Aktuelles, Branche - geschrieben von dp am Montag, April 25, 2016 22:41 - noch keine Kommentare
Connected Cars: NTT Com Security fordert konsistente IT-Sicherheits-Architektur
Sicherheitskonzepte oftmals in vergangenen Dekaden stehengeblieben
[datensicherheit.de, 25.04.2016] NTT Com Security weist auf die hohen Risiken einer veralteten Architektur der IT-Sicherheit bei vielen „Connected Cars“ hin. Diese mache es Angreifern viel zu leicht, Fahrzeuge zu manipulieren oder gar zu kapern.
Visionen mit wenig Beachtung der IT- Sicherheit
„Connected Cars“ werden laut NTT Com Security nicht nur das Autofahren und den Umgang mit Fahrzeugen ganz neu definieren, sondern nach Einschätzung der Analysten von McKinsey auch zum Auslöser einer fundamentalen Neuordnung des weltweiten Automobilmarkts. Mittlerweile seien alle großen Automobilhersteller in entsprechenden Initiativen aktiv.
Umso erstaunlicher sei es, wie wenig Beachtung oftmals dabei das Thema IT- Sicherheit finde, welches doch eigentlich „ein zentraler Punkt bei der ständigen Verbindung von Fahrzeugen mit dem Internet“ sein sollte, betont NTT Com Security.
Enorme Schäden durch Manipulationen möglich
René Bader, „Practice Manager Secure Application“ bei NTT Com Security: „Heute werden in Fahrzeugen zahlreiche IT-Systeme verbaut, die über das Internet kommunizieren, zum Beispiel zum Übermitteln von Telemetriedaten an den Hersteller, zum Updaten von Navigationsinformationen oder auch für E-Mails und Videostreams“.
Heutige Fahrzeuge verfügten zum Teil über mehr als 100 Steuergeräte und hätten eine Vielzahl an SIM-Karten fest verbaut, die die Kommunikation mit dem Web für unterschiedliche Aufgaben sicherstellten. Über all diese Systeme sei ein „Connected Car“ aber auch extrem verletzlich. Angreifer könnten mehr oder weniger kritische Telemetriedaten abgreifen, beispielsweise über das individuelle Fahrverhalten oder über Fahrziele.
„Wenn nicht von Anfang an eine strikte Trennung der internen Systeme eingeplant wurde, können sie aber auf diese Weise auch direkt die Fahrzeugsysteme manipulieren“, warnt Bader. Dabei könnten sie nicht bloß die Klimaanlage steuern, sondern zum Beispiel auch in Fahrsicherheitssysteme eingreifen. Es liege auf der Hand, dass man „damit einen enormen Schaden anrichten“ könne.
Auf dem Stand damaliger IT-Sicherheitsarchitekturen stehengeblieben
Die Hersteller setzten zwar seit den 1980er-Jahren konsequent auf digitale Fahrzeugsysteme, dabei seien viele Hersteller jedoch auf dem Stand der damaligen IT-Sicherheitsarchitekturen stehengeblieben.
So sei beispielsweise in einigen Systemen weder eine Authentifizierung der Zugriffe noch eine Validierung der übermittelten Daten vorgesehen. Für die Anforderungen moderner Fahrzeuge, die ständig mit einer offenen Infrastruktur kommunizierten, sei diese Architektur „natürlich nie gedacht“ gewesen, erklärt Bader.
Es zeige sich immer mehr, dass viele Systeme völlig überfordert seien. In ihrem aktuellen Zustand stelle die IT-Architektur ein systembedingtes Risiko dar, das sich nicht einfach durch Nachbesserungen an der einen oder anderen Stelle ausschalten lasse.
IT-Sicherheit als Basisbaustein der Fahrzeugentwicklung
Was nach Ansicht des NTT-Com-Security-Experten oft fehlt, ist „eine konsistente Architektur, die von vornherein über die entsprechenden Sicherheits-Layer verfügt, also eine Architektur, in der IT-Sicherheit ein Basisbaustein der Fahrzeugentwicklung ist“.
Neue Player auf dem Automobilmarkt wie Tesla hätten es hierbei einfacher – sie könnten ein Fahrzeug mit entsprechender Architektur von Grund auf und ohne Altlasten neu konzipieren – und dabei auch die Anforderungen an die Sicherheit berücksichtigen.
Permanente Erweiterung der digitalen Architektur auch auf deutscher Seite
Mit ganz vorne dabei seien vor allem aber die etablierten deutschen Hersteller. Sie nähmen das Thema Sicherheit traditionell sehr ernst und hätten das konsequent auch auf die digitalen Fahrzeugsysteme ausgeweitet. Nach den verheerenden Presseberichten über einfache Angriffsmethoden auf US-amerikanische Fahrzeuge werde die Informationssicherheit als Wettbewerbsvorteil gesehen.
Dennoch würden auch sie um eine permanente Erweiterung ihrer digitalen Architektur nicht herumkommen, betont Bader. Als erster Schritt wäre dafür ein verbindlicher, herstellerübergreifender Standard notwendig. „NTT Com Security arbeitet hier bereits an Lösungen und Architekturvorgaben, die gemeinsam mit den Herstellern und Zulieferern entwickelt werden. Hier muss jedoch dringend weitergearbeitet werden, wenn das Connected Car nicht hinsichtlich der IT-Sicherheit gegen die Wand fahren soll.“
Weitere Informationen zum Thema:
McKinsey & Company
Internet im Auto wird Marktgewichte in der Industrie massiv verändern
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren