu senden, würde dieses nicht akzeptiert, weil es nicht den richtigen Fingerprint erzeugen kann, ohne den notwendigen Schlüssel zu besitzen." Die einzelnen Steuergeräte wiederum gegen Manipulation geschützt, in dem beispielsweise nur signierte Software aufgespielt werden darf.

Bericht über Jeep Hack

FCA-Mitteilung

Wired-Bericht

Sicherheitsforscher Chris Valasek auf Twitter

Sicherheitsforscher Charlie Miller auf Twitter

Digitalradio Hack

Financial Times über Tesla-Hack

Auch interessant

Meistgelesene Artikel

Streit um Strafzinsen für Kleinsparer geht wohl vor Gericht
Eines ist klar: Wer mit seinem Girokonto im Minus ist, zahlt Zinsen an die Bank. Wer im Plus ist, bitteschön auch - so zumindest konnte man einen umstrittenen …
Streit um Strafzinsen für Kleinsparer geht wohl vor Gericht
Hersteller ruft Ketchup zurück - wegen unerwünschter Zutat
Ärgerliches Verlustgeschäft: Der Hersteller Wertkreis Gütersloh musste einen über die Kette TEMMA vertriebenen Ketchup zurückrufen, weil er geringe Mengen eines anderen …
Hersteller ruft Ketchup zurück - wegen unerwünschter Zutat
Dax schwächelt erneut - Euro-Auftrieb belastet
Frankfurt/Main (dpa) - Der Dax hat erneut nachgegeben. Dabei passte sich der deutsche Leitindex den gesamten Tag über dem Auf und Ab des Euro an, der letztlich wieder …
Dax schwächelt erneut - Euro-Auftrieb belastet
BMW und Audi wollen Hunderttausende Diesel umrüsten
Fast sechs Millionen Euro-5-Diesel sind in Deutschland unterwegs. Auf Druck der bayerischen Landesregierung erklären sich BMW und Audi nun bereit, Hunderttausende Autos …
BMW und Audi wollen Hunderttausende Diesel umrüsten

Kommentare