[datensicherheit.de, 28.06.2023] Das Bundeskriminalamt (BKA) warnt in einer aktuellen Stellungnahme: „Betrug macht keine Ferien: Vorsicht beim Fahrzeugkauf!“ Gewarnt wird vor dem Handel mit gestohlenen oder unterschlagenen Wohnmobilen bzw. PKW über Online-Inserate.

Laut BKA Gefahr vermeintlicher Schnäppchen-Angebote über Online-Verkaufsplattformen und Social-Media-Kanäle

Da nun die Sommer-Urlaubszeit beginnt, planen laut BKA viele Urlauber, mit einem PKW oder Wohnmobil zu verreisen – daher weist es auf eine neue Betrugsmasche hin und rät zu erhöhter Wachsamkeit.

Im Zusammenhang mit dem Erwerb von Kraftfahrzeugen häuften sich in den vergangenen Monaten Fälle angeblicher „Schnäppchen“, „die über Online-Verkaufsplattformen und Social-Media-Kanäle gezielt in Deutschland angeboten werden“. Nach dem Kauf stelle sich dann heraus, dass diese Fahrzeuge „in anderen Ländern gestohlen oder unterschlagen wurden“.

BKA-Tipps zum Fahrzeugkauf

Worauf Sie nach BKA-Angaben beim Fahrzeugkauf achten sollten und wie Sie sich vor Betrug schützen können:

• Vorsicht bei Angeboten, die deutlich unter dem Marktwert liegen!
• Unterschiede von mehreren tausend Euro werden täterseitig mitunter durch kleine, selbst angebrachte Schrammen oder Lackschäden erklärt.
• Tätigen Sie keine umfangreichen Bargeldgeschäfte auf der Straße!
• Transaktionen über hohe Summen wickelt man besser und sicher über Konten ab, die bei Unstimmigkeiten den Rückruf des Kaufpreises ermöglichen.
• Online-Accounts bieten Verkäufern einen hohen Grad an Anonymität. Geben Sie keine Kopien oder Bilder Ihres Personalausweises weiter!
• Bestehen Sie beim Erwerb von Wohnmobilen und Autos auf der unmittelbaren Übergabe der zwei funktionierenden Originalschlüssel, des Serviceheftes und der CoC-Papiere*!
• Lassen Sie sich nicht auf das Angebot eines „Nachschickens“ ein!
• Werden Sie misstrauisch, wenn kurz vor dem Kauf der Ort der Übergabe gewechselt wird. Mit rührseligen Geschichten von Krankheiten oder familiären Notfällen, mit denen man Sie möglicherweise sogar aus Deutschland heraus in angrenzende Länder locken will, manipuliert man Sie gezielt.
• Haben Sie einen Verdacht, dann gehen Sie vor dem Kauf zur Polizei!

* Bei den CoC-Papieren handelt es sich demnach um eine EG-Übereinstimmungsbescheinigung: „Bestätigung, dass ein Fahrzeug den EU-Normen entspricht. Diese Papiere sind in der jeweiligen Landessprache verfasst und werden bei Neuwagenkauf ausgehändigt. Sie spezifizieren technische Merkmale und Daten des Fahrzeugs, die das Modell beschreiben und für die Zulassung nötig sind, z.B. Maße und Gewichte, Reifengröße, Verbrauch sowie detaillierte CO2- und Schadstoffwerte. Die Angaben gehen somit über die in Zulassungsbescheinigung Teil I und Zulassungsbescheinigung Teil II hinaus.“

Politisches Forum in der Landesvertretung des Saarlandes in Berlin

[datensicherheit.de, 06.10.2022] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) veranstaltet nach eigenen Angaben am 18. Oktober 2022 das Politische Forum „Mein Auto! Meine Daten?“ – dieses findet demnach in Berlin statt und Interessierte sind im Rahmen der Verfügbarkeit freier Plätze hierzu eingeladen.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber lädt Interessierte nach Maßgabe freier Plätze ein

Politisches Forum zu den Themen vernetzte Fahrzeuge und zum Umgang mit Kfz-Daten

Zu Beginn ist ein Auftaktimpuls des Cyber-Sicherheitsforschers David Colombo vorgesehen.

