Gefährliche Lücken - Autoflotte
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
COVERSTORY CYBERSECURIT Y
Gefährliche Lücken
Pkw sind rollende Computer. Mit der Verwandlung zu einem internetfähigen Hightechgefährt gehen die
IT-typischen Gefahren einher. Gerade bei vernetzten Autos wird Cybersecurity immer wichtiger.
Moderne Autos sind rollende Compu- um die Sicherheitslücke zu schließen. Wie global agierenden Cybersecurity-Unter-
ter und als solche können sich auch uner- bei jedem modernen PC gibt es sicher bei nehmen.
wünschte Besucher Eintritt in die Systeme einem Pkw nicht nur eine Sicherheitslücke.
verschaffen und das Fahrzeug kapern. Die Klar ist auch, dass jedes moderne Auto mit Was ist mit Google Maps?
Gefahr ist nichts Neues: Vor rund sechs Jah- autonomen Fahrfunktionen, wie einem
ren nutzten zwei Hacker eine Sicherheits- adaptiven Tempomaten oder einem Spur- Viele Autofahrer nutzen Kartendienste wie
pforte im Infotainment von einem Jeep halteassistenten inklusive Lenkeingriff, von Google Maps. Auch bei Flottenbetreibern
Cherokee und übernahmen die Steuerung Hackern in ein „Zombie-Fahrzeug“ verwan- setzt sich diese Art des günstigen Navigie-
der Bremsen sowie der Lenkung. Der delt werden kann. „Für mich gibt es keine rens durch, zumal der US-Hightechkon-
Imageschaden für Fiat Chrysler war im- unkritischen Daten im Zusammenhang mit zern jetzt auch CO₂-optimierte Routen an-
mens und 1,4 Millionen Fahrzeuge mussten dem Auto als Verkehrssystem“, verdeutlicht bietet. Google Maps bekommt somit eine
in die Werkstätten zurückgerufen werden, es Udo Schneider von Trend Micro, einem Funktion, die den Kartendienst zum ökolo-
Fotos: Escrypt/Rocco Swantusch/Autoflotte
Ohne Vernetzung aller Verkehrsteilnehmer miteinander und mit der Umgebung wird es in Zukunft nicht mehr funktionieren
20 Autoflotte 1_2/2022
CYBERSECURIT Y COVERSTORY
formuliert Auswertung der Daten würden
Hersteller, Modell, Motorvariante, Baujahr
ausreichen. Eine Eins-zu-eins-Zuordnung
ist in diesem Bereich nicht notwendig, da
es keine zusätzlichen Vorteile bringt.“
NFC-Chips
Die Einfallsschleusen zu einem Automobil
sind mannigfaltig. Neben der bereits er-
wähnten OBD-Schnittstelle bieten Smart-
Angriffspunkte für Hacker gibt es im modernen Automobil viele. Autohersteller, Soft- phones, die zugleich als Autoschlüssel
wareanbieter sowie Zulieferer im Hardware-Bereich und auch Telekommunikations- oder Ladesäulenfreischaltung genutzt
unternehmen müssen eng miteinander arbeiten werden, eine Angriffsfläche, um in die Soft-
ware der Autos einzudringen. Beim Handy-
Autoschlüssel wird eine App sowie der
NFC-Chip des Smartphones genutzt, um
gischen Schweizer Armeemesser macht. Großer Bruder fährt bereits mit sich Zugang zum Auto zu verschaffen.
Denn die beliebte Navigations-App wählt Um die Daten des virtuellen Schlüssels
in Zukunft standardmäßig die Route aus, Neben Google interessiert sich auch die EU möglichst sicher zu verwahren, sind sie wie
auf der am wenigsten CO₂-Ausstoß gene- für die Verbrauchsdaten der Automobile. die Kreditkartendaten auf dem„Secure Ele-
riert wird. „Wir gehen davon aus, dass wir Seit letztem Jahr müssen die Automobil- ment“ des NFC-Chips abgespeichert. „Der
für etwa die Hälfte der Routen eine um- hersteller die Realverbräuche der Neuwa- Schlüssel darf nicht kopierbar sein, und wir
weltfreundlichere Option mit minimalem gen nach Brüssel senden. Das erkennt man brauchen im Falle eines Totaldiebstahls ei-
oder gar keinem Zeit-Kosten-Kompromiss auch an der aktuellen Abgasnorm Euro 6d- nen transparenten Überblick, wer wann für
finden können“, erläutert Google Produkt- ISC-FCM, wobei die Buchstaben „FCM“ für welchen Schlüssel berechtigt wurde“, stellt
Direktor Russell Dicker. „Fuel Consumption Monitoring“ stehen. Jochen Haug, Schadenvorstand Allianz
Doch bei Google gilt seit jeher das Also fährt der „Große Bruder“ mit dem gel- Versicherungs-AG klar.
