- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

IoT-Sicherheit in der Automobilindustrie


Diejenigen, die in punkto Schwachstellen wirklich besorgt sein sollten, sind die Automobilhersteller
Was passiert zum Beispiel wenn ein Mobiltelefon gestohlen wird? Sind geeignete Sicherheits- und Authentifizierungsmaßnahmen installiert, damit nicht auch gleich das Auto des jeweiligen Benutzers gestohlen wird?

- Anzeigen -





Autor: GMO Global Sign

Wenn wir an das Internet der Dinge (IoT) in der Automobilindustrie denken, fällt den meisten von uns wahrscheinlich als erstes das vernetzte Auto oder das Google-Auto ein. Annehmlichkeiten dieser Art orientieren sich an den Bedürfnissen der Verbraucher und bieten grundlegende Funktionen für mehr Bequemlichkeit, eine einfachere Wartung und mehr Sicherheit. Zukünftig, vor allem mit der laufenden Weiterentwicklung des selbstfahrenden Google-Autos, wird sich grundlegend verändern wir mit Fahrzeugen interagieren. Eines Tages sind wir dann vielleicht tatsächlich nur noch Fahrgäste. Und stattdessen kommunizieren die Fahrzeuge miteinander, um uns sicherer und effizienter von A nach B zu bringen.

Beim Thema Sicherheit fällt einem dann höchstwahrscheinlich der 2015 gesendete 60-minütige Bericht ‚Internet-vernetzter Jeep gehackt‘ ein. Aufsehenerregend? Sicher, aber vor allem hat das Vorkommnis einen potenziell kritischen Fehler und weitere Sicherheitslücken ans Tageslicht gebracht. 1,4 Millionen Fahrzeuge wurden im Zuge dessen zurückgerufen. Zudem vermarkten Automobilhersteller zunehmend vernetzte Funktionen, vom Onboard-WLAN bis zu mobilen Apps, die Türschlösser steuern und sogar Fahrzeuge starten. In vielen dieser Fälle entscheidet man sich eher für als gegen die "coolen" Features. Die damit verbundenen negativen Auswirkungen werden gerne ausgeblendet. Was passiert zum Beispiel wenn ein Mobiltelefon gestohlen wird? Sind geeignete Sicherheits- und Authentifizierungsmaßnahmen installiert, damit nicht auch gleich das Auto des jeweiligen Benutzers gestohlen wird?

Wie viele Sorgen müssen wir uns als Verbraucher tatsächlich machen? Noch ist es zu früh dies endgültig zu beurteilen. Allerdings sollte man dazu übergehen Onlinefunktionen bewusster wahrzunehmen, vor allem, was ihre Auswirkungen anbelangt, positiv wie negativ. Immer mehr Fahrzeuge bieten derartige Funktionen. Wie Hersteller und Konsumenten an dieser Stelle mit dem Thema Sicherheit umgehen wird Folgen für vertrauliche Daten, Privatsphäre und Werte haben.

Neue Risiken für Automobilhersteller
Zurzeit sind diejenigen, die in punkto Schwachstellen wirklich besorgt sein sollten, die Automobilhersteller. Negative Schlagzeilen und Berichte sind ausgesprochen schädlich für Marke und Reputation. Zudem gefährden diese Schwachstellen die Sicherheit der Verbraucher und treiben gleichzeitig die Kosten für Garantiefälle in die Höhe. Beispielsweise wenn Reparaturen an potenziell mehr als 1 Millionen Fahrzeugen fällig werden. Und niemand will mit einer Geschichte wie dieser in Zusammenhang gebracht werden, denn den guten Ruf wieder herzustellen kann Unternehmen teuer zu stehen kommen. F

iat Chrysler musste ausgesprochen viel Schadensbegrenzung betreiben, wie den umfangreichen und kostspieligen Rückruf seiner Fahrzeuge. Hätte sich gar etwas Tragisches aufgrund dieser Schwachstellen ereignet, wäre der Schaden kaum mehr zu reparieren gewesen. Ob und wie ein Hersteller dann noch im Geschäft bleibt, steht in den Sternen.

Die gute Nachricht ist, dass die Autoindustrie das erkannt hat. Cybersicherheit wird jetzt innerhalb der Alliance of Automobile Manufacturers vorangetrieben, einer Vereinigung von zwöf Automobilherstellern wie BMW, Fiat Chrysler, Ford, GM, Jaguar Land Rover, Mazda, Mercedes Benz, Mitsubishi, Porsche, Toyota, VW und Volvo.

