Kill Switch für vernetzte Autos gefordert: "Sonst gibt es Tote"

Inhaltsverzeichnis

Aktuell hergestellte Autos werden längst nicht mehr mit Drahtseilen, Hebeln oder Hydraulik vom Fahrer selbst gesteuert, sondern über digital vernetzte Computersysteme. Ein gedrücktes Bremspedal heißt also schon lange nicht mehr zwingend, dass die Bremsen auch wirklich betätigt werden – ob das tatsächlich passiert, darüber entscheidet in modernen Autos die Software. Hinzu kommt, dass Autos immer vernetzter werden. Sowohl intern, als auch in Bezug auf die Außenwelt. Das ermöglicht es Hackern, Autos aus dem Netz zu orten und in deren Systeme einzudringen. Im schlimmsten Fall führt das dazu, dass sie die Kontrolle über wichtige Steuerungssysteme übernehmen können. Experten der US-amerikanischen Verbraucherschutzorganisation Consumer Watchdog fordern nun einen Kill Switch, mit dem der Fahrer im Falle eines Übergriffes von außen sein Fahrzeug sicher stilllegen kann.

Fast alle neuen Autos in den USA sind vernetzt

Die Organisation legt ihre Forderung in einer Studie dar, die sie mit Hilfe von Experten aus der Automobilindustrie angefertigt hat. Dabei handelt es sich, so Consumer Watchdog, um Ingenieure und Techniker, die in großen Unternehmen der Branche an Technik arbeiten, die sie zum Teil für gefährlich halten. Trotz wiederholter interner Hinweise solcher Experten an die Firmenspitzen großer Autohersteller in den USA und andernorts würden die Firmenchefs allerdings weiterhin munter vernetzte Technik in ihre Produkte integrieren, ohne die weitreichenden Konsequenzen dieser Entscheidung zu beachten, so die Verbraucherschützer.

Man habe sich somit dazu entschlossen, eine gemeinsame Studie herauszugeben, die das Bewusstsein für dieses Problem bei der Allgemeinheit stärken soll. Consumer Watchdog hält nach eigenen Angaben die Identität der beteiligten Experten geheim, da diese sonst berechtigte Befürchtungen hätten, ihre Jobs zu verlieren.

Mittlerweile sind 95 Prozent der von den zehn größten Automarken in den USA verkauften Fahrzeuge mit dem Internet verbunden. Die drei größten Hersteller General Motors, Toyota und Ford – die zusammen fast die Hälfte des US-Automarktes darstellen – wollen bis zum Ende des Jahres überhaupt nur noch vernetzte Autos verkaufen. Sicherheitsforscher finden immer wieder Schwachstellen in den unterschiedlichsten Software-Komponenten vernetzter Fahrzeuge. Meist dringen sie über Mobilfunk-Anbindungen (etwa für Ortungs- oder Notrufsysteme) in das Infotainment-Center der Fahrzeuge ein, wo sich oft die meisten Sicherheitslücken finden lassen. Von dort kann man sich dann mitunter in Steuerelektronik vorhangeln.

Zwar gab es bisher kaum praktische Angriffe, die lebensbedrohliche Konsequenzen hätten nach sich ziehen können, Sicherheitsforscher äußern aber immer wieder die Befürchtung, dass dies nur eine Frage der Zeit ist. Unter Experten, die mit der Software moderner Autos der verschiedensten Hersteller vertraut sind, ist es schon länger ein offenes Geheimnis, dass die Software-Qualität – auch bei kritischen Komponenten – oft deutlich zu wünschen übrig lässt. Und wo es Software von schlechter Qualität gibt, da lauern Sicherheitslücken, wie uns die Erfahrung immer wieder gezeigt hat.

Unheilige Allianz aus Infotainment und CAN-Bus

Die Consumer-Watchdog-Studie hat diese zentrale Schwachstelle in vernetzen Autos ausgemacht: Verbindungen zwischen dem per Mobilfunk vernetzten Infotainment-System und dem Controller Area Network (auch als CAN-Bus bekannt), welches die sicherheitsrelevanten Fahrzeugsysteme miteinander verbindet. Diese jahrzehntealte Netzwerktechnik ist mit dem oft viel moderneren Infotainment-System verbunden, um dem Fahrer wichtige Fahrzeugdaten zu liefern und Komfortfunktionen umzusetzen – etwa die automatische Regelung der Musik-Anlagen-Lautstärke abhängig von Geschwindigkeit und Motorengeräusch.

Diese Verbindungen stellen aber auch eine riesige Sicherheitslücke dar. Wie auch schon bei Flugzeugen zeigt sich nämlich: Sind zwei Netzwerke nicht hart physisch voneinander getrennt, kommen Angreifer auf dem einen oder anderen Weg doch früher oder später von einem Netz ins andere. Die Experten kommen in ihrer Studie zu dem Schluss, dass dieses Design fundamental kaputt und gefährlich ist: Smartphone-basierte Technik, die nie für den Einsatz in kritischer Infrastruktur gedacht gewesen sei, mit lebenswichtigen Steuersystemen in Autos zu vernetzen, fordert die Katastrophe geradezu heraus, so ihre Analyse.

