Hacks 2020: Wie groß ist die Gefahr wirklich?
Eine Frau rast bergab und will bremsen, doch der Wagen beschleunigt, die Bremse ist außer Kraft. Woanders perlen einem Mann Schweißtropfen auf der Stirn, denn er tritt das Gaspedal bis zum Anschlag durch und bleibt trotzdem auf der Überholspur einer Autobahn stehen. „Hacks 2020“ könnte der Titel eines Videospiels mit den oben beschriebenen Schreckensszenarien sein. Tatsächlich aber verbirgt sich dahinter eine reale Gefahr. Wie real, das zeigt die Initiative der UNECE, die erst kürzlich verbindliche Neuregelungen zu Automotive Cyber Security und Software-Updates für die Automobilindustrie erlassen hat. Wir haben in unserem Blog von magility bereits über die neuen Regularien der UNECE WP.29 berichtet.
Die Angst vor den Hackern geht um
Mussten Thrillerverbrecher à la Hitchcock noch höchstpersönlich unters Auto kriechen, um Brems- und Benzinschläuche vor Ort zu durchtrennen, reichen heutzutage eine perfide Hackersoftware und ein bequemer Bürostuhl irgendwo auf der Welt, um aus dem autonomen ein ferngesteuertes Fahrzeug zu machen. Spätestens, als 2015 die beiden Sicherheitsforscher Charlie Miller und Chris Valasek bewiesen, dass sie sich in die Software von Fahrzeugen einhacken können, geht unter Herstellern und Nutzern die Angst um.
Infotainment kann in Zukunft zur Falle werden
Als größtes Einfallstor für einen möglichen Hackerangriff gilt derzeit das Infotainment im vernetzten Auto. Laut ADAC bieten SD-Kartenleser, USB-Schnittstellen, Diagnose-Schnittstellen (OBD), Bluetooth-Module, Keyless-Schlüsselsysteme oder auch die über Funk betriebene Reifendruckkontrolle willkommene Angriffsmöglichkeiten für Hacker und andere Cyberkriminelle. Aber auch die Cloud-Technologie zeigt immer mehr Lücken im Sicherheitssystem.
Firmenflotten und Dienstwägen im Visier der Cyberkriminellen
Besitzt man ein Fahrzeug der Luxusklasse, das „entführt“ und verkauft werden soll, kann man auch als Privatperson Opfer eines Hackerangriffs werden. Im Visier der Cyberkriminellen stehen aber – wenn schon, denn schon – eher ganze Firmenflotten und Dienstwägen, da sie auf Hacker wie ein Selbstbedienungsparadies wirken: Bewegungsprofile können über GPS erstellt und sensible Firmendaten über WLAN abgerufen werden. Und Telefonate sind sowieso so gut wie öffentlich. So bieten z.B. ungeschützte Bluetooth-Verbindungen etwa so viel Privatsphäre wie eine Postkarte.
Smart Cities in Gefahr durch Connected Cars
Aber auch die Infrastruktur von Städten kann blockiert werden. Falsche Ampelschaltungen könnten zu Staus, Unfällen und Verkehrsbehinderungen führen. Jede Schnittstelle bietet ein Sicherheitsrisiko. Seit 2018 verfügt jedes in Europa neu zugelassene Fahrzeug über mindestens eine davon, denn seither sind die Hersteller zum Einbau des automatischen Notrufsystems E-Call verpflichtet.
Erpressung als Geschäftsmodell im Internet of Things
Und wozu das Ganze? Um Forderungen stellen zu können. Vernetzung macht erpressbar. Dem Kaspersky-DdoS-Report zufolge hat sich die Gesamtzahl aller DdoS-Attacken im ersten Quartal 2020 gegenüber dem Vorjahr verdoppelt. Betroffen sind demnach hauptsächlich Bildungseinrichtungen und Kommunen. Das zeigt auch eine Warnung des Deutschen Städtetags an seine Mitglieder. Dass der „Dienstleistungsbetrieb“ Hacker floriert, macht auch ein Bericht des Handelsblatt deutlich. Demnach schätzt der deutsche Cyber-Sicherheitsrat die Schäden durch Cyber-Angriffe auf jährlich bis zu 50 Milliarden Euro.
Reale Hacks 2020 – Eine Auswahl
- Im Mai bestätigt Fresenius Medical Care, weltweit führender Anbieter von Produkten und Dienstleistungen für Menschen mit Nierenerkrankungen, einen Hackerangriff mit anschließender illegaler Veröffentlichung von Patientendaten in Serbien.
- Vermutlich von China beauftragt wurde das deutsche Chemieunternehmen Lanxess ausspioniert
- Die Autokonzerne BMW und Hyundai wurden vermutlich im Auftrag des vietnamesischen Staates von Cyberhackern ausspioniert
- Eine Sicherheitslücke im Schließsystem machte Tesla angreifbar
Bester Schutz: Selbst der künstlichen Intelligenz einen Schritt voraus
Cyberkriminelle sind auf das Mithalten bei neuen Entwicklungen angewiesen, weshalb zu erwarten ist, dass auch sie künftig künstliche Intelligenz (KI) für ihre Attacken nützen werden. So nimmt der Wettlauf zwischen Herstellern, Nutzern und Hackern um die Aufdeckung von Schwachstellen noch einmal an Fahrt auf. Gewinner ist, wer dabei die Nase vorne hat.
Ein schneller Wechsel von Sicherheits-Updates und eine kurze „Lebensdauer“ der Software-Schlüssel sind Barrieren, die von Hackern schwer überwunden werden können. Die Sicherheitsspezialisten von magility helfen Schwachstellen zu erkennen, bevor diese zum Problem werden können.
Cyber Security Management Systeme (CSMS) – ganzheitliche Sicherheit
Gemeinsam mit unserem Partnernetzwerk, zu dem Technologieunternehmen wie Argus Cyber Security und der Zertifizierungsdienstleister DEKRA gehören, wirken wir als Systemintegrator für Cyber Security Management Systeme (CSMS) im europäischen Markt. Ein ganzheitliches CSMS wird jetzt, nach der Veröffentlichung der neuen Regularien der UNECE, für die Automobilindustrie zur Pflicht. Eine Typzulassung für ein Fahrzeug gibt es ohne ein zertifiziertes CSMS in Zukunft nicht mehr. Wir haben schon vor Jahren ein CSMS für die Automobilindustrie entwickelt, welches fortlaufend aktualisiert wird und deshalb alle Regularien der UNECE WP.29 mit einschließt und sich an der kommenden ISO/SAE 21434 und der ISO/AWI 24089 orientiert. Gerne beraten wir Sie zu diesem Thema und begleiten Sie bei der Implementierung eines CSMS in Ihr Unternehmen über alle Prozessstufen entlang der Supply Chain und über den gesamten Lebenszyklus des Fahrzeugs. Für mehr Informationen kontaktieren Sie gerne unsere magility Cyber Security Experten.