Aber Probleme wie diese sind nur die Spitze des Eisbergs. Wird ein Fahrzeug gehackt und einige seiner Funktionen kontrolliert führt das sicherlich zu einem hohen Maß an medialer Aufmerksamkeit. Dabei kann das, was während der Entwicklungs- und Fertigungsphasen passiert, wesentlich kritischer sein. Hier einige Beispiele …

Sicherheitsbedenken innerhalb der Fertigung
Der Herstellungsprozess in der Automobilindustrie ist höchst präzise und er muss hohe Qualitätsstandards erfüllen, um ein Auto auf die Straße zu bringen. Die Sicherheit aller Verkehrsteilnehmer hängt von der Qualität der produzierten und verkauften Fahrzeuge ab. Der Fertigungsprozess als solcher ist inzwischen weitestgehend automatisiert. Um den Prozess weiter zu optimieren, sind die Fertigungsanlagen und die Ausrüstung miteinander verbunden, um wichtige Daten zu teilen und zu analysieren. Allgemein unter dem Namen Industrial IoT (IIoT) bekannt. Mit den anfallenden und verbundenen Daten lässt sich einiges tun, und Hersteller sparen sich unter Umständen viele Millionen Dollar. Das Vernetzen der Ausrüstung birgt allerdings auch die Gefahr schwerwiegender, neuer Sicherheitslücken, die den Hersteller, seine Mitarbeiter und den Verbraucher gleichermaßen gefährden.

Wenn ein böswilliger Angriff eine Fertigungsanlage oder einen Software-Dienst erfolgreich kompromittiert, können schwerwiegende Probleme auftreten. Wie wirkt es sich möglicherweise auf die Sicherheit der Mitarbeiter aus, wenn ein Hacker Zugang zu einem Sensor hat, der die Betriebstemperatur eines Teils der Fertigungsanlagen überwacht? Was würde passieren, wenn ein Angriff erfolgreich eine einfache Änderung an der Software vornimmt, die ein Anlagenteil anweist, wie viele Schrauben es bei der Befestigung der Autokarosserie im Montageprozess montiert? Wie würde sich das auf die Sicherheit des Verbrauchers auswirken? Es sind Szenarien wie diese hinter den Kulissen des IIoT, die man angehen sollte, bevor sie zur nächsten Schlagzeile werden.

Integrität der Firmware gewährleisten
Da Autos im Grunde zu Computerprozessoren auf Rädern geworden sind, haben sie viel Software und Firmware an Bord, die etliche Funktionen des Fahrzeugs steuern. Die Erstinstallation dieser Software und Firmware erfolgt während des Fertigungsprozesses und wird in der Regel in einer kontrollierten Umgebung durchgeführt. Wenn das Fahrzeug aber auf Reise geht und altert, ist es unvermeidlich, dass es Software- und Firmware-Upgrades gibt. Diese Upgrades können von zertifizierten Händlern oder einem Mechaniker durchgeführt werden. Woher wissen Sie, dass die richtige Software oder Firmware in Ihrem Auto installiert ist? Sie haben wahrscheinlich nicht ausreichend viel Fachwissen und eventuell weiß es Ihr Mechaniker auch nicht ganz genau.

In diesem konkreten Fall würde es Abhilfe schaffen, wenn die Software beziehungsweise die Firmware signiert wurde. Das validiert und gewährleistet die Integrität. So werden nur die korrekten Updates eingespielt und eben keine bösartige Software oder Firmware.

In dem Maße, in dem Daten, Prozesse und Menschen innerhalb der Fertigung miteinander vernetzt sind, steigen die potenziellen Sicherheitsrisiken für alle an diesem Prozess Beteiligten, wie auch für den Verbraucher. Sinn und Zweck aller konzertierten Aktionen kann es nur sein, Sicherheitsbelange konsequent und von Anfang an mitzudenken. (GMO GlobalSign: ra)

eingetragen: 20.04.16
Home & Newsletterlauf: 17.05.16


GMO GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.