Danach steht eine Diskussion des BfDI, Prof. Ulrich Kelber, mit einer Vertreterin des Verbraucherzentrale Bundesverbands, mit Stefan Schnorr, Staatssekretär im Bundesministerium für Digitales und Verkehr, sowie mit Dr. Oliver Draf von der Volkswagen AG zu den Themen vernetzte Fahrzeuge und Umgang mit Kfz-Daten auf dem Programm.

Im Anschluss soll es die Möglichkeit für Fragen und Stellungnahmen geben.

Politisches Forum „Mein Auto! Meine Daten?“

Dienstag, 18. Oktober 2022, Einlass ab 18.00 Uhr, in der Landesvertretung des Saarlandes in Berlin

Anmeldung bis zum 15. Oktober 2022 über anmeldung [at] bfdi [dot] bund [dot] de .

Die genaue Anschrift wird nach Anmeldung mitgeteilt (aufgrund begrenzter Raumkapazitäten bedeutet eine Anmeldung nicht automatisch einer Zusage).

[datensicherheit.de, 01.11.2016] Die Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, hat nach eigenen Angaben dem „sehr speziellen Hobby eines Autofahrers aus dem Harz“ ein Ende gesetzt – der in der Öffentlichkeit als „Knöllchen-Horst“ bekanntgewordene Mann hatte es sich zur Aufgabe gemacht, vermeintliche oder tatsächliche Verkehrsverstöße anderer Verkehrsteilnehmer auch bei fehlender eigener Betroffenheit zur Anzeige zu bringen.

Eigenmächtig Fotos und Videosequenzen als Beweismittel genutzt

Als Beweismittel habe „Knöllchen-Horst“ auf Fotos und Videosequenzen der an Front- und Heckscheibe seines Fahrzeugs befestigten sogenannten Dashcams zurückgegriffen.
Deren Einsatz im öffentlichen Verkehr stelle aber „einen schweren Eingriff in das Recht auf informationelle Selbstbestimmung der davon betroffenen Verkehrsteilnehmer“ dar. Die Landesdatenschutzbeauftrage hatte deshalb die Verwendung dieser Kameras zur Dokumentation des Verkehrsgeschehens untersagt und die Löschung der datenschutzwidrig angefertigten Videoaufnahmen angeordnet.

Unzulässigkeit des Einsatzes von Dashcams bestätigt

Diese Entscheidung der niedersächsischen Datenschutzbeauftragten sei kürzlich vom Verwaltungsgericht Göttingen im Rahmen eines Eilrechtsschutzverfahrens bestätigt worden (Az.: 1 B 171/16).
In dem Beschluss habe das Gericht auch darauf hingewiesen, „dass die Verfolgung von Verkehrsverstößen eine öffentliche Aufgabe darstellt“, deren Erfüllung Polizei und Ordnungsbehörden vorbehalten sei.
Sie sei sehr froh, dass das Verwaltungsgericht die Maßnahmen ihrer Behörde gegen diesen selbst ernannten Sachwalter öffentlicher Interessen gebilligt habe, kommentierte Thiel in einer ersten Reaktion den Gerichtsbeschluss. Damit sei zugleich die von den deutschen Datenschutz-Aufsichtsbehörden seit mehreren Jahren vertretene Auffassung zur Unzulässigkeit des Einsatzes von Dashcams bestätigt und deutlich gemacht worden, dass bereits die Anfertigung solcher Kamerabilder datenschutzwidrig sei.

Gewährleistung der Öffentlichen Sicherheit als staatliche Aufgabe

„Der Gerichtsbeschluss hat nach meiner Auffassung auch für die aktuelle politische Diskussion über die Ausweitung der Überwachung öffentlicher Räume unter Nutzung von Kameras privater Betreiber Bedeutung“, betont Thiel.
Das Gericht habe völlig zu Recht darauf hingewiesen, dass die Gewährleistung der Öffentlichen Sicherheit eine staatliche Aufgabe sei, die nicht privaten Stellen überantwortet werden dürfe.

