Wer ein neues Mittelklassefahrzeug kauft, fährt mit einem kleinen Rechenzentrum durch die Gegend: Moderne Autos verfügen inzwischen über mehr Software, als so manches Flugzeug. Demzufolge steigt aber auch das Sicherheitsrisiko, Angreifer haben die mobilen Wegbegleiter längst als interessantes Ziel ausgemacht. Die Palette reicht von digitalen Fahrzeugdiebstählen bis zur Beeinflussung der Verkehrsabläufe.
Die Hersteller kennen diese Risiken seit Langem, setzen Sicherheitsmaßnahmen jedoch eher zögerlich um. Das hat internationale Gremien und Organisationen auf den Plan gerufen. Längst behandeln diese nicht mehr nur klassische Aspekte der Fahrzeugsicherheit, sondern auch digitale.
Die Aufgabe ist hochrangig angesiedelt: "Kriterien für Cybersecurity bei KFZ werden von Arbeitsgruppen auf EU- und UN-Ebene festgelegt", erklärt Richard Goebelt. Er ist Mitglied der Geschäftsleitung des VdTÜV, dem Dachverband der Technischen Überwachungsvereine, und Bereichsleiter Mobilität und Fahrzeug.
Internationale Gremien für KFZ-Cybersecurity
Das UN-Gremium, das sich um einheitliche technische Vorschriften für Kraftfahrzeuge kümmert, heißt ECE, was für Economic Commission for Europe steht. ECE geht jedoch als ein UN-Gremium weit über den europäischen Raum hinaus. Die hier definierten Anforderungen werden von der EU übernommen. Alle Hersteller haben danach die gleichen Bedingungen. "Bisher hat man sich dort primär mit Hardware beschäftigt, zukünftig wird es mehr Software sein", erzählt Goebelt, da immer mehr IT-Sicherheitsaspekte zu den Aufgaben dieses Gremiums zählten. "Software wird der neuralgische Punkt, aus Sicherheitsgründen müssen da höchste Qualitätsstandards gelten", fordert er.
In Deutschland überprüfen das maßgeblich die Technischen Überwachungsvereine (TÜV). Schon bei der vorgeschriebenen Typgenehmigung, wenn ein neues Fahrzeug in Verkehr gebracht wird, erstellt der TÜV ein Gutachten. Dazu steht sogar ein Prototyp bei den Prüfspezialisten, der untersucht wird. "Alle Schnittstellen, auf die per Funktechnik zugegriffen werden kann, sind suspekt und müssen besonders inspiziert werden", erklärt Goebelt.
Auf die Überwachungsvereine kommen mit der Überprüfung der Cyber-Sicherheit neue Herausforderungen zu: "Prüfvorgaben und Bewertungskriterien hierfür müssen erst noch entwickelt werden", sagt er.
Hier ist zunächst das UN-Gremium gefordert. Die Vereine benötigen jedoch mehr Cybersecurity-Spezialisten, die bei der aktuellen Lage auf dem Arbeitsmarkt nicht leicht zu bekommen sind.
TÜV braucht Software-Spezialisten
Für Cybersecurity reichen die regelmäßigen Überprüfungen alle zwei Jahre allerdings nicht aus, merkt der Fachmann an. Updates müssen regelmäßig installiert werden. Goebelt fordert, dass bei der Überprüfung der Betriebssicherheit auch das Management von Software-Updates berücksichtigt wird. Auch sollten Remote-Prüfungen möglich sein. Vor allem, wenn Fahrzeuge Daten in Kooperation mit anderen Verkehrsteilnehmern teilen.
Außerdem würden immer mehr Funktionen in die Cloud ausgelagert, was die Prüfungen verkompliziere. "Wir brauchen daher unabhängigen Zugriff auf originäre Daten im Fahrzeug. Sowohl die Software, als auch deren Systembeschreibung müssen offengelegt werden; manchmal geht das bis zum Quellcode."
Um die wichtigsten digitalen Komponenten eines Autos zu schützen, haben die Spezialisten ein Konzept entwickelt:
"Wir wollen als interoperable Sicherheitsarchitektur eine Automotive Security Plattform im Fahrzeug davor legen, die unter anderem die digitalen Komponenten in verschiedene Segmente separiert, einschließlich einer End-to-End Verschlüsselung der Kommunikation des Fahrzeugs", erläutert der TÜV-Experte und führt aus: "Wenn beispielsweise das Entertainment-System infiziert wird, sollen Angreifer von da aus nicht zur Motorsteuerung kommen".
Einen ersten Empfehlungskatalog zur Typprüfung automatisierter und vernetzter Fahrzeug hat eine Unterarbeitsgruppe der UNECE unter der Bezeichnung "Cybersecurity der Arbeitsgruppe GRVA" bereits erstellt. "Erste belastbare Entwürfe der Gruppe werden wahrscheinlich schon im Frühjahr nächsten Jahres veröffentlicht", so Goebelt.
Wenn es um Cyber-Sicherheit geht, weiß er die Konsumenten hinter sich: "95 Prozent der Verbraucher sind laut einer Umfrage vom TÜV-Verband der Meinung, dass Cybersecurity zukünftig geprüft werden muss".
Doch Goebelt denkt schon weiter: "In Zukunft spielt nicht mehr das individuelle Fahrzeug die große Rolle, andere Verkehrselemente wie etwa Signalanlagen, müssen im Verbund betrachtet werden". Denn je autonomer die Fahrzeuge zukünftig fahren, desto mehr neue Angriffsformen entstehen.
it-sa - Die IT-Security Messe und Kongress
Messezentrum Nürnberg
90471 Nürnberg