Meldungen: Hintergrund

  • Phishing weitaus risikoreicher als WiFi

    Ist die Nutzung von öffentlichem WIFI eine gute Idee? "Kommt drauf an", sagt Chester Wisniewski, Security-Experte bei Sophos. Verschlüsselung hat das WWW zwar sicherer gemacht, aber nicht gänzlich risikolos. Seine Einschätzung zur Sicherheitslage und To do's für die Nutzung von Hot Spots im untenstehenden Beitrag. Lange galt die Warnung, keine öffentlichen WiFi-Netzwerke zu nutzen; das Risiko gehackt zu werden war zu groß. Parallel dazu wurde WiFi immer flächendeckender und beliebter, in Regierungsgebäuden, Coffee-Shops, öffentlichen Verkehrsmitteln. Nahezu überall findet man Hot-Spots auf Kosten des Hauses. Gefahrlos nutzbar? "Die Mehrheit sensibler Daten wird nun via verschlüsselte Kanäle versendet", räumt Chester Wisniewski von Sophos, ein. "Die Risiken öffentlicher WiFis sind verblasst, seitdem Erwachsene in ihr Online-Leben starteten."

  • Spionage- & Sabotageangriffe gegen CNI

    Ein aktueller Bericht von F-Secure zeigt, dass Cyber-Kriminelle technisch sehr fortschrittlich und mit viel Geduld arbeiten. Das zeigen Gruppen wie etwa APT33 oder die BlackEnergy Group mit ihren Angriffen auf Öl-Firmen oder Stromversorger. Gleichzeitig nutzen Unternehmen veraltete Systeme und Technologien um Geld zu sparen. Eine schlechte Sicherheitslage, falsche Prioritätensetzung und Wahrnehmung sind auch Geschenke für Angreifer. Schädliche Akteure zielen exponentiell auf kritische Infrastrukturen (CNI) und Energieverteilungseinrichtungen ab. Vernetzte Systeme in der Energiebranche erhöhen die Anfälligkeit für Cyberangriffe, die auch oft für einige Zeit unentdeckt bleiben.

  • Adware im Google Play Store

    Avast hat mit der Mobile Threat Intelligence-Plattform "apklab.io" 50 Adware-Apps im Google Play Store identifiziert, die jeweils zwischen 5.000 und 5 Millionen Installationen zählen. Die von Avast als TsSdk bezeichneten Apps blenden dauerhaft Anzeigen im Vollbildmodus ein und einige versuchen dadurch den Benutzer zur Installation weiterer Apps zu verleiten. Hinter den betroffenen Anwendungen stehen Android-Bibliotheken von Drittanbietern, welche die Hintergrunddienst-Einschränkungen, die in neueren Android-Versionen vorhanden sind, umgehen. Das ist zwar im Play Store nicht explizit verboten, jedoch erkennt Avast das Verhalten als Android:Agent-SEB [PUP], da die Apps den Akku des Benutzers belasten und das Gerät verlangsamen. Die Anwendungen zeigen dem Benutzer kontinuierlich immer mehr Einblendungen an, was wiederum die Regeln des Play Store verletzt. Avast-Sicherheitsforscher haben Google kontaktiert, um die Apps entfernen zu lassen.

  • Sicherheitsmängel in Industrieanlagen gravierend

    Eine verschlüsselte Datenübertragung per SSL/TLS ist ein richtiger Schritt zur Absicherung der IT-Infrastruktur eines Unternehmens. Die Einbindung von SSL-Zertifikaten auf Webseiten dient dazu, dass Daten, die zwischen zwei Computern übertragen werden, verschlüsselt werden und somit vor dem Zugriff Unbefugter geschützt sind. "Das allein nützt aber nichts, wenn Zugangsdaten zu internetbasierten Anwendungsoberflächen im Anmeldefenster bereits voreingetragen sind und so Unbefugte leicht Zugang zu Daten und Prozessen erlangen. Benutzername und Passwort dürfen ausschließlich berechtigen Personen bekannt sein", mahnt Christian Heutger, Geschäftsführer der PSW Group.

  • Datenschutz vorzugsweise in verteilten Umgebungen

    Daten, Daten, Daten! Nur wohin damit, wenn es um deren Schutz geht? Die Cloud scheint bei europäischen Unternehmen kein adäquate Backup-Lösung zu sein. Sie vertrauen in der Mehrheit immer noch ganz traditionell auf Plattformanbieter wie Microsoft, um ihre Daten zu schützen. So offenbart es eine aktuelle Studie von Barracuda Networks, die die Antworten von 432 IT-Experten, Geschäftsführern und Backup-Administratoren als Befragungsgrundlage hat. Ziel war es, die Einstellung der EMEA-Organisationen zu Backup und Wiederherstellung zu untersuchen.