Man wartet gemütlich hinter dem Steuer an der Ampel darauf, dass es grün wird. Plötzlich fährt der Wagen wie ferngesteuert los – ein erschreckendes Szenario.
In Filmen und Serien nehmen Cyber-Kriminelle immer häufiger hochvernetzte Fahrzeuge ins Visier, um sie aus der Ferne zu kontrollieren und für Chaos zu sorgen. Alles nur Humbug oder entsprechen solche Szenen mehr der Realität als erwartet? Wie gefährdet selbstfahrende Fahrzeuge sind und welche Sicherheitsmaßnahmen Fahrzeughersteller treffen können, das erklärt Tanja Hofmann, Lead Security Engineer bei McAfee Enterprise, in diesem Fachbeitrag anhand ausgewählter Beispiele aus Film und Fernsehen.
Selbstfahrende Autos sind schon lange kein Leinwandtraum mehr: Viele Fahrzeughersteller streben nach autonom fahrenden Autos: Tesla gilt auf diesem Gebiet als Vorreiter, und auch auf deutschen Straßen sollen in naher Zukunft mehr selbstfahrende Fahrzeuge unterwegs sein. In Berlin und Hamburg werden aktuell selbstfahrende Linienbusse und sogenannte Robotaxis bereits im öffentlichen Verkehr getestet. Doch in Deutschland herrscht weiterhin geteilte Meinung zu diesem Thema: Zwar können sich etwa ein Drittel der befragten Verbraucher einer aktuellen YouGov-Umfrage vorstellen, Robotaxis zu nutzen, doch geben 48 Prozent zu, dass ihnen autonome Fahrzeuge Angst machen. Lediglich 35 Prozent können sich mit diesem Konzept anfreunden. Woher rührt diese Angst?
Angriff der Zombie-Autos: Autonome Fahrzeuge in Film und Fernsehen
Ein Grund, warum Autofahrer vernetzten, selbstfahrenden Fahrzeugen weiterhin skeptisch gegenüberstehen, sind mögliche Cyber-Angriffe. So zeigt sich laut einer Umfrage die Mehrheit der befragten Verbraucher um die Sicherheit des Fahrzeugs (73 Prozent) sowie die Sicherheit des in ihnen verbauten Systems (72 Prozent) besorgt. Dies verwundert nicht, denn Hollywood macht die feindliche Übernahme von Wägen durch Cyber-Kriminelle regelmäßig zum Thema seiner Filme. Zugunsten actiongeladener Szenen spielen sie mit der Angst, zum Werkzeug cyber-krimineller Machenschaften zu werden, deren Ziel es ist, auf jegliche erdenkbare Weise Chaos anzustiften. Doch verzerrt Hollywood das Bild von „Hackern“ und der Sicherheit vernetzter Fahrzeuge oder steckt in ihnen nicht doch ein Fünkchen Wahrheit? Die folgenden Beispiele aus Film und Fernsehen sollen Aufschluss darüber geben, wie realistisch solche Filmszenen sind.
Autos aus der Ferne anlassen und fahren: Fast and Furious 8
„Fast and Furious 8 – The Fate of the Furious“ lässt das Fernkontrolle-Szenario auf spektakuläre Weise aufleben: Die Hackerin Cypher weist ihr Team an, unzählige, sogar ausgeschaltete, parkende Fahrzeuge aus der Ferne zu übernehmen. Ihr Ziel ist es, mithilfe einer „Autoarmee“ einem Politiker einen Koffer samt brisantem Inhalt abzunehmen. Mit wenigen Handgriffen kapert ihr Team per LTE-/WLAN-Zugriff die Fahrzeuge, indem es Fahrassistenzsysteme wie den Autopiloten (Auto-Drive) oder den Notbremsassistenten (Collision Avoidance) aktiviert beziehungsweise deaktiviert. Daraufhin fahren sie die Wagen via Fernsteuerung in Richtung Wagenkolonne des Politikers.
Wie realistisch ist dieses Szenario?
Die „Fast and Furious“-Reihe ist nicht gerade für ihre realitätsnahen Actionszenen bekannt und wird vom Publikum oftmals belächelt. Doch in der beschriebenen Szene versteckt sich dennoch ein Quäntchen Realität – wenn auch in einer übertriebenen Darstellung. In der Vergangenheit haben Cyber-Kriminelle beziehungsweise IT-Security-Forscher des Öfteren bewiesen, dass ein Fernzugriff auf Fahrzeuge möglich ist. Stefan Savage, Professor für Computer Science an der University of California San Diego, konnte eine Schwachstelle im Bordcomputersystem eines Fahrzeugherstellers gezielt ausnutzen, um die Kontrolle über mehrere Fahrzeuge zu übernehmen. Die Wägen ließen sich aus der Ferne aufschließen, die Motoren starten und die Bremsen blockieren.
Dass Cyber-Kriminelle nicht ausschließlich Fahrzeuge kapern können, die zum autonomen Fahren imstande sind, zeigt ein Selbstversuch aus den USA: 2015 fuhr der Reporter Andy Greenberg mit seinem älteren Wagen auf dem Highway, als die Car-Security-Experten Charlie Miller und Chris Valasek über eine Sicherheitslücke in die Systemsoftware eindrangen und Klimaanlage und Radio, aber auch Geschwindigkeit und Bremsfunktion während der Fahrt manipulierten.
