see. think. act.

Technologie

#AutonomousEverything #digitalisierung

Cyber-Security: Wie sich Fahrzeuge schützen lassen

min Lesezeit
Tags: AutonomesFahren, BigData
Die Mobilität wird immer digitaler und vernetzter, der Schutz vor Hacker-Angriffen immer wichtiger. Schon ab 2022 wird das Einhalten von Cyber-Security-Standards in vielen Ländern verpflichtend für die Neuzulassung neuer Fahrzeugtypen sein.
Jan Wienrich, 04. März 2021
author_image
Jan Wienrich arbeitet seit 2010 als Cross-Media-Publisher bei ZF. Er ist spezialisiert auf digitale Themen und kümmert sich um die Social-Media-Kanäle des Unternehmens.
Automatisierung und Vernetzung treiben den Wandel der Mobilität voran und führen dazu, dass Fahrzeuge immer mehr zu „Computern auf Rädern“ werden. Und genau wie Computer Zielscheiben für Cyber-Kriminelle sind, so sind es auch moderne Fahrzeuge.

Autos bestehen heute aus über 100 Millionen Zeilen Software-Code, Tendenz steigend. In ein paar Jahren könnten es laut Unternehmensberatung McKinsey über 300 Millionen Zeilen sein. Zum Vergleich: Ein Passagierflugzeug hat schätzungsweise 15 Millionen Zeilen Code, das Betriebssystem eines heute gängigen PC fast 40 Millionen. Die enorme Menge an Code bei Fahrzeugen bietet Hackern zahlreiche Möglichkeiten für Cyberattacken.

Wobei wir unser Bild von Cyber-Kriminellen wohl revidieren müssen. „Viele denken an den Hacker mit der schwarzen Kapuze, der in seinem dunklen Keller hockt. Bei den Cyber-Attacken im Automobilbereich haben wir es aber auch mit organisierter Kriminalität, mit Industriespionage und den Diebstahl von Know-how zu tun“, sagt Manuel Götz, Leiter des ZF AI & Cybersecurity Center. Ein einzelnes Auto zu kontrollieren, um es zu stehlen, lohne den Aufwand nicht. Dafür sei das Hacken eines Fahrzeugs zu komplex. „Zumeist geht es um den Diebstahl von Daten“, sagt Michael Eisenbarth, im ZF AI & Cybersecurity Center für das Thema Cyber-Security zuständig. Bei Nutzfahrzeugen sei als Motiv auch der Diebstahl der Ware denkbar und in Zukunft – bei höherem Automatisierungsgrad – das Hijacking ganzer Flotten.
Dr. Manuel Götz leitet das AI & Cybersecurity Center in Saarbrücken

100 Steuergeräte – 100 potenzielle Angriffspunkte

100 Steuergeräte – 100 potenzielle Angriffspunkte
Doch wie schaffen es die Cyber-Kriminellen überhaupt, an die Daten der Fahrzeuge zu kommen? „Kaum einer versucht heute, die verschlüsselten Informationen im Transit abzugreifen. Dafür ist die Verschlüsselung zu komplex. Stattdessen nehmen Hacker die Schwachstellen an den Enden in den Blick – das Fahrzeug selbst, das Backend oder die vernetzte Infrastruktur“, sagt Eisenbarth.
Mittlerweile haben Autos rund 100 verschiedene Steuergeräte. Jedes von ihnen enthält seine eigene Software und alle sind untereinander vernetzt. Somit ist jede ECU ein potenzielles Einfallstor für Cyber-Kriminelle und muss entsprechend geschützt werden.
„Auf den ECUs reicht die Rechnerkapazität nicht für die sonst übliche Verschlüsselung. Das ist eine potenzielle Schwachstelle“, erklärt Eisenbarth. Um dieses Einfallstor zu schließen, nutzen Hersteller und Zulieferer immer häufiger physikalische Hardware-Sicherheitsmodule (HSM), also physische Module, auf denen der Schlüssel direkt hinterlegt ist und die diesen schützen und verwalten. „Solche Hardware-Sicherheitsmodule werden schon bald ein integraler Bestandteil jeder ECU sein“, fügt der Experte hinzu.
Michael Eisenbarth, Leiter Cybersecurity im ZF AI & Cybersecurity Center

Schwachstelle Infrastruktur: Einfallstor Ampel und Ladesäule

Schwachstelle Infrastruktur: Einfallstor Ampel und Ladesäule
Ein weiteres potenzielles Einfallstor für Hacker besteht in der zunehmenden Vernetzung der Fahrzeuge mit ihrem Umfeld. Fahrzeuge werden mehr und mehr mit anderen Fahrzeugen, mit der Verkehrsinfrastruktur und der Cloud verbunden sein. V2X-Kommunikation (also „Vehicle to everything“-Kommunikation, deutsch: Fahrzeug-zu-allem-Kommunikation) wird mit der zunehmenden Automatisierung beträchtlich zunehmen. Fahrzeuge werden häufiger mit Ampeln, Verkehrsschildern, mit Ladegeräten und mit Mobiltelefonen kommunizieren. Und gerade diese Infrastrukturteile sind zumeist noch sehr schlecht abgesichert. Das macht den Schutz des Fahrzeugs vor Cyber-Angriffen von außen umso wichtiger, etwa mit einer Firewall.
Die Verkehrsinfrastruktur wie Schilder oder Ampeln sind zumeist noch sehr schlecht gegen Cyber-Angriffe abgesichert.