[datensicherheit.de, 25.04.2016] NTT Com Security weist auf die hohen Risiken einer veralteten Architektur der IT-Sicherheit bei vielen „Connected Cars“ hin. Diese mache es Angreifern viel zu leicht, Fahrzeuge zu manipulieren oder gar zu kapern.

Visionen mit wenig Beachtung der IT- Sicherheit

„Connected Cars“ werden laut NTT Com Security nicht nur das Autofahren und den Umgang mit Fahrzeugen ganz neu definieren, sondern nach Einschätzung der Analysten von McKinsey auch zum Auslöser einer fundamentalen Neuordnung des weltweiten Automobilmarkts. Mittlerweile seien alle großen Automobilhersteller in entsprechenden Initiativen aktiv.
Umso erstaunlicher sei es, wie wenig Beachtung oftmals dabei das Thema IT- Sicherheit finde, welches doch eigentlich „ein zentraler Punkt bei der ständigen Verbindung von Fahrzeugen mit dem Internet“ sein sollte, betont NTT Com Security.

Enorme Schäden durch Manipulationen möglich

René Bader, „Practice Manager Secure Application“ bei NTT Com Security: „Heute werden in Fahrzeugen zahlreiche IT-Systeme verbaut, die über das Internet kommunizieren, zum Beispiel zum Übermitteln von Telemetriedaten an den Hersteller, zum Updaten von Navigationsinformationen oder auch für E-Mails und Videostreams“.
Heutige Fahrzeuge verfügten zum Teil über mehr als 100 Steuergeräte und hätten eine Vielzahl an SIM-Karten fest verbaut, die die Kommunikation mit dem Web für unterschiedliche Aufgaben sicherstellten. Über all diese Systeme sei ein „Connected Car“ aber auch extrem verletzlich. Angreifer könnten mehr oder weniger kritische Telemetriedaten abgreifen, beispielsweise über das individuelle Fahrverhalten oder über Fahrziele.
„Wenn nicht von Anfang an eine strikte Trennung der internen Systeme eingeplant wurde, können sie aber auf diese Weise auch direkt die Fahrzeugsysteme manipulieren“, warnt Bader. Dabei könnten sie nicht bloß die Klimaanlage steuern, sondern zum Beispiel auch in Fahrsicherheitssysteme eingreifen. Es liege auf der Hand, dass man „damit einen enormen Schaden anrichten“ könne.

Auf dem Stand damaliger IT-Sicherheitsarchitekturen stehengeblieben

Die Hersteller setzten zwar seit den 1980er-Jahren konsequent auf digitale Fahrzeugsysteme, dabei seien viele Hersteller jedoch auf dem Stand der damaligen IT-Sicherheitsarchitekturen stehengeblieben.
So sei beispielsweise in einigen Systemen weder eine Authentifizierung der Zugriffe noch eine Validierung der übermittelten Daten vorgesehen. Für die Anforderungen moderner Fahrzeuge, die ständig mit einer offenen Infrastruktur kommunizierten, sei diese Architektur „natürlich nie gedacht“ gewesen, erklärt Bader.
Es zeige sich immer mehr, dass viele Systeme völlig überfordert seien. In ihrem aktuellen Zustand stelle die IT-Architektur ein systembedingtes Risiko dar, das sich nicht einfach durch Nachbesserungen an der einen oder anderen Stelle ausschalten lasse.

IT-Sicherheit als Basisbaustein der Fahrzeugentwicklung

Was nach Ansicht des NTT-Com-Security-Experten oft fehlt, ist „eine konsistente Architektur, die von vornherein über die entsprechenden Sicherheits-Layer verfügt, also eine Architektur, in der IT-Sicherheit ein Basisbaustein der Fahrzeugentwicklung ist“.
Neue Player auf dem Automobilmarkt wie Tesla hätten es hierbei einfacher – sie könnten ein Fahrzeug mit entsprechender Architektur von Grund auf und ohne Altlasten neu konzipieren – und dabei auch die Anforderungen an die Sicherheit berücksichtigen.

