Kommentar von Christoph Hartmann, SAS

Connected Car und Cybersecurity – Sicherheit von vornherein mitdenken

| Autor / Redakteur: Christoph Hartmann / Nico Litzel

Der Autor: Christoph Hartmann ist Business Expert Manufacturing bei SAS
Der Autor: Christoph Hartmann ist Business Expert Manufacturing bei SAS (Bild: SAS)

Vernetzte Fahrzeuge sind auf dem Vormarsch. Während der Einsatz von Online-Sensortechnologie bei Lkw schon länger gang und gäbe ist, um beispielsweise Lieferungen zu tracken, werden solche Sensoren immer häufiger auch in Pkw eingebaut. Das erklärte Ziel ist es, Verbrauchern Mehrwertservices anzubieten, individuelle Versicherungstarife zu entwickeln oder die Wartung zu optimieren. Bei den unablässigen Datenströmen, die zwischen dem Fahrzeug und anderen Systemen über das Internet ausgetauscht werden, stellt sich allerdings auch die Frage nach der Datensicherheit.

Und da zeigt sich, dass es noch gravierende Lücken gibt. Virenschutzprogramme oder Firewalls wie für den heimischen PC gibt es im Zusammenhang mit vernetzten Autos kaum – oder wenn, dann sind sie nicht weitreichend genug. Auf der anderen Seite fordert die zunehmende Vernetzung eine Auswertung der Mengen an Daten, die die zahlreichen Sensoren in den Fahrzeugen generieren – und zwar möglichst in Echtzeit.

Laufen die Analysen direkt im Fahrzeug ab, müssen auch keine Daten transferiert werden. Damit besteht keine Gefahr in puncto Cybersecurity. Eine potenzielle Bedrohung entsteht erst dann, wenn der Zugriff extern über Technologien wie Bluetooth, LTE oder Wi-Fi erfolgt. Es gibt ebenso viele Bedrohungsszenarien durch Hackerangriffe wie Möglichkeiten, auf das Innensystem des Autos zuzugreifen. Und das sind nicht wenige: Im Durchschnitt sind mehr als 100 Steuereinheiten (Electronic Control Units, ECU) in einem Fahrzeug verbaut – elektronische Subsysteme, in deren komplexer Software einige Millionen Zeilen an Code hinterlegt sind.

100 Angriffspunkte

Zu den möglichen Angriffspunkten für eine Manipulation gehören unter anderem die Airbag Control Unit, Motor, Lichter, der schlüssellose Zugang („Keyless Entry“) oder das Brems- und Lenksystem. Wird der Zugriff hier nicht verhindert, können entweder akute Gefahrensituationen für die Insassen oder finanzielle Schäden entstehen. Kriminelle können beispielsweise die für Keyless Entry zuständige ECU hacken, sich somit Zugang zum Fahrzeug verschaffen und einzelne Fahrzeugteile oder gleich das gesamte Fahrzeug verkaufen.

Das Thema Sicherheit beim Connected Car sollte also nicht unterschätzt werden. Doch hier stellt sich die Frage: Wer ist zuständig für Cybersecurity? Der Autohersteller, der Softwarehersteller, die Versicherung?

Zunächst einmal müssen Kommunikationsdaten, die im Funknetzwerk entstehen, verschlüsselt werden. Da das Vertrauen der Fahrzeugnutzer primär im Interesse des Autoherstellers liegt, muss er (zusammen mit dem Softwarehersteller) Cybersecurity in den Entwicklungsprozess einbeziehen. Hersteller beschäftigen sich zwar schon mit dieser Thematik, aber es gibt noch kein übergreifendes Lösungskonzept. Laut einer aktuellen PAC-Studie befindet sich mehr als die Hälfte der deutschen Automobilhersteller noch in der Anfangsphase bei der Entwicklung von Sicherheitskonzepten für das vernetzte Auto, lediglich 42 Prozent bieten bereits Security Services im Zusammenhang mit Connected Car. Um langfristig konkurrenzfähig zu bleiben, wird jedoch unbedingt ein ganzheitlicher Ansatz benötigt. Es reicht nicht, ständig neue Services für Kunden zu entwickeln, aber das Thema Security außen vor zu lassen.

Das Angenehme mit dem Nützlichen verknüpfen

Herkömmliche Sicherheitstechnologien wie Verschlüsselung und Firewall schaffen zwar eine Basis und werden immer versierter, allerdings entwickeln Hacker ihre Angriffstechniken ebenfalls weiter. Um wiederkehrende Sicherheitslücken schließen zu können, werden daher kontinuierliche Updates und neue Patches benötigt. Für eine weitgreifende Sicherheit sind darüber hinaus allerdings analytische Lösungen erforderlich.

Analytische Lösungen für Cybersecurity wie die von SAS sind in der Lage, Transaktionen von Millionen – oder gar Milliarden – von Datenpunkten nachzuvollziehen. Doch was genau passiert im regulären Datentransfer, bei der Datenübertragung vom beziehungsweise ins Auto? Von wo nach wo werden die Daten übertragen? Wer verarbeitet sie weiter? Welche Muster sind zu erkennen? Welche Mitarbeiter greifen auf die Daten zu? Und welche Alarme sollten bei welchen Auffälligkeiten ausgelöst werden?

Big-Data-Korrelations- oder Ausreißeranalysen, die bestimmte Schwellwerte benennen, finden Abweichungen in den Datenströmen und von Standardprozessen. Wenn sich ein Cyberkrimineller in ein Softwaresystem einhackt, hinterlässt er Spuren – und diese spürt eine gute Cybersecurity-Lösung auf. Nahezu in Echtzeit müssen unübliche Muster innerhalb des Datentransfers aufgefunden werden. Dafür gilt es, eine enorm große Datenmenge zu verarbeiten. Die Anforderungen an Volumen und Geschwindigkeit kann eine herkömmliche Standard-Virensoftware oder Firewall jedoch kaum erfüllen.

Zusammenfassend sollten Unternehmen folgende Punkte beachten, um Cybersecurity im IoT-Umfeld einzuführen:

  • 1. Ganzheitlicher Ansatz: Automobilhersteller müssen Sicherheit schon in die Produktentwicklung einbeziehen.
  • 2. Vielfalt: Berücksichtigt werden müssen bei einer umfassenden Sicherheitsstrategie unterschiedlichste Zugriffs- und Kontrollpunkte.
  • 3. Zusammenarbeit: Die primäre Verantwortung in Sachen Sicherheit liegt beim Autohersteller. Dieser muss aber mit den richtigen Softwareanbietern zusammenarbeiten, die a) das Problem verstehen und b) Hackern technologisch immer einen Schritt voraus sind. Voraussetzung dafür: selbstlernende Algorithmen und neueste Verschlüsselungstechnologie.
  • 4. Analytische Komponente: Benötigt wird eine skalierbare Software, die mit sehr großen Datenmengen umgehen kann und die richtigen analytischen Verfahren liefert, um eine Musteranalyse durchzuführen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44430454 / Internet of Things)