Aktuelles, Branche - geschrieben von am Montag, April 18, 2016 22:39 - noch keine Kommentare

Noch weitgehend nebulös: IoT-Sicherheit in der Automobilindustrie

Die Verheißungen und Gefahren selbstfahrender Fahrzeuge

[datensicherheit.de, 18.04.2016] Wer an das Internet der Dinge („Internet of Things“ / IoT) in der Automobilindustrie denkt, dem fällt wahrscheinlich als erstes das vernetzte Auto oder das Google-Auto ein. Erwartet werden sicher Annehmlichkeiten, die sich an den Bedürfnissen der Verbraucher orientieren, und grundlegende Funktionen für mehr Bequemlichkeit, eine einfachere Wartung und mehr Sicherheit. Zukünftig, vor allem mit der laufenden Weiterentwicklung des selbstfahrenden Google-Autos, wird sich die Interaktion mit Fahrzeugen grundlegend verändern. Eines Tages könnten wir dann vielleicht tatsächlich nur noch Fahrgäste sein – und stattdessen kommunizieren dann die Fahrzeuge direkt miteinander.

Bisherige Vorfälle erschüttern Vertrauen

Beim Thema Sicherheit könnte einem der 2015 gesendete 60-minütige Bericht „Internet-vernetzter Jeep gehackt“ einfallen. Sicher aufsehenerregend, aber vor allem hat das Vorkommnis einen potenziell kritischen Fehler und weitere Sicherheitslücken ans Tageslicht gebracht.
1,4 Millionen Fahrzeuge sollen im Zuge dessen zurückgerufen worden sein. Zudem vermarkten Automobilhersteller zunehmend vernetzte Funktionen, vom Onboard-WLAN bis zu mobilen Apps, die Türschlösser steuern und sogar Fahrzeuge starten. In vielen dieser Fälle entscheiden sich Kunden gerne für „coole“ Features – die damit verbundenen negativen Auswirkungen werden jedoch gerne ausgeblendet. Es stellt sich etwa die Frage, was passiert, wenn ein Mobiltelefon gestohlen wird – sind überhaupt geeignete Sicherheits- und Authentifizierungsmaßnahmen installiert, damit nicht auch gleich das Auto des jeweiligen Benutzers gestohlen werden kann?
Die berechtigten Sorgen der Verbraucher sind momentan noch schwer zu beurteilen, allerdings sollten Onlinefunktionen bewusster wahrgenommen werden, vor allem hinsichtlich ihrer Auswirkungen, positiv wie negativ. Immer mehr Fahrzeuge bieten derartige Funktionen. Wie Hersteller und
Konsumenten an dieser Stelle mit dem Thema Sicherheit umgehen, wird Folgen für vertrauliche Daten, Privatsphäre und Werte haben.

Alliance of Automobile Manufacturers will sich Risiken stellen

Zurzeit sind diejenigen, die über Schwachstellen wirklich besorgt sein sollten, die Automobilhersteller, denn negative Schlagzeilen und Berichte sind ausgesprochen schädlich für Marke und Reputation. Zudem gefährden solche Schwachstellen die Sicherheit der Verbraucher und treiben gleichzeitig die Kosten für Garantiefälle in die Höhe – beispielsweise wenn Reparaturen an potenziell mehr als einer Million Fahrzeugen fällig werden. Niemand will mit einer Geschichte wie dieser in Zusammenhang gebracht werden, denn den guten Ruf wiederherzustellen kann Unternehmen teuer zu stehen kommen. Ereignet sich gar etwas Tragisches aufgrund einer Schwachstelle, ist der Schaden eventuell kaum mehr zu reparieren – ob und wie ein Hersteller dann noch im Geschäft bleibt, steht in den Sternen.
Es gibt nun Anzeichen, dass die Autoindustrie das erkannt hat: Cyber-Sicherheit soll jetzt innerhalb der „Alliance of Automobile Manufacturers“ vorangetrieben werden; es handelt sich dabei um eine Vereinigung der zwölf Automobilhersteller BMW, Fiat Chrysler, Ford, GM, Jaguar Land Rover, Mazda, Mercedes Benz, Mitsubishi, Porsche, Toyota, VW und Volvo.