Permanente Erweiterung der digitalen Architektur auch auf deutscher Seite

Mit ganz vorne dabei seien vor allem aber die etablierten deutschen Hersteller. Sie nähmen das Thema Sicherheit traditionell sehr ernst und hätten das konsequent auch auf die digitalen Fahrzeugsysteme ausgeweitet. Nach den verheerenden Presseberichten über einfache Angriffsmethoden auf US-amerikanische Fahrzeuge werde die Informationssicherheit als Wettbewerbsvorteil gesehen.
Dennoch würden auch sie um eine permanente Erweiterung ihrer digitalen Architektur nicht herumkommen, betont Bader. Als erster Schritt wäre dafür ein verbindlicher, herstellerübergreifender Standard notwendig. „NTT Com Security arbeitet hier bereits an Lösungen und Architekturvorgaben, die gemeinsam mit den Herstellern und Zulieferern entwickelt werden. Hier muss jedoch dringend weitergearbeitet werden, wenn das Connected Car nicht hinsichtlich der IT-Sicherheit gegen die Wand fahren soll.“

Weitere Informationen zum Thema:

McKinsey & Company
Internet im Auto wird Marktgewichte in der Industrie massiv verändern

[datensicherheit.de, 18.04.2016] Wer an das Internet der Dinge („Internet of Things“ / IoT) in der Automobilindustrie denkt, dem fällt wahrscheinlich als erstes das vernetzte Auto oder das Google-Auto ein. Erwartet werden sicher Annehmlichkeiten, die sich an den Bedürfnissen der Verbraucher orientieren, und grundlegende Funktionen für mehr Bequemlichkeit, eine einfachere Wartung und mehr Sicherheit. Zukünftig, vor allem mit der laufenden Weiterentwicklung des selbstfahrenden Google-Autos, wird sich die Interaktion mit Fahrzeugen grundlegend verändern. Eines Tages könnten wir dann vielleicht tatsächlich nur noch Fahrgäste sein – und stattdessen kommunizieren dann die Fahrzeuge direkt miteinander.

Bisherige Vorfälle erschüttern Vertrauen

Beim Thema Sicherheit könnte einem der 2015 gesendete 60-minütige Bericht „Internet-vernetzter Jeep gehackt“ einfallen. Sicher aufsehenerregend, aber vor allem hat das Vorkommnis einen potenziell kritischen Fehler und weitere Sicherheitslücken ans Tageslicht gebracht.
1,4 Millionen Fahrzeuge sollen im Zuge dessen zurückgerufen worden sein. Zudem vermarkten Automobilhersteller zunehmend vernetzte Funktionen, vom Onboard-WLAN bis zu mobilen Apps, die Türschlösser steuern und sogar Fahrzeuge starten. In vielen dieser Fälle entscheiden sich Kunden gerne für „coole“ Features – die damit verbundenen negativen Auswirkungen werden jedoch gerne ausgeblendet. Es stellt sich etwa die Frage, was passiert, wenn ein Mobiltelefon gestohlen wird – sind überhaupt geeignete Sicherheits- und Authentifizierungsmaßnahmen installiert, damit nicht auch gleich das Auto des jeweiligen Benutzers gestohlen werden kann?
Die berechtigten Sorgen der Verbraucher sind momentan noch schwer zu beurteilen, allerdings sollten Onlinefunktionen bewusster wahrgenommen werden, vor allem hinsichtlich ihrer Auswirkungen, positiv wie negativ. Immer mehr Fahrzeuge bieten derartige Funktionen. Wie Hersteller und
Konsumenten an dieser Stelle mit dem Thema Sicherheit umgehen, wird Folgen für vertrauliche Daten, Privatsphäre und Werte haben.

