Ferngesteuerte Übernahmen, plötzlicher Kontrollverlust, rasante Verfolgungsjagden: Hollywood greift für Actioneinlagen gerne mal zu Autos, die von Chaos-süchtigen Hackern übernommen werden. Kein Wunder, denn Fahrzeuge werden immer digitaler, vernetzter und autonomer. Sobald von mehr Sicherheit auf den Straßen die Rede ist, bringt Hollywood dieses Sicherheitsgefühl ins Wanken.
Tanja Hofmann, Lead Security Engineer bei Trellix, zeigt anhand von drei Beispielen aus Film und Fernsehen, was in Sachen „Car Hacking“ möglich ist und wie Fahrzeughersteller das Risiko senken können.
Im Laufe der letzten 40 Jahre konnten sich autonom funktionierende Fahrassistenzsysteme aufgrund ihres Beitrags zur Sicherheit und zum Komfort im Straßenverkehr etablieren. Systeme wie das elektronische Stabilitätsprogramm, der Notbremsassistent oder das Reifendruckkontrollsystem sind mittlerweile Pflicht.
Spurhalte-, Spurwechsel- und audiovisuelle Parkassistenten sind praktische Features, die man gern dazukauft, um das Autofahren einfacher und komfortabler zu machen. Doch geht es um vollständig autonom fahrende Fahrzeuge, sind deutsche Verbraucher laut einer Umfrage weiterhin skeptisch: 48 Prozent geben an, dass ihnen diese Form des Transports Angst macht.
„Car Hacking“ in Film und Fernsehen
Cyber-Kriminelle, die sich in vernetzte, selbstfahrende Autos aus der Ferne einklinken, sind ein möglicher Grund für diese Bedenken. 72 Prozent der im Rahmen einer Erhebung befragten Fahrer sorgen sich vor allem um die Sicherheit des im Wagen verbauten Systems. Durch die Verwendung von „Car Hacking“-Szenarien in Filmen und TV-Serien wird diese Furcht noch befeuert – so auch in den folgenden Beispielen:
- James Bond 007 – Der Morgen stirbt nie (1997)
In der 18. James Bond-Adaption leistet MI6-Quartiermeister Q ganze Arbeit und gewährte den Kinogängern von 1997 einen kleinen Blick in die Zukunft. Damals steckte die Vernetzung von Autos zwar noch in den Kinderschuhen, hielt ihn jedoch nicht davon ab, Bond‘s neuen Wagen so anzupassen, dass er ihn über einen Mini-Computer im Handyformat fernsteuern konnte.
In einer Szene lenkt, beschleunigt und bremst der Agent das Fahrzeug mithilfe eines Touchpads, eine Frontkamera im Auto sendet ihm Echtzeitaufnahmen auf einen kleinen Bildschirm, damit er sieht, wohin er fährt.
- Criminal Minds (S12E14: „Collision Course“)
In dieser „Criminal Minds“-Folge kapert ein unbekannter Hacker Fahrzeuge, um sie als Mordwaffe zu nutzen. Eine Zeugin berichtet, dass ihr Wagen wie von selbst auf die Opfer zusteuerte. Diesem Angriff gingen einige seltsame Dinge voraus:
Per Fernzugriff schaltete der Hacker sowohl das Radio als auch die Scheibenwischer ein und öffnete die Fenster. Bei dem Versuch, den Wagen anzuhalten, blockierte der Täter die Bremsen, beschleunigte stattdessen und lenkte das Auto aus der Ferne.
- Alarm für Cobra 11 (S23E13: „Autohacker“)
„Car Hacking“ ist nicht nur ein „Hollywood-Ding“ – auch in Deutschland hat man sich dieser Idee bereits angenommen. In einer Folge der ohnehin autozentrierten Serie „Alarm für Cobra 11“ wird die Familie des Protagonisten entführt – und zwar mitsamt ihrem Auto.
Ein Unbekannter hat sich in die Bordsoftware des Wagens gehackt und fährt es mithilfe eines Joysticks. Über ein „Hacking Interface“ hat er Zugriff auf verschiedene Komponenten wie Anschnallgurte, Reifen, Sitzposition und Bremsen.
Sind diese Szenarien realistisch?