Prinzip: Auch wenn man nichts dafür be- ben Sternenkreis auf der blauen Fahne bei Grundsätzlich gilt das Betriebssystem
zahlen muss, ist es noch lange nicht um- jedem Kilometer mit. Um den Verbrauch zu der Apple-Handys als sicherer als das der
sonst. Daten sind ein lohnendes Geschäft. ermitteln, ist ein Standard-Messgerät na- Android-Telefone, da Apple ein geschlos-
Der Gigant aus dem Silicon Valley nutzt mens „On-Board Fuel Consumption Meter“ senes System hat. Das ändert nichts an der
unter anderem die Bewegungsdaten, um (OBFCM) installiert. Überwacht werden ne- Tatsache, dass sowohl die Automobilher-
seine Navigations-App zu betreiben. Das ben dem Kraftstoff- beziehungsweise dem steller als auch die Smartphone-Hersteller
ist mittlerweile „business as usual“. Die Stromverbrauch auch Fahrgeschwindig- gefragt sind, um das System wasserdicht
CO₂-Routen sind eine ganz andere Haus- keit und Laufleistung. Diese Daten zeich- zu machen. Diese Cyber-Sicherheit ist vor
nummer. Um die Emissionsbilanz einer net jeder moderne Pkw ohnehin auf. Audi allem für Flottenbetreiber ein zentraler
Fahrt zuverlässig voraussagen zu können, nutzt bei Fahrzeugen wie dem neuen A3 Punkt. „Generell sehe ich die Verwendung
ist eine Vielzahl von Parametern nötig, die die Generic-Scan-Tool-Schnittstelle, um
in komplexe Berechnungen einfließen. die Werte gemäß dem Industriestandard
Unter anderem die Topografie der Stra- ISO 15031-5 zu übertragen beziehungs-
ßen, die vermutete Geschwindigkeit des weise per Diagnose-Tester bei einer Ins-
Fahrzeugs und natürlich die Motorisie- pektion auszulesen. Auch hier beruhigt
rung samt Abgasnorm. Jan Becker: „Die EU ist an den Flotten- und
Laut Google werden die Emissionen Modellverbräuchen interessiert, nicht an
des Wagens anhand der Ergebnisse durch denen einzelner Individuen, ich würde da-
Tests verschiedener Fahrzeug- und Stra- her nicht vom gläsernen Fahrer sprechen.“
ßentypen kalkuliert. Die Daten zur jewei- Steffen Krautwasser, Flottenchef bei
ligen Straßenqualität stammen von den SAP, widerspricht: „Jegliche zusätzliche
Street-View-Autos sowie von Luft- und Sa- Übertragung und Speicherung ist ein zu-
tellitenbildern. „Google wertet eine Viel- sätzliches Einfallstor und ein zusätzliches
zahl verschiedener Datenquellen aus. Risiko. Wichtig in diesem Zusammenhang
Dass hier kritische Daten ermittelt oder wäre aus meiner Sicht die Anonymisierung
verarbeitet werden, sehe ich nicht“, gibt der Daten. Es ist für mich nicht ersichtlich,
Jan Becker von Apex.AI, die autonome wozu die Fahrgestellnummern übertragen Steffen Krautwasser, SAP, auf dem
Fahrsysteme entwickeln, Entwarnung. werden müssen. Zur‚Kontrolle‘ oder besser Autoflotte Fuhrparktag im Herbst 2019
Autoflotte 1_2/2022 21
COVERSTORY CYBERSECURIT Y
bereits in der Produktion und der Liefer-
kette los. Schließlich versorgen die Zuliefe-
rer die Autobauer mit den Modulen, die
durchaus sicherheitsrelevant sind. Und wo
„Aus meiner Sicht ‚gehören‘ die Daten teilwei- Software ist, gibt es auch Einfallstüren.