Alliance of Automobile Manufacturers will sich Risiken stellen

Zurzeit sind diejenigen, die über Schwachstellen wirklich besorgt sein sollten, die Automobilhersteller, denn negative Schlagzeilen und Berichte sind ausgesprochen schädlich für Marke und Reputation. Zudem gefährden solche Schwachstellen die Sicherheit der Verbraucher und treiben gleichzeitig die Kosten für Garantiefälle in die Höhe – beispielsweise wenn Reparaturen an potenziell mehr als einer Million Fahrzeugen fällig werden. Niemand will mit einer Geschichte wie dieser in Zusammenhang gebracht werden, denn den guten Ruf wiederherzustellen kann Unternehmen teuer zu stehen kommen. Ereignet sich gar etwas Tragisches aufgrund einer Schwachstelle, ist der Schaden eventuell kaum mehr zu reparieren – ob und wie ein Hersteller dann noch im Geschäft bleibt, steht in den Sternen.
Es gibt nun Anzeichen, dass die Autoindustrie das erkannt hat: Cyber-Sicherheit soll jetzt innerhalb der „Alliance of Automobile Manufacturers“ vorangetrieben werden; es handelt sich dabei um eine Vereinigung der zwölf Automobilhersteller BMW, Fiat Chrysler, Ford, GM, Jaguar Land Rover, Mazda, Mercedes Benz, Mitsubishi, Porsche, Toyota, VW und Volvo.

Einsparung vs. Sicherheitsbedenken in der Fertigung

Der Herstellungsprozess in der Automobilindustrie muss höchst präzise sein und hohe Qualitätsstandards erfüllen, um ein Auto auf die Straße zu bringen. Die Sicherheit aller Verkehrsteilnehmer hängt von der Qualität der produzierten und verkauften Fahrzeuge ab. Der Fertigungsprozess als solcher ist inzwischen weitestgehend automatisiert. Um den Prozess weiter zu optimieren, sind die Fertigungsanlagen und die Ausrüstung miteinander verbunden, um wichtige Daten zu teilen und zu analysieren – zunehmend bekannt unter dem Namen „Industrial IoT“ (IIoT).
Mit den anfallenden und verbundenen Daten lässt sich einiges etwa hinsichtlich Effizienz tun, und Hersteller sparen sich unter Umständen viele Millionen Dollar. Das Vernetzen der Ausrüstung birgt allerdings auch die Gefahr schwerwiegender, neuer Sicherheitslücken, die den Hersteller, seine Mitarbeiter und den Verbraucher gleichermaßen gefährden. Wenn ein böswilliger Angriff eine Fertigungsanlage oder einen Software-Dienst erfolgreich kompromittiert, können schwerwiegende Probleme auftreten. Im Vorfeld gilt es also, sich u.a. mit folgenden Fragen zu befassen:

• Wie wirkt es sich möglicherweise auf die Sicherheit der Mitarbeiter aus, wenn ein Hacker Zugang zu einem Sensor hat, der die Betriebstemperatur eines Teils der Fertigungsanlagen überwacht?
• Was würde passieren, wenn ein Angriff erfolgreich eine einfache Änderung an der Software vornimmt, die ein Anlagenteil anweist, wie viele Schrauben es bei der Befestigung der Autokarosserie im Montageprozess montiert?
• Wie würde sich das auf die Sicherheit des Verbrauchers auswirken?

Es sind Szenarien wie diese hinter den Kulissen des IIoT, die man angehen sollte, bevor sie zur nächsten Schlagzeile werden.

Integrität der Firmware ist zu gewährleisten

Da Autos im Grunde zu Computerprozessoren auf Rädern geworden sind, haben sie viel Software und Firmware an Bord, die etliche Funktionen des Fahrzeugs steuern. Die Erstinstallation dieser Software und Firmware erfolgt während des Fertigungsprozesses und wird in der Regel in einer kontrollierten Umgebung durchgeführt.
Wenn das Fahrzeug aber auf Reise geht und altert, ist es unvermeidlich, dass es Software- und Firmware-Upgrades gibt. Diese Upgrades können von zertifizierten Händlern oder einem Mechaniker durchgeführt werden.
Welcher durchschnittliche Autofahrer aber kann schon wissen, dass die richtige Software oder Firmware installiert wurde? Wohl kaum verfügt er über ausreichend viel Fachwissen – und eventuell weiß es nicht einmal der Mechaniker so ganz genau. In diesem konkreten Fall würde es Abhilfe schaffen, wenn die Software beziehungsweise die Firmware signiert wurde – das validiert und gewährleistet die Integrität. So werden nur die korrekten Updates eingespielt und eben keine bösartige Software oder Firmware.
In dem Maße, in dem Daten, Prozesse und Menschen innerhalb der Fertigung miteinander vernetzt sind, steigen die potenziellen Sicherheitsrisiken für alle an diesem Prozess Beteiligten, wie auch für den Verbraucher. Sinn und Zweck aller konzertierten Aktionen kann es nur sein, Sicherheitsbelange konsequent und von Anfang an mitzudenken.

