Connected Cars

Fahrzeuge nicht gewappnet gegen Cyber-Angriffe?

| Autor / Redakteur: Lars Kroll* / Stephan Augsten

Angriff über die SMS-Schnittstelle

Vor Kurzem deckte eine Gruppe von Security-Spezialisten der University of California, San Diego, einen weiteren Angriffsmöglichkeit auf: Dabei ließen sich Tausende von Fahrzeugen kompromittieren, wenn die Kontrollgeräte von Versicherungen sowie Flottenmanagement-Lösungen gehackt würden. Diese Geräte zeichnen den Aufenthaltsort des Fahrzeugs, dessen Geschwindigkeit sowie das Fahrverhalten auf.

Es beginnt mit einer speziellen SMS-Nachricht, die an die Devices gesendet wird. Sobald die Cyberkriminellen die Geräte kontrollieren, können sie Befehle an den CAN-Bus übertragen – ein internes Netzwerk, das die Fahrzeug-Komponenten überwacht. So können sie dann die Funktionen des Autos zu steuern, egal, ob sie die Scheibenwischer betätigen oder die Bremsen lahmlegen.

Sollten Autofahrer besorgt sein?

Die Automobilindustrie integriert immer mehr neue Technologien in ihre Fahrzeuge, die Vorteile für den Fahrer bringen sollen. Symantec ist der Meinung, dass es damit künftig auch mehr Angriffe geben wird, wie wir sie jüngst gesehen haben. Bislang waren dies Proof-of-Concept-Hacks, die von Security-Experten durchgeführt wurden. Da die Technologien und deren Einsatz um Auto aber über kurz oder lang alltäglich werden, lassen sich reale Angriffe nicht ausschließen.

Die Angriffe lassen sich in drei Kategorien einteilen:

  • Die gefährlichsten Angriffe sind Hacks über eine sogenannte Luftschnittstelle („over-the-air“): Die Attacke wird aus der Ferne ausgeführt– wie gezeigt von Miller und Valasek. Um solche Angriffe durchzuführen, sind allerdings eine extensive Vorbereitung sowie detaillierte Kenntnisse über das Fahrzeugmodell und die attackierte Software notwendig. Dies ist für einen „Wald-und-Wiesen“-Angreifer zu aufwändig.
  • Physische Attacken, bei denen der Angreifer zunächst das Fahrzeug manipulieren muss, bevor er es kompromittieren kann, sind oft einfacher auszuführen. In vielen Autos sind der CAN-Bus und die damit verbundenen elektronischen Kontrolleinheiten (ECUs) nicht speziell geschützt. Um einen solchen Angriff auszuführen, müssen die Cyber-Kriminellen sich allerdings zunächst Zugang zum PKW verschaffen – und riskieren, dabei geschnappt zu werden.
  • Angriffe auf mobile Apps und Support-Werkzeuge, die die Fernsteuerung einiger Funktionen des Fahrzeugs ermöglichen, sind ebenfalls möglich. Diese Lücken lassen sich jedoch relativ problemlos durch Patches schließen, ohne dass ein Upgrade der gesamten Software notwendig ist.
  • Während Angriffe im realen Leben in Zukunft denkbar sind, sollten Fahrer auch immer die Motivation von Cyber-Kriminellen in ihre Überlegungen einbeziehen: Diese ist meistens finanzieller Natur und solange Hacker keine Möglichkeit der Monetarisierung finden, bleibt Auto-Hacking eher eine Nische der Cyberkriminalität.

    Strategien zur Risikominierung

    Fahrzeugbesitzer, die sich wegen solcher Angriffe sorgen, können deren Wahrscheinlichkeit reduzieren:

    • Die im Auto integrierten Anwendungen sollten immer auf dem neuesten Stand sein. Software-Updates enthalten häufig Patches für neu entdeckte Schwachstellen, die von Hackern sonst ausgenutzt werden könnten.
    • Vorsicht walten lassen, wenn Diagnose- oder Telematik-Dongles an das Fahrzeug angeschlossen werden, denn damit wird für Angreifer die Tür zum CAN-Bus geöffnet.
    • Nicht vertrauenswürdige Geräte sollten nicht an das Entertainment-Netzwerk angeschlossen werden. Dazu gehören USB-Sticks, Mobiltelefone oder Media Player. Falls das Fahrzeug über eine Netzwerkverbindung verfügt, sollte sichergestellt sein, dass es nur mit vertrauenswürdigen Netzwerken verbunden wird.

    * Lars Kroll ist Security Strategist bei Symantec Deutschland.

  • Inhalt des Artikels:

    Kommentare werden geladen....

    Kommentar zu diesem Artikel

    Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

    Anonym mitdiskutieren oder einloggen Anmelden

    Avatar
    Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am
      1. Avatar
        Avatar
        Bearbeitet von am
        Bearbeitet von am

    Kommentare werden geladen....

    Kommentar melden

    Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

    Kommentar Freigeben

    Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

    Freigabe entfernen

    Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

    copyright

    Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43576466 / Schwachstellen-Management)