Einsparung vs. Sicherheitsbedenken in der Fertigung

Der Herstellungsprozess in der Automobilindustrie muss höchst präzise sein und hohe Qualitätsstandards erfüllen, um ein Auto auf die Straße zu bringen. Die Sicherheit aller Verkehrsteilnehmer hängt von der Qualität der produzierten und verkauften Fahrzeuge ab. Der Fertigungsprozess als solcher ist inzwischen weitestgehend automatisiert. Um den Prozess weiter zu optimieren, sind die Fertigungsanlagen und die Ausrüstung miteinander verbunden, um wichtige Daten zu teilen und zu analysieren – zunehmend bekannt unter dem Namen „Industrial IoT“ (IIoT).
Mit den anfallenden und verbundenen Daten lässt sich einiges etwa hinsichtlich Effizienz tun, und Hersteller sparen sich unter Umständen viele Millionen Dollar. Das Vernetzen der Ausrüstung birgt allerdings auch die Gefahr schwerwiegender, neuer Sicherheitslücken, die den Hersteller, seine Mitarbeiter und den Verbraucher gleichermaßen gefährden. Wenn ein böswilliger Angriff eine Fertigungsanlage oder einen Software-Dienst erfolgreich kompromittiert, können schwerwiegende Probleme auftreten. Im Vorfeld gilt es also, sich u.a. mit folgenden Fragen zu befassen:

  • Wie wirkt es sich möglicherweise auf die Sicherheit der Mitarbeiter aus, wenn ein Hacker Zugang zu einem Sensor hat, der die Betriebstemperatur eines Teils der Fertigungsanlagen überwacht?
  • Was würde passieren, wenn ein Angriff erfolgreich eine einfache Änderung an der Software vornimmt, die ein Anlagenteil anweist, wie viele Schrauben es bei der Befestigung der Autokarosserie im Montageprozess montiert?
  • Wie würde sich das auf die Sicherheit des Verbrauchers auswirken?

Es sind Szenarien wie diese hinter den Kulissen des IIoT, die man angehen sollte, bevor sie zur nächsten Schlagzeile werden.

Integrität der Firmware ist zu gewährleisten

Da Autos im Grunde zu Computerprozessoren auf Rädern geworden sind, haben sie viel Software und Firmware an Bord, die etliche Funktionen des Fahrzeugs steuern. Die Erstinstallation dieser Software und Firmware erfolgt während des Fertigungsprozesses und wird in der Regel in einer kontrollierten Umgebung durchgeführt.
Wenn das Fahrzeug aber auf Reise geht und altert, ist es unvermeidlich, dass es Software- und Firmware-Upgrades gibt. Diese Upgrades können von zertifizierten Händlern oder einem Mechaniker durchgeführt werden.
Welcher durchschnittliche Autofahrer aber kann schon wissen, dass die richtige Software oder Firmware installiert wurde? Wohl kaum verfügt er über ausreichend viel Fachwissen – und eventuell weiß es nicht einmal der Mechaniker so ganz genau. In diesem konkreten Fall würde es Abhilfe schaffen, wenn die Software beziehungsweise die Firmware signiert wurde – das validiert und gewährleistet die Integrität. So werden nur die korrekten Updates eingespielt und eben keine bösartige Software oder Firmware.
In dem Maße, in dem Daten, Prozesse und Menschen innerhalb der Fertigung miteinander vernetzt sind, steigen die potenziellen Sicherheitsrisiken für alle an diesem Prozess Beteiligten, wie auch für den Verbraucher. Sinn und Zweck aller konzertierten Aktionen kann es nur sein, Sicherheitsbelange konsequent und von Anfang an mitzudenken.

Weitere Informationen zum Thema:

AUTO ALLIANCE, 14.07.2015
Automakers annouce Initiative to further enhance Cyber-Security in Autos



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung