- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Rollende Sicherheitslücken


Der Hacker fährt mit – die Zukunft autonomen Fahrens
Das selbstfahrende Auto: Ein gewaltiger Zukunftsmarkt auch für Cyberkriminelle - In modernen Autos stecken bereits heute mehr Codezeilen als in einem Flugzeug



Von Wieland Alge, Vice President und General Manager EMEA bei Barracuda Networks

Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.

Das Steuer an den Computer abgeben: Vertrauen deutscher Autofahrer noch gespalten
Eine aktuelle repräsentative Umfrage im Auftrag des ADAC zeigt, dass in Deutschland viele Autofahrer der Vorstellung autonomer Fahrzeuge noch gespalten gegenüberstehen. 33 Prozent der Befragten ADAC-Mitglieder können sich bereits heute vorstellen, in Zukunft die Hände vom Steuer zu nehmen und sich autonom chauffieren zu lassen. Für 35 Prozent ist diese Form der automobilen Fortbewegung keine Option, ein knappes Drittel (29 Prozent) hat hierzu bislang noch keine klare Meinung.

Jedoch sehen 58 Prozent der Befragten in autonomen Fahrzeugen die Möglichkeit, auch solchen Menschen Mobilität zu ermöglichen, die sich ansonsten nicht selbst aktiv hinter das Steuer setzen wollen oder können. Das autonome Fahren wirft zudem haftungsrechtliche und ethische Fragen auf, die noch beantwortet werden müssen. Mehr als 80 Prozent der Befragten erwarten Eindeutigkeit, wer bei einem Unfall die Schuld trägt und für entstandene Schäden haftet. Dabei spricht sich die Hälfte (50 Prozent) für eine Herstellerhaftung aus, den Fahrzeugnutzer sehen 18 Prozent in der Verantwortung, den Fahrzeughalter nur neun Prozent.

Nicht zuletzt fürchten manche durch die fortschreitende Automatisierung, dass der Fahrspaß auf der Strecke bleibt und das Autofahren eine ziemlich langweilige Angelegenheit werden könnte. Jedoch sollte man sich bewusstmachen, dass uns jede technische Entwicklung ein Stück weiter weg vom direkten Fahrerlebnis gebracht hat, egal, ob Bremskraftverstärker, Servolenkung oder ESP, Dinge, die sich aufgrund von Komfort und Sicherheit jedoch sehr rasch durchgesetzt haben.

Grad der Entwicklung autonomer Fahrzeuge: Wo steht die Technik?
Was den Grad der automobilen Autonomie betrifft, gibt es in Europa und den USA eine Klassifizierung in fünf Levels. Stufe 0 bedeutet keinerlei Autonomie, Stufe 1 die Unterstützung durch Assistenzsysteme wie etwa Abstandsregeltempomaten. Stufe 2 bezeichnet den bereits bekannten Bereich der Teilautonomie mit automatischem Aus- und Einparken, Spurhalte-Funktion, selbsttätigem Beschleunigen und Bremsen. Erst Level 3 betritt das Gebiet der Hochautomatisierung wie selbständiges Spurhalten, Spurwechsel und zugehörigem Blinken, wobei sich der Fahrer anderen Dingen zuwenden kann, jedoch innerhalb einer Vorwarnzeit bei Bedarf vom System aufgefordert wird, wieder die Führung zu übernehmen. Diese Form der Autonomie ist auf Autobahnen technisch machbar, und der Gesetzgeber arbeitet darauf hin, Level 3-Fahrzeuge in einem Zeitrahmen bis 2020 zuzulassen.

Stufe 4 bezeichnet schließlich die Vollautomatisierung, bei der die Führung des Fahrzeugs dauerhaft vom System übernommen wird, aber der Fahrer im Fall, dass das System die Fahraufgaben nicht mehr bewältigen kann, selbst die Führung übernehmen muss. Auf Level 5 ist kein Fahrer und außer dem Festlegen des Ziels und Starten des Systems kein menschliches Eingreifen erforderlich.

Das selbstfahrende Auto: Ein gewaltiger Zukunftsmarkt auch für Cyberkriminelle
Autonome Fahrzeuge werden die Wirtschaft in den nächsten zwanzig Jahren radikal verändern, ähnlich wie die Erfindung des Mobiltelefons. Laut einer Analyse der Boston Consulting Group werde bereits ab 2035 der jährliche Absatzmarkt für selbstfahrende Autos zwölf Millionen Fahrzeuge ausmachen.

Schon heute kommunizieren moderne Fahrzeuge immer stärker mit der Außenwelt z.B. über WLAN, Bluetooth, UMTS oder LTE. Mit der massiven Verschränkung von Automobil-, Computer- und Netzwerkindustrie werden in den nächsten Jahren auch bedeutende Angriffsvektoren für die organisierte Kriminalität entstehen. Die Schnittstelle zwischen IT und Automobilindustrie bietet ein Einfallstor für Angriffe. Private Nutzer werden in Masse relativ uninteressant für Kriminelle bleiben, denn der Aufwand bleibt dennoch hoch.

Realistischer als Angriffe auf einzelne Autos sind die Attacken organisierter Kriminalität: Wird hier im Vorfeld nicht für adäquate Sicherheitsmaßnahmen gesorgt, machen sich Autobauer, Logistikunternehmen und auch Regierungen erpressbar, indem Kriminelle beispielsweise Gelder fordern, um Fehlfunktionen durch Schadsoftware zu verhindern oder sensible Daten stehlen.

Remote-Hacks: Der Hacker fährt mit
Ein Szenario, das bereits zur Realität geworden ist, sind Remote-Hacks über die Schwachstellen moderner Fahrzeuge durch drahtlose Netzwerke. Die meisten modernen Automodelle mit eingebauten Navigationssystemen nutzen drahtlose Telekommunikationsnetzwerke für Features wie Navigations-Guides, wodurch eine große Anzahl anfällig für Remote-Cyberattacken sind. Bei der Cyberattacke auf einen Jeep Cherokee 2015 zeigte sich, dass der Eingriff in die Fahrzeugsteuerung nicht nur der Stoff für Hollywood ist.

Durch eine Schwachstelle im Infotainmentsystem konnten Sicherheitsforscher via Internet die Kontrolle über Bremsen, Beschleunigung, Türverriegelung, Klimaanlage, Scheibenwischer, Soundsystem und Lenkrad übernehmen, bis das kompromittierte Fahrzeug schließlich in einem Graben landete. Was als eindrucksvolles Versuchsszenario gemeint war, wird aber wohl nicht die Regel werden. Die Gefahr wird weniger vom Einzeltäter ausgehen, der einzelne Autos plötzlich von der Straße abkommen lässt. Zu fürchten ist eher die organisierte Kriminalität, die sich an Hersteller oder Staaten wendet, um diese zu erpressen - mit welch üblen Ergebnissen auch immer.

Erpressungssoftware nicht nur für PCs
Ein bereits seit mehreren Jahren lukratives Geschäft für Cyberkriminelle ist die Verbreitung von Erpressungssoftware, die Daten verschlüsselt und nur gegen Lösegeld wieder freigibt. Durch die fortschreitende Vernetzung im Automobilbereich, insbesondere durch die Nutzung von Fahrzeugen als WiFi-Hotspots, werden auch Szenarien wahrscheinlicher, in denen Hacker nicht nur Computer, sondern auch Fahrzeuge durch Ransomware lahmlegen, um Gelder zu erpressen.

Datendiebstahl
Darüber hinaus sammeln moderne Fahrzeuge mehr persönliche Daten als je zuvor, dadurch werden für Kriminelle nicht nur die Fahrzeuge an sich, sondern auch die Daten der Besitzer interessant, z.B. für die Erschleichung von Kreditkarteninformationen oder Login-Daten von Online-Accounts. Auch Standortdaten und Bewegungsprofile sind ein Angriffsziel, wobei Hacker entweder die GPS-Daten abfangen oder ausspähen, in welche Mobilfunkzelle sich das Fahrzeug einwählt. So kann eine Person ausspioniert oder der Standort eines Premium-Fahrzeugs festgestellt werden. Zudem sind gewonnene Bewegungsprofile über die An- und Abwesenheit von Bewohnern sicher auch für manche Einbrecherbanden von Interesse.

Die Erarbeitung allgemeiner Sicherheitsstandards
Die nächsten fünf bis zehn Jahre werden eine gefährliche Übergangszeit sein, deshalb müssen frühzeitig durch die Verquickung der Kompetenzen von Automobilherstellern und IT-Branche allgemeine Sicherheitsstandards und Abwehrmechanismen erarbeitet werden.
Drei potenzielle Einfallstore sind hierbei relevant: Die verbaute SIM-Karte im Auto, über die das Fahrzeug vernetzt ist, das Smartphone des Nutzers sowie die Schnittstelle für die On-Board-Diagnose, welche für die Wartung in der Werkstatt in den Fahrzeugen integriert ist. Alle diese Schnittstellen müssen entsprechend abgesichert werden, um das Eindringen von Schadsoftware zu verhindern. Gleiches gilt für unbefugte Zugriffe auf sicherheitsrelevante Systeme wie beispielsweise die Bremsen.

Die Zukunft des autonomen Fahrens bietet enorme Chancen im Bereich der Wirtschaft und Verkehrssicherheit, jedoch darf die Entwicklung nicht übereilt ohne intensive Auseinandersetzung in Hinblick auf die IT-Security vorangetrieben werden. (Barracuda Networks: ra)

eingetragen: 04.10.17
Home & Newsletterlauf: 30.10.17


Barracuda Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.