:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Das Auto ist ein Computer und ebensowenig vor Hackern sicher
Das Auto geht ins Netz und wird damit immer kommunikativer. Das birgt enorme Gefahren in Sachen Datensicherheit. Lesen Sie, welche Maßnahmen am besten gegen Hackerangriffe helfen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Ein Beitrag in der IT-Fachzeitschrift c't schlug Anfang Februar 2015 hohe Wellen. Einem IT-Sicherheitsexperten gelang es bei einem Test im Auftrag des ADAC, das Mobilfunkmodem von mehreren BMW-Modellen zu hacken und sich Zugang zur Combox der Fahrzeuge zu verschaffen. Sie dient unter anderem zur Ankopplung von Mobiltelefonen an die Freisprecheinrichtung und das Multimedia-System. Zudem versendet sie nach einem Unfall eine SMS an Rettungsdienste und dient als Kommunikationsschnittstelle zur Backend-Rechnern von BMW.
Experte knackt ConnectedDrive-Verschlüsselung
Dem Experten gelang es, die Verschlüsselung des Systems zu knacken und Fahrzeugtüren zu entriegeln. BMW hat die Lücken bei seinem ConnectedDrive-System mittlerweile geschlossen. Bedenklich stimmen jedoch einige Punkte, die durchaus auch bei Fahrzeugen anderer Hersteller auftreten können. So wurden in allen getesteten BMWs dieselben symmetrischen Schlüssel verwendet. Einige Dienste verzichteten bei der Kommunikation mit den Backend-Systemen im BMW-Rechenzentrum komplett auf eine Verschlüsselung. Zudem war die Integrität der ConnectedDrive-Konfiguration nicht geschützt. Das Fazit des ADAC: Computertechnik im Auto muss besser gegen Manipulation und illegale Zugriffe geschützt werden.
:quality(80)/images.vogel.de/vogelonline/bdb/821600/821670/original.jpg "Jahrelang waren Fahrzeuge von BMW durch eine Sicherheitslücke leicht zu knacken. Der technische Aufwand, um das Auto zu öffnen, sei überschaubar, betont der ADAC. (Bild: BMW)")
Connected-Drive-System jahrelang unsicher
BMW schließt Sicherheitslücke
Fahrzeuge sind mehr als reine Fortbewegungsmittel
Auch wenn dieser Test nicht überbewertet werden sollte, macht er eines deutlich: Fahrzeuge sind mehr als reine Fortbewegungsmittel. Sie verarbeiten, übermitteln und speichern jede Menge sensibler Daten, von der Firmware für die Motorsteuerung über Software für die Steuerung von Assistenzsystemen und die Infotainment-Geräte bis hin zu Black Boxes, die nach einem Unfall Hilfsdienste informieren.
Pro 1000 Zeilen Code tritt ein Sicherheitsloch auf
Nach Angaben des Transportation Research Institute (UMTRI) der Universität Michigan sind in modernen Autos heute 100 Millionen Zeilen Programmcode enthalten. Als Faustregel gilt, dass pro 1000 Zeilen Code ein Sicherheitsloch auftritt. Im Unterschied zu einem PC oder einer Software können solche Sicherheitsprobleme bei Fahrzeugen höchst problematische Folgen haben.
Sicherheit für System im Fahrzeug und die Kommunikation
Diese Systeme und Daten müssen entsprechend abgesichert werden. Das betrifft zwei Bereiche:
- Die Sicherheit der Komponenten im Fahrzeug selbst: Dazu zählen die Absicherung von Wegfahrsperren, der Schutz vor der Manipulation des Kilometerstandes, ein Digital Rights Management (DRM) für genutzte Multimedia-Inhalte sowie der Schutz von bordeigenen Systemen und deren Software vor Angriffen und unerlaubten Veränderungen. In diesem Zusammenhang spielt eine effiziente Datenverschlüsselung eine zentrale Rolle.
- Die Absicherung von Kommunikationsvorgängen: Dies umfasst beispielsweise Firmware-Update durch den Hersteller, den Schutz der Kommunikation zwischen Fahrzeugen und zwischen Auto und ihrer Umgebung (Car-to-X) sowie das Aufzeichnen und Speichern von Fahrdaten in einer Black Box. So bereiten Autoversicherungen Tarife vor, die sich am Fahrverhalten orientieren. Als Nachweis dienen die Daten, welche die Black Box im Fahrzeug an den Versicherer übermittelt. Auch dabei handelt es sich um hoch sensible Informationen, die vor dem Zugriff Unbefugter geschützt werden müssen.