Weitere Informationen zum Thema:

AUTO ALLIANCE, 14.07.2015
Automakers annouce Initiative to further enhance Cyber-Security in Autos

[datensicherheit.de, 12.03.2014] Ob im Eigenheim oder auf der Autobahn – die Vernetzung und „Smartifizierung“ des Alltags schreiten in großen Schritten voran und sind auch 2014 unter den Top-Themen der CeBIT. Die Entwicklung der Technik ist dabei schneller als die Klärung wichtiger Fragen: Denn hinsichtlich zentraler Sicherheitsaspekte im Rahmen der zunehmenden Automatisierung gibt es bundesweit noch deutlichen Nachholbedarf. Zu diesem Ergebnis kommt der aktuelle Report „Internet-Sicherheit 2014“ des eco – Verband der deutschen Internetwirtschaft e. V. So gaben rund 93 Prozent der befragten IT-Experten an, dass sich das Sicherheitsbewusstsein für das Thema Smart Home in Deutschland noch sehr stark entwickeln muss. Dr. Bettina Horster, Direktorin Mobile im eco Verband, erklärt: „Die intelligente Haussteuerung bietet unter anderem zahlreiche Schutzmaßnahmen gegen Einbrüche, eröffnet Hackern und Einbrechern aber gleichzeitig neue Angriffsmöglichkeiten – etwa durch elektronische Manipulationen oder Ausspähungen.“

Car2Car-Kommunikation: Experten sehen Risiken und Vorteile

Beim Thema Car2Car-Kommunikation waren sich die Experten weniger einig: Rund 24 Prozent sind überzeugt, dass das vernetzte Auto in Zukunft für mehr Sicherheit auf den deutschen Straßen sorgen wird, während rund 36 Prozent glauben, dass die automatisierten Fahrzeuge die Sicherheit sogar senken. Etwa 40 Prozent der Befragten sind der Ansicht, dass sich Vorteile und Gefahren der neuen Technologien aufwiegen. Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco Verband, ist überzeugt: „Die umfassende Car2X-Kommunikation sowie selbstfahrende Autos werden den Verkehr auf deutschen Straßen in wenigen Jahrzehnten grundlegend verändern. Entsprechend ist ein völliges Umdenken gefragt: Wie wird mein Fahrzeug vor fatalen elektronischen Attacken geschützt? Wer trägt die Schuld bei einem Unfall? Hersteller, Politik und Justiz müssen in den kommenden Jahren zahlreiche Fragen klären.“

M2M: eco – Verband erwartet umfassende Veränderungen des Alltags

Der wachsende M2M-Trend (Machine-to-Machine) sowie der permanente Datenaustausch zwischen Geräten und Maschinen werden aus Sicht der eco-Experten nicht nur für zahlreiche technische Herausforderungen sorgen. Dr. Bettina Horster und Oliver Dehning erwarten eine umfassende Veränderung des privaten und beruflichen Alltags sowie ein völlig neues Sicherheitsbewusstsein. Vernetzte Häuser und Fahrzeuge spielen bei der Smartifizierung via M2M eine wichtige Vorreiterrolle: Sowie heute bereits Smartphones zu täglichen Begleitern geworden sind, werden Smart Homes und Cars schon in wenigen Jahren kaum noch wegzudenken sein. Umso wichtiger sind laut eco Verband daher eine frühzeitige Klärung zentraler Sicherheitsaspekte, eine Sensibilisierung der Nutzer sowie das Schaffen branchenübergreifender Standards.