Die Autobauer halten die IT-Karten da-
se den Fahrerinnen und Fahrern sowie dem her nahe an der Brust. Laut einer Studie der
Unternehmensberatung Capgemini blei-
Eigentümer, aber nicht dem OEM.“ ben Dateneigentum und Cybersicherheit
kritische Punkte: Rund die Hälfte der OEMs
Steffen Krautwasser, Head of Global Car Fleet SAP
hat damit zu kämpfen, Daten zu sammeln
und daraus verwertbare Erkenntnisse ab-
zuleiten. Weniger als zehn Prozent glau-
ben, dass sie gut vorbereitet sind, Cybersi-
cherheitsmaßnahmen umzusetzen und 60
Prozent haben Schwierigkeiten, sicherzu-
stellen, dass die Produkte von Zulieferern
und Speicherung der Daten als kritisch an. Das erkennt auch die UN und ergreift den Sicherheits- und Cybersicherheitsvor-
Den Fahrerinnen und Fahrern ist bisher Maßnahmen, um der Bedrohung Herr zu schriften entsprechen.
kaum bekannt, welche Daten überhaupt werden. Das „UNECE World Forum for Har- Aus gutem Grund: Wer mit einem siche-
und für wie lange gespeichert werden. monization of Vehicle Regulations“ hat ren System prahlt, weckt den Ehrgeiz der
Hier ist mehr Transparenz notwendig. Das bereits im vergangenen Jahr einige neue Hacker. „Die höchsten Sicherheitsansprü-
Gleiche gilt auch für mich als Flottenmana- Regelwerke zu Cybersicherheit und Soft- che unserer Kunden gelten in gleicher Wei-
ger. Transparenz, Einsicht und Löschung ware-Updates von vernetzten Fahrzeugen se für die Datensicherheit des vernetzten
der Daten sollten jederzeit möglich sein. verabschiedet. Folgende Vorschriften gel- Fahrzeugs als auch unserer Kundendaten.
Aus meiner Sicht ‚gehören‘ die Daten teil- ten für Pkw, Transporter, Lkw und Busse: Daimler schützt die Kundendaten vor Ma-
weise den Fahrerinnen und Fahrern sowie ❚ Security-by-Design bei der Fahrzeug- nipulationen und Missbrauch. Mit Blick auf
dem Eigentümer, aber nicht dem OEM“, entwicklung, um Risiken entlang der den IT-technischen Fortschritt entwickeln
sagt Steffen Krautwasser. Der Flottenma- Wertschöpfungskette zu mindern wir die Datensicherheit ständig weiter“,
nager sieht aber auch Vorteile bei der War- ❚ Bereitstellung sicherer Software-Up- lässt der schwäbische Premium-Autobauer
tung, indem zum Beispiel Defekte früh er- dates und Einführung einer Rechts- verlauten. Wolfgang Gomoll
kannt werden und dadurch Kosten gespart grundlage für Over-the-Air-Updates
werden können. ❚ Management der Cyberrisiken für Autos
❚ Angriffserkennung und -abwehr für die
Stichwort Car2Car gesamte Fahrzeugflotte
In der Europäischen Union wird die
Schaut man in die Zukunft, wird die Cyber- neue Verordnung ab Juli 2022 für alle neu-
security durch die vernetzten Fahrzeu- en Fahrzeugtypen und ab Juli 2024 für alle
ge – Stichwort Car2Car und Car2X (Kom- ab diesem Zeitpunkt hergestellten Neu-
munikation zwischen Fahrzeug und Um- fahrzeuge verpflichtend. „Aufgrund der
welt) – noch deutlich relevanter, als es oh- neuen Regulierung muss daraus nun ein
nehin schon ist. Damit wird die Aufgabe für ganzheitlicher Ansatz geformt werden,
die Hersteller nicht einfacher. Zumal die welcher den kompletten Lebenszyklus ei-
Autos im Zuge der Automatisierung immer nes Fahrzeugs umfasst“, erklärt Sebastian
komplexer werden und eine umfangrei- Rist, Projektleiter und Security Consultant
chere Software benötigen. Bei Automobi- bei Escrypt, einem Unternehmen, das sich
len gilt der gleiche Grundsatz wie bei den auf Sicherheitslösungen spezialisiert hat.
heimischen Computern, dass man die Sys-
teme und die Software immer möglichst An der Hacker-Ehre gepackt
aktuell halten soll. Viele Aktualisierungen
– vor allem für das Infotainment – laufen Um die Vorgaben konsequent umzuset-
drahtlos ab. Künftig sollen Over-the-Air auf zen, ist ein umfassendes „Cybersecurity
Wunsch auch weitere Funktionen des Management Systems“ (CSMS) nötig. Aller-
Autos freigeschaltet werden. Wieder eine dings ist die Realisierung eines solchen Neue Regulierungen bedingen einen
Möglichkeit für Hacker, sich Zutritt zu den Werkzeugs aufgrund der Komplexität des ganzheitlichen Ansatz, meint Sebastian
Systemen des Vehikels zu verschaffen. Automobils nicht ganz einfach. Das geht Rist, Security Consultant bei Escrypt
22 Autoflotte 1_2/2022
Sie können auch lesen