Cyber-Security-Standards werden verpflichtend

Cyber-Security-Standards werden verpflichtend
Das Thema Automotive Cyber-Security hat in den vergangenen Jahren immer mehr an Bedeutung gewonnen und wird das weiter tun. So hat das „Weltforum für die Harmonisierung von Fahrzeugvorschriften der Vereinten Nationen (UNECE WP.29)“ ein Regelwerk entwickelt, das Cybersicherheit verpflichtend für die Zulassung neuer Fahrzeugtypen macht. Es gilt für Pkw, Busse, Vans und Lkw und umfasst Vorgaben für vier verschiedenen Disziplinen:
  • Management von Cyber-Risiken bei Fahrzeugen
  • Absicherung von Fahrzeugen durch Design, um Risiken entlang der Wertschöpfungskette zu minimieren
  • Erkennen von und Reagieren auf Sicherheitsvorfälle in der gesamten Fahrzeugflotte
  • Bereitstellung sicherer Software-Updates und Gewährleistung, dass die Fahrzeugsicherheit nicht beeinträchtigt wird, Einführung einer Rechtsgrundlage für Over-the-Air-Updates der Fahrzeugsoftware.
In der Europäischen Union wird die neue Verordnung zur Cybersicherheit ab Juli 2022 für alle neuen Fahrzeugtypen und ab Juli 2024 für alle produzierten Neufahrzeuge verpflichtend sein. Auch andere Länder wie Südkorea oder Japan wollen die Regelung übernehmen.
Parallel dazu erarbeitet die Automobilindustrie im Rahmen der Internationalen Organisation für Standardisierung (ISO) und des Verbands der Automobilingenieure (SAE) den Standard ISO/SAE 21434 für die Cybersicherheit von Fahrzeugen. Die Norm soll 2021 veröffentlicht werden und zielt auf die Cybersicherheit bei der Entwicklung elektrischer und elektronischer (E/E)-Systeme in Fahrzeugen. Die Anwendung der Norm soll den Herstellern helfen, mit den sich ändernden Technologien und Cyber-Angriffsmethoden Schritt zu halten.
"Hacker nehmen die Schwachstellen an den Enden in den Blick – das Fahrzeug selbst, das Backend oder die vernetzte Infrastruktur.“
— Michael Eisenbarth, Leiter Cybersecurity im ZF AI & Cybersecurity Center

Cyber-Security ganzheitlich angehen

Cyber-Security ganzheitlich angehen
„Bei der Implementierung der Standards sind wir schon sehr weit. Wir machen sie verpflichtend bei der Entwicklung unserer Produkte“, sagt Götz. Für ZF umfasst das Thema Cyber-Security aber mehr als die Umsetzung von Normen. „Wir gehen das Thema ganzheitlich an. Das reicht von der Einschätzung der Bedrohungslage, über das Ausliefern der Software bis hin zu sicheren Over-the-Air-Updates“, sagt Götz. Aus diesem Grund habe das Unternehmen auch den ZF AI & Cyber Security Center in Saarbrücken ins Leben gerufen. Das Center arbeitet dabei eng mit Forschungseinrichtungen wie dem renommierten Helmholtz-Zentrum für Informationssicherheit (CISPA) zusammen und forscht mit diesem an künftigen Cyber-Security-Technologien. Außerdem entwickelt das ZF AI & Cyber Security Center Grundlagen für verschiedenen Geschäftsfelder von ZF und unterstützt bei Kundenprojekten. Beim Gefahrenmonitoring arbeitet ZF eng mit dem Automotive Information Sharing and Analysis Center (Auto-ISAC) zusammen, bei dem das Unternehmen auch Mitglied ist. Auto-ISAC ist eine Organisation von OEMs und Zulieferern in den USA, die es sich zum Ziel gesetzt hat, die globale Automobilindustrie besser gegen Cyber-Bedrohungen zu wappnen.
„Wir gehen das Thema ganzheitlich an. Das reicht von der Einschätzung der Bedrohungslage, über das Ausliefern der Software bis hin zu sicheren Over-the-Air-Updates.“
— Dr. Manuel Götz leitet das AI & Cybersecurity Center in Saarbrücken

Doch so gut sich auch die Automobilhersteller und Zulieferer auf das Thema Cyber-Security einstellen – es wird immer einen Wettlauf mit den Cyberkriminellen geben. Das liegt auch daran, dass sich die Mobilität weiter verändert – es entstehen neue digitale Produkte und Services. „Cloud-Services, Flottenmanagement oder Predictive Maintenance sind Themen, die bei uns immer mehr an Bedeutung gewinnen. Unsere Produkte und Services werden immer digitaler und damit steigt auch die Bedeutung von Cyber-Security“, sagt Götz.

Cybersecurity und Nutzfahrzeuge

Die Nutzfahrzeuge der Zukunft sind autonom, vernetzt und elektrisch. Diese Mobilitätsrevolution bringt viele Vorteile, aber auch neue Risiken mit sich.

Mehr zu diesem Thema