[datensicherheit.de, 09.09.2011] Autohersteller wie BMW und Zulieferer wie Conti sehen Auto-Infotainment als zukünftigen Schlüssel zum Erlebnis der Automarke. Farbige Displays haben sich in der Mitte des Armaturenbretts festgesetzt und dienen der Ausgabe von Navigationsdaten, dem Sprung ins Internet oder einfach zum Fernsehen. Die Unterhaltungselektronik des Autos, Offboard-Navigation und Telefonie sowie der Anschluss an Soziale Netzwerke wird mit Oberflächen ähnlich Googles „Android“ gesteuert. Sobald die Verbindung des Autos und seines „Infotainment-Centers“ zum Internet hergestellt ist, liegt die Möglichkeit einer Infektion mit Viren und Trojanern wie bei PCs und Smartphones auf der Hand:
Der Computer im „Infotainment-Center“ sei nun keineswegs der erste Rechner im Auto, sondern einer der letzten. Heute hausten in einem Auto 20 bis 80 Steuersysteme, angetrieben von unterschiedlicher Software und verbunden über einen gemeinsamen Datenbus wie dem gebräuchlichen „CAN-Bus“, dem neuen „MOST“ und „FlexRay“. Der Grund für die elektronische Aufrüstung liege im Bestreben der Autoindustrie, ihre Autos sparsamer und sicherer zu machen, manchmal auch narrensicher. Die Steuerung des Motors erfolge durch eine „Motronic“, die Verbesserung der Sicherheit durch die Bremshilfe (ABS) und den Schleuderassistenten (ESP). Vom neuerdings verfügbaren Spurassistenten sei es nicht mehr weit bis zur Google-Vision vom Auto ohne Chauffeur und Entmündigung der Lenker am Steuer.
Diese Apparaturen und Applikationen seien noch Neulinge in der Welt der Automobil-Technologie. Viele Fahrer der alten Schule möchten diese computerartige Hardware vielleicht gar nicht in ihrem Auto haben. Das hätten sie jedoch bereits, auch wenn sie es meist gar nicht merkten, meint Vicente Diaz, Virenanalyst beim IT-Sicherheitsexperten KASPERSKY lab. Diaz hat sich in einer aktuellen Analyse dediziert mit dem Thema IT-Sicherheit in Autos gewidmet.
Zu den zahlreichen Prozessoren komme nicht wenig an Software. Im kommenden „Opel Ampera“ sollten es rund zehn Millionen Zeilen Quellcode sein. Das liege mengenmäßig auf dem Niveau eines Mitte der 1990er-Jahre erschienenen „Windows NT 4.0“ mit damals rund zwölf Millionen Zeilen Quellcode. Leider dürfte das sicherheitstechnische Niveau dieser Architekturen noch unter dem des guten alten „Windows NT“ liegen. Das hätten Studenten der University of Washington und der University of California San Diego erfolgreich erprobt. Sie hätten durch Analyse und Manipulation der Datenpakete mittels „Fuzzing“-Techniken volle Kontrolle über alle möglichen Untersysteme eines Autos erlangt – unter anderem die Bremsen – und Schadcode in die Telematik-Einheit eingebettet. Die rudimentären Netzwerk-Schutzmechanismen hätten sie einfach umgangen.
Doch nicht nur gewitzte Studenten hackten Autos, sondern auch deutsche Opel-Kunden ihren „Zafira“. Nach Recherchen der „ZEIT“ knacke ein Code den Bordcomputer, der dann auch aufpreispflichtige Features der Bordelektronik gehorsam anbiete. Die oben erwähnten Studenten hätten klassische Techniken von Cyber-Kriminellen angewendet und eine MP3-Musikdatei mit einem Virus versehen. Oft genug sei es auch der Leichtsinn der Autoelektroniker – so plaudere der neue „Nissan Leaf“ den genauen Aufenthaltsort und die Fahrweise per RSS-Feed aus. Es zeige sich also, dass Autos heute noch anfälliger seien als viele Desktop-Computer.

Weitere Informationen zum Thema:

KASPERSKY lab, 08.09.2011
Der Androide im Auto – IT-Sicherheit beim Fahren / Von Vicente Diaz, Virus Analyst, Kaspersky Lab

Karl Koscher, Alexei Czeskis, Franziska Roesner, Shwetak Patel, and Tadayoshi Kohno
Experimental Security Analysis of a Modern Automobile