Autos auf Wunsch anhalten: Mr. Robot (S3E1: „power-saver-mode.h“)
Die Serie „Mr. Robot“ zeigt eindrücklich, dass sich Wägen nicht nur per Fernsteuerung starten und fahren, sondern auch in (un-) günstigen Momenten anhalten lassen. In der oben erwähnten Episode sitzen der Hacker Elliot und seine Schwester Darlene auf der Rückbank eines Taxis, das von Irving, dem Mitglied einer anderen Hacker-Gruppe, gefahren wird. Ein FBI-Agent verfolgt sie. Irving weist Darlene an, das Kennzeichen des Wagens online mit der (öffentlich einsehbaren) Datenbank der Kfz-Zulassungsstelle abzugleichen und ihm die Fahrzeug-Identifizierungsnummer (FIN) zu nennen. In der Zwischenzeit ruft er selbst beim Hersteller des Telematiksystems des Fahrzeugs an. Als Polizist getarnt meldet er den Wagen des Agenten als gestohlen und verlangt von der Mitarbeiterin am Telefon, das Fahrzeug sofort aus der Ferne anzuhalten. Dafür muss er ihr lediglich die FIN durchgeben.
Wie realistisch ist dieses Szenario?
Neben dem Fernzugriff über IT-Sicherheitslücken, kann auch der Einsatz von Social-Engineering-Methoden zum Erfolg führen. Dabei geben sich Cyber-Kriminelle als Personen oder Instanzen aus, um zum Beispiel Angestellte eines Unternehmens dazu zu bringen, gewisse Handlungen auszuführen. Dabei kann es sich etwa um die Herausgabe von Log-in-Daten oder – wie in „Mr. Robot“ – um den Zugriff auf Steuereinheiten handeln. Es gibt tatsächlich Bordsysteme, die im Notfall auf in modernen Fahrzeugen verbaute Drehzahlbegrenzer zugreifen können. Meldet ein Polizist zum Beispiel einen Wagen als gestohlen, kann ein Mitarbeiter mit den entsprechenden GPS-Daten die Drehzahlerhöhung verhindern, wodurch der Motor stoppt und der Wagen ausrollt. Cyber-Kriminelle, die sich als Autoritätspersonen ausgeben, können auf diese Weise Fahrzeuge anhalten lassen, was je nach Verkehrslage zu verheerenden Folgen führen kann.
Hersteller müssen ein hohes Sicherheitsniveau anstreben
In Deutschland werden Autohersteller zur Verantwortung gezogen, wenn ein Autounfall aufgrund einer fehlerhaften Software eintritt – zum Beispiel, weil eine Person in der Lage war, in das System einzudringen und es zu manipulieren. Es ist demnach unerlässlich, dass Hersteller bereits bei der Konzipierung der Fahrzeuge sowie während des Produktionsprozesses einen Security-by-Design-Ansatz verfolgen. Dies sollte auch die Entwicklung der Software des Bordcomputers miteinschließen. Fahrzeughersteller sind daher dazu angehalten, eng mit IT-Entwicklern und -Sicherheitsteams zusammenzuarbeiten, um potenzielle Schwachstellen so früh wie möglich zu erkennen und zu beheben – bevor sie ihren Weg in das finale Produkt finden und von Cyber-Kriminellen ausgenutzt werden können. Die Einführung von Sicherheitszertifizierungen wie TISAX, die IT-Sicherheitsstandards über die gesamte Supply Chain hinweg gewährleisten sollen, sind ein erster Schritt.
Ferner können Hersteller und Sicherheitsteams bereits mit einigen grundlegenden technischen Sicherheitsmaßnahmen Cyber-Kriminellen die Arbeit maßgeblich erschweren. So sollten beispielsweise schon während des Produktionsprozesses regelmäßige Software-Tests stattfinden, um Sicherheitslücken so früh wie möglich zu finden und zu schließen. Zero Day Exploits sind dabei besonders beliebte Schwachstellen, über die Cyber-Kriminelle in ein System gelangen. Darüber hinaus werden Fahrzeugdaten zunehmen in der Cloud verarbeitet. Cyber-Kriminelle versuchen hier an entsprechenden Schnittstellen anzudocken, um sich entsprechenden Zugang zu verschaffen. Mithilfe von Cloud Access Security Brokern lassen sich potenzielle Kompromittierungen schnell identifizieren und beheben. Außerdem kann Prozessautomatisierung einen wesentlichen Beitrag zur Überwachung komplex vernetzter Systeme für ein höheres Sicherheitsniveau leisten. KI-basierte Lösungen sind in der Lage, Bedrohungen schneller zu erkennen. Um Social Engineering entgegenzuwirken, sollten Mitarbeiter eingehend darauf geschult werden, solche Aktionen zu erkennen. Auf Seiten der Fahrzeugbesitzer gilt natürlich, System-Updates sofort zu installieren, sobald sie verfügbar sind.
Fazit
Auch wenn Actionfilme Szenen, in denen sich sogenannte „Hacker“ (autonome) Fahrzeuge zu eigen machen, dem Publikum in übertriebener Form vorlegen, entsprechen doch einzelne Aspekte oftmals der Wahrheit. Cyber-Kriminelle sind in der Tat fähig, die Fernkontrolle über Fahrzeuge durch Software-Schwachstellen oder Social Engineering zu erhalten. Automobilhersteller sollten daher einen Security-by-Design-Ansatz verfolgen und den Sicherheitsaspekt bei der Software-Entwicklung von Anfang an mit einbeziehen. Dazu gehören sowohl regelmäßige Tests als auch der Einsatz von Systemüberwachungs- und Prozessautomatisierungslösungen.