:quality(80)/images.vogel.de/vogelonline/bdb/855300/855395/original.jpg "Intelligente Fahrzeuge und Leitsysteme sollen den Verkehr berechenbar machen, könnten aber letztlich für mehr Chaos sorgen. (Bild: Archiv)")
Risiken der vernetzten Welt, Teil 5
Daten-Crash im intelligenten Auto
Kryptographische Verfahren sind unverzichtbar
Kryptographische Verfahren zur Sicherung der Daten und Transaktionen sind unverzichtbar. Dazu gehört einerseits das Erzeugen und Speichern von Schlüsseln und andererseits die Anwendung dieser kryptographischen Schlüssel. Gerade im Automotive-Bereich gilt, dass jedes Fahrzeug einen eigenen, hochsicheren Schlüssel benötigt, der aus echten Zufallszahlen besteht.
Hier kommen Hardware Security Module (HSM) ins Spiel. Sie generieren und speichern die geforderten kryptographischen Schlüssel, ohne dass unautorisierte Personen Zugriff darauf haben. Denn ein HSM stellt eine Reihe von Schutzmaßnahmen zur Verfügung – dazu zählen das Erkennen von Manipulationsversuchen und eine Versiegelung der Recheneinheit, Maßnahmen, um das Auslesen von Daten und Signalen aus der Recheneinheit zu verhindern sowie automatische Löschroutinen (Zeroization) im Falle eines Angriffs. Außerdem sollte ein HSM über ein spezielles, gehärtetes Betriebssystem verfügen und Verfahren bereitstellen, die ausschließlich den Zugriff autorisierter Administratoren erlauben.
Autos sprechen miteinander und mit der Infrastruktur
Im Automobilbereich gibt es zwei Arten von Kommunikationskanälen, die zu schützen sind: zwischen Fahrzeugen (Car-2-Car oder Vehicle-2-Vehicle, V2V) sowie zwischen Autos und Verkehrsleitsystemen, Sensoren, Ampeln und intelligenten Verkehrsschildern (Car-2-Infrastructure, Vehicle-2-Infrastructure, V2I).
:quality(80)/images.vogel.de/vogelonline/bdb/857200/857211/original.jpg "White-Hat Hacker von BT testen beim neuen Sicherheitsdienst „BT Assure Ethical Hacking for Vehicles“ Connected Cars für deren Hersteller auf Schwachstellen. (Bild: BT Global Services)")
Cyber-Gefahren für das Connected Car
Hackerangriffe auf das vernetzte Auto
Bei der Kommunikation zwischen Fahrzeugen werden unter anderem folgende Daten erfasst und übermittelt:
- die Geschwindigkeit, Position und Fahrtrichtung der Fahrzeuge,
- Beschleunigungs- und Bremsvorgänge,
- Informationen über den Spurwechsel von Fahrzeugen,
- Daten der Traktionskontrolle sowie
- Informationen, die Rückschlüsse auf Witterungsbedingungen und Sichtverhältnisse erlauben, etwa ob der Fahrer die Nebelscheinwerfer oder Scheibenwischer aktiviert hat.
Dagegen stehen beim Datenaustausch zwischen Fahrzeugen und der Verkehrsinfrastruktur wie Ampeln und Verkehrsleitsystemen Informationen im Mittelpunkt wie Ampelphasen (Rot, Gelb, Grün), die Hinweise intelligenter Verkehrsschilder, die beispielsweise Stopp-Zeichen geben, wo Staus auftreten sowie Daten von Sensoren zu Temperatur, Feuchtigkeit und Sichtweite auf Straßen. Zudem sind Systeme im Einsatz, die den Fahrer über verfügbare Parkplätze informieren und ihn dorthin leiten.
Einsatzgebiete Sicherheit und Verkehrssteuerung
Die Marktforschungsgesellschaft Frost & Sullivan erwartet, dass im Jahr 2030 an die 40 Prozent aller Fahrzeuge in Europa mit V2V-Kommunikationssystemen ausgestattet sind. Speziell in Europa werden nach Angaben der Marktforscher Faktoren wie die Einführung des Notrufsystems eCall ab 2015 und Sicherheitsfunktionen wie die Warnung vor Staus, Unfallstellen und witterungsbedingten Problemen wie Glatteis die Verbreitung solcher Systeme fördern.