Alle bisher öffentlich gewordenen Auto-Hacks seien von wohlwollenden Sicherheitsforschern ausgeführt worden, um die Öffentlichkeit auf diese Probleme hinzuweisen. Das könne sich schnell ändern, sobald Kriminelle auf die Idee kämen, mit den Schwachstellen in vernetzen Fahrzeugen Geld zu verdienen. Zeit und Geld sei das einzige, was zwischen Hackern und einem erfolgreichen Angriff in freier Wildbahn stehe, so die Experten. Zur Lösung des Problems schlagen sie ein zweistufiges Vorgehen vor, zu dem sich Autohersteller ihrer Meinung nach freiwillig verpflichten sollten. Dazu stellen sie den Firmen zum Ende des Jahres eine Deadline – würden die Hersteller bis dahin nicht einwilligen, solle der Gesetzgeber tätig werden und die Automobilindustrie zum Handeln zwingen.

Zweistufige Problemlösung

Stufe Eins zur Lösung des Problems wäre, so die Consumer-Watchdog-Studie, ein Kill Switch. Jedes neu hergestellte Auto sollte demnach einen physischen Schalter erhalten, mit dem der Fahrer die Internet-Verbindung des Fahrzeugs im Notfall komplett von sicherheitsrelevanten Systemen kappen kann. Beim aktuellen Aufbau vernetzter Autos würde das bei den meisten Fahrzeugen wohl darauf hinauslaufen, die Internetverbindung des Fahrzeugs komplett stillzulegen. Fahrzeughersteller sollten diesen Kill Switch so schnell wie möglich in neue Modelle integrieren, empfehlen die Branchen-Insider.

Technische Gründe gegen eine Umsetzung dieser Empfehlung gibt es wohl kaum – schließlich hat jedes Handy einen Flugzeugmodus. Allein die Notruf- und Anti-Diebstahl-Systeme, die viele Hersteller in ihre Fahrzeuge integriert haben, würden dann natürlich auch nicht mehr funktionieren. Solche Systeme müssten wohl komplett isoliert und mit einer eigenen Mobilfunkverbindung ausgestattet werden. Bei manchen Herstellern gibt es bereits Systeme, die genauso funktionieren.

Darüber hinaus will Consumer Watchdog die Hersteller dazu verpflichten, in einer zweiten Stufe zukünftige Autos grundlegend sicherer zu machen. Schluss mit der Verbindung von Infotainment- und Kontrollsystemen. Neue Modelle sollten demnach von Grund auf so entwickelt werden, dass die kritische Steuerungs-Infrastruktur gar nicht in Verbindung mit dem Internet kommen kann. Dieser Ansatz würde großes Umdenken bei den Herstellern voraussetzen und bedeuten, dass neue Fahrzeuge gänzlich anders entwickelt und gebaut werden müssten.

Die größte Herausforderung hier ist wohl, Fahrzeugdaten an das Infotainment-System zu schicken, ohne Datenfluss in die andere Richtung zuzulassen. Solche Sicherheitsbarrieren sollten laut den Experten ausschließlich in Hardware, keinesfalls als Software-Lösung, umgesetzt werden. Außerdem müssten die Hersteller eine Möglichkeit finden, die Software der Autos sicher zu aktualisieren – aktuelle Over-The-Air-Update-Methoden würden dann ebenfalls nicht mehr funktionieren. Die Experten hoffen, dass Hersteller mehr Prioritäten in sichere Software investieren, wenn solche OTA-Updates auf einfachem Wege nicht mehr möglich sind.

Profit contra Sicherheit

Die Studie befasst sich alleine mit vernetzten Fahrzeugen, selbstfahrende Gefährte blieben außen vor. Deren praktischer Einsatz in Masse liege noch zu weit in der Zukunft und aktuelle Autos hätten bereits mehr als genug Probleme, so die Autoren. Die Verbraucherschützer und Experten legen ihre Argumente durchaus schlüssig dar und beschreiben eine Reihe von bereits bekannten Angriffen wie den Jeep-Cherokee-Hack von Charlie Miller im Jahr 2015 sowie hypothetische weiter Angriffe, vor denen bekannte Sicherheitsforscher aus dem Auto-Hacking-Umfeld seit Jahren warnen. Dazu zählt die Möglichkeit eines Wurms, der sich über WLAN- oder Bluetooth-Verbindungen lokal von Fahrzeug zu Fahrzeug verbreitet. Auch Supply-Chain-Angriffe, bei denen Angreifer Fahrzeuge direkt bei der Herstellung kapern, sind mehr als denkbar, spekulieren die Experten. Die Studie krankt allerdings etwas daran, dass keine Namen von Experten genannt werden. Namen mit entsprechendem Hintergrund hätte der Veröffentlichung mehr Gewicht verliehen.

Der Vorschlag mit dem Kill Switch wirkt solide und ist sicherlich mit realistischem Aufwand von Seiten der Hersteller umsetzbar. Ein grundsätzliches Umdenken hin zu mehr Sicherheit in modernen Auto-Computersystemen ist ebenfalls wünschenswert, es scheint aber ziemlich unrealistisch, dass die Consumer-Watchdog-Studie eine weitgehende Änderung beim Design neuer Autos auslösen kann. Diese Änderungen scheinen mit viel zu vielen Kosten verbunden, als dass Autohersteller sie einfach von alleine umsetzen würden. Jedenfalls nicht, solange nicht plötzlich Menschen nach echten Hackerangriffen auf vernetzte Autos sterben. (fab)