Zwar ist das Bond-Beispiel kein Hack durch Fremdeinwirkung, da das Fahrzeug absichtlich so konzipiert wurde, dass es mithilfe einer Fernsteuerung kontrolliert werden konnte. Dennoch bewegen sich alle drei Beispiele mehr oder weniger im Bereich der realen Cyber-Kriminalität. Cyber-Akteure, aber auch IT-Security-Forscher haben bereits in der Vergangenheit bewiesen, dass der Fernzugriff auf Autos mit den richtigen Voraussetzungen gar nicht so schwer zu bewerkstelligen ist.
Stefan Savage, Professor für Computer Science an der University of California San Diego, verschaffte sich über eine IT-Sicherheitslücke Zugang zur Systemsoftware eines Fahrzeugherstellers. Darüber war es Savage möglich, die betroffenen Wagen zu öffnen, deren Motoren anzulassen und die Bremsen zu blockieren – ohne auch nur einmal direkt Hand an die Autos legen zu müssen.
Gemeinsam mit den Autosicherheitsexperten Charlie Miller und Chris Valasek startete der Reporter Andy Greenberg einen Selbstversuch: Mit einem älteren Fahrzeugmodell befuhr er den Highway, während sich Miller und Valasek ebenfalls über eine Schwachstelle in das Bordcomputersystem des Wagens einklinkten.
Während der Fahrt konnten sie sowohl Klimaanlage als auch Radio ein- und ausschalten. Theoretisch hätten sie die Geschwindigkeit und Bremsfunktion des Wagens manipulieren können, was bei Höchstgeschwindigkeiten auf der Autobahn gefährliche Situationen hervorrufen kann.
An dieser Stelle soll noch eine weitere Methode vorgestellt werden, mit der Cyber-Kriminelle in den Straßenverkehr eingreifen können: „Model Hacking“. Dabei nutzen Akteure die Schwächen von Kamera- und Sensorsystemen sowie der in Assistenzsystemen eingesetzten Künstlichen Intelligenz (KI) gezielt aus ohne sich in das System hacken zu müssen.
Im Idealfall erkennt eine KI über eingebaute Kameras beispielsweise Geschwindigkeitsbegrenzungen, woraufhin sie die Fahrweise entsprechend anpasst. In einer sicheren Laborumgebung testete das Trellix Threat Research-Team die Grenzen der Technologie aus. Dafür nutzte es das Kamerasystem eines bekannten Automobilherstellers und manipulierte Schilder mithilfe von Klebestreifen.
Das Ergebnis: Die KI erkannte die ursprüngliche Geschwindigkeitsbegrenzung nicht, sondern schätzte diese in einigen Fällen viel zu hoch ein – eine fatale Schwachstelle, die sich Cyber-Kriminelle im fließenden Verkehr zunutze machen könnten.
Was Fahrzeughersteller tun können und sollten
Da sich Fahrzeughersteller im Falle eines Unfalls aufgrund einer fehlerhaften oder manipulierten Software verantworten müssen, ist es essenziell, dass sie vom Beginn der Produktion an – einschließlich des Produktdesigns – auf einen Security-by-Design-Ansatz setzen. Dies betrifft ebenfalls die Entwicklung der Bordcomputersysteme.
Gemeinsam mit Entwicklern und IT-Security-Teams müssen sie sicherstellen, dass während der Softwareentwicklung keine Sicherheitslücken ihren Weg ins Endprodukt finden. Cyber-Kriminelle suchen unter anderem gezielt nach Zero Day Exploits, um in Systeme zu gelangen. Mithilfe regelmäßiger Software- und Code-Tests lassen sich Lücken frühzeitig identifizieren und schließen.
Fahrzeugdaten werden heute zunehmend in der Cloud gespeichert und verarbeitet. Hier vereinfachen unsichere Schnittstellen es Cyber-Kriminellen, einen Zugang zu Cloud-Instanzen und folglich in das Bordsystem zu öffnen. Mithilfe von Cloud Access Security Brokern lassen sich potenzielle Kompromittierungen schnell identifizieren und beheben.
Außerdem kann Prozessautomatisierung einen wesentlichen Beitrag zur Überwachung komplex vernetzter Systeme für ein höheres Sicherheitsniveau leisten. KI-basierte Lösungen sind in der Lage, Bedrohungen schneller zu erkennen. Und auf Seiten der Fahrzeugbesitzer gilt natürlich, System-Updates sofort zu installieren, sobald sie verfügbar sind.