:quality(80)/images.vogel.de/vogelonline/bdb/751800/751882/original.jpg "Schnell auch ohne Fahrer: Dieser autonome Audi TTS ist vollautomatisch und ohne Fahrer die berühmte Bergrennstrecke des Pikes Peak im US-Bundesstaat Colorado hinaufgerast (Bild: Audi)")
Trügerische Sicherheit auf vier Rädern
Sicherheitsrisiko Connected Car
Weitergabe von anonymisierten Daten zur Verkehrssteuerung
Ein weiteres Anwendungsgebiet ist die Verkehrssteuerung. Auf dieses Feld konzentrieren sich vor allem Forscher und Hersteller von Automobiltechnik in Europa. Fahrzeuge können anonymisierte Daten über ihren Standort und die Geschwindigkeit an Verkehrszentralen oder Anbieter von Services weitergeben. Dadurch ist es möglich, die aktuelle Verkehrssituation zu erfassen – und das deutlich schneller und präziser als bislang.
Frost & Sullivan zufolge könnten solche Maßnahmen dazu beitragen, die Kosten durch Verkehrsstockungen erheblich zu reduzieren. Alleine in Deutschland summieren sich diese Kosten pro Jahr auf etwa 17 Milliarden Euro, etwa in Form von Arbeitszeit, die verlorengeht. Hinzu kommen Schäden durch Unfälle und die erhöhte Umweltbelastung, die sich mithilfe von V2X reduzieren ließen.
:quality(80)/images.vogel.de/vogelonline/bdb/770800/770809/original.jpg "Verkehrsleitsysteme könnten drohende Staus mithilfe der vernetzten Autos frühzeitig erkennen und verhindern. (Bild: Archiv)")
Wenn der Bordcomputer zum Hacker-Ziel wird
Das vernetzte Auto – Chancen und Gefahren
Selbstfahrende Autos müssen absolut sicher sein
Der Erfolg solcher Verkehrsteuerungskonzepte und der V2X-Kommunikation hängt maßgeblich vom Vertrauen ab, das Autofahrer und andere Verkehrsteilnehmer diesen neuen Technologien entgegenbringen. Vorfälle wie etwa das Hacken von Fahrzeugen, die „Fernsteuerung“ von Bremsen, ABS-Systemen oder Motormanagement-Systemen durch Unbefugte müssen ausgeschlossen sein. Dies gilt insbesondere für selbstfahrende Autos, die auf eine sichere, fehlerfrei funktionierende Datenverarbeitungs- und Kommunikationstechnik angewiesen sind.
Neue Herausforderung Elektromobilität
Auch der Trend in Richtung Elektromobilität erfordert den Einsatz von „Vertrauensankern“ wie einer starken, hardwarebasierten Verschlüsselung sensibler Daten, die im Fahrzeug und bei der Kommunikation mit der Außenwelt anfallen, etwa mit Ladestationen. So sind Angriffe wie Man-in-the-Middle-Attacken denkbar, bei denen Informationen abgefangen werden, die ein E-Car über ein Wireless LAN oder Mobilfunk mit einer Stromtankstelle austauscht. Solche Daten können Angreifer dazu nutzen, um auf Kosten anderer Strom abzuzapfen, Zugriff auf die Elektronik des Elektrofahrzeugs zu erhalten oder um verwertbare Daten wie Kreditkarteninformationen „abzusaugen“.
:quality(80)/images.vogel.de/vogelonline/bdb/574500/574587/original.jpg "Vernetzte Fahrzeuge könnten das Verkehrchaos lösen, aber hinsichtlich der IT-Sicherheit zu Unordnung führen. (Bild: Archiv)")
Mit dem vernetzen Auto auf dem Weg zum Smart Planet
Connected Cars – vernetzt, aber auch sicher?
Eine leistungsstarke und umfassende Verschlüsselung von Daten ist unverzichtbar
Die Beispiele zeigen, dass eine leistungsstarke und umfassende Verschlüsselung von Daten auch in Bereichen wie Elektromobilität und „intelligenten“ Fahrzeugen unverzichtbar ist. Dabei sind die Hersteller gefordert, die gesamte Produktionskette im Blick zu behalten – also auch Zulieferer in ihr Sicherheitskonzept einzubinden. Nur dann lassen sich diese Szenarien realisieren.
* Malte Pollmann ist CEO von Utimaco.
(ID:43325511)
:quality(80)/images.vogel.de/vogelonline/bdb/1923700/1923719/original.jpg "Hacker scheinen nicht die größte Gefahr für Unternehmensdaten zu sein. (Pixabay)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881600/1881645/original.jpg "Von Kryptografie über Drohnen bis hin zu Digitalen Zwillingen – Kudelski Security gibt einen Überblick über Trends in der Operational Technology (OT) von morgen. (Blue Planet Studio - stock.adobe.com)")