- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

IoT-Sicherheit in der Automobilindustrie


Diejenigen, die in punkto Schwachstellen wirklich besorgt sein sollten, sind die Automobilhersteller
Was passiert zum Beispiel wenn ein Mobiltelefon gestohlen wird? Sind geeignete Sicherheits- und Authentifizierungsmaßnahmen installiert, damit nicht auch gleich das Auto des jeweiligen Benutzers gestohlen wird?

- Anzeigen -





Autor: GMO Global Sign

Wenn wir an das Internet der Dinge (IoT) in der Automobilindustrie denken, fällt den meisten von uns wahrscheinlich als erstes das vernetzte Auto oder das Google-Auto ein. Annehmlichkeiten dieser Art orientieren sich an den Bedürfnissen der Verbraucher und bieten grundlegende Funktionen für mehr Bequemlichkeit, eine einfachere Wartung und mehr Sicherheit. Zukünftig, vor allem mit der laufenden Weiterentwicklung des selbstfahrenden Google-Autos, wird sich grundlegend verändern wir mit Fahrzeugen interagieren. Eines Tages sind wir dann vielleicht tatsächlich nur noch Fahrgäste. Und stattdessen kommunizieren die Fahrzeuge miteinander, um uns sicherer und effizienter von A nach B zu bringen.

Beim Thema Sicherheit fällt einem dann höchstwahrscheinlich der 2015 gesendete 60-minütige Bericht ‚Internet-vernetzter Jeep gehackt‘ ein. Aufsehenerregend? Sicher, aber vor allem hat das Vorkommnis einen potenziell kritischen Fehler und weitere Sicherheitslücken ans Tageslicht gebracht. 1,4 Millionen Fahrzeuge wurden im Zuge dessen zurückgerufen. Zudem vermarkten Automobilhersteller zunehmend vernetzte Funktionen, vom Onboard-WLAN bis zu mobilen Apps, die Türschlösser steuern und sogar Fahrzeuge starten. In vielen dieser Fälle entscheidet man sich eher für als gegen die "coolen" Features. Die damit verbundenen negativen Auswirkungen werden gerne ausgeblendet. Was passiert zum Beispiel wenn ein Mobiltelefon gestohlen wird? Sind geeignete Sicherheits- und Authentifizierungsmaßnahmen installiert, damit nicht auch gleich das Auto des jeweiligen Benutzers gestohlen wird?

Wie viele Sorgen müssen wir uns als Verbraucher tatsächlich machen? Noch ist es zu früh dies endgültig zu beurteilen. Allerdings sollte man dazu übergehen Onlinefunktionen bewusster wahrzunehmen, vor allem, was ihre Auswirkungen anbelangt, positiv wie negativ. Immer mehr Fahrzeuge bieten derartige Funktionen. Wie Hersteller und Konsumenten an dieser Stelle mit dem Thema Sicherheit umgehen wird Folgen für vertrauliche Daten, Privatsphäre und Werte haben.

Neue Risiken für Automobilhersteller
Zurzeit sind diejenigen, die in punkto Schwachstellen wirklich besorgt sein sollten, die Automobilhersteller. Negative Schlagzeilen und Berichte sind ausgesprochen schädlich für Marke und Reputation. Zudem gefährden diese Schwachstellen die Sicherheit der Verbraucher und treiben gleichzeitig die Kosten für Garantiefälle in die Höhe. Beispielsweise wenn Reparaturen an potenziell mehr als 1 Millionen Fahrzeugen fällig werden. Und niemand will mit einer Geschichte wie dieser in Zusammenhang gebracht werden, denn den guten Ruf wieder herzustellen kann Unternehmen teuer zu stehen kommen. F

iat Chrysler musste ausgesprochen viel Schadensbegrenzung betreiben, wie den umfangreichen und kostspieligen Rückruf seiner Fahrzeuge. Hätte sich gar etwas Tragisches aufgrund dieser Schwachstellen ereignet, wäre der Schaden kaum mehr zu reparieren gewesen. Ob und wie ein Hersteller dann noch im Geschäft bleibt, steht in den Sternen.

Die gute Nachricht ist, dass die Autoindustrie das erkannt hat. Cybersicherheit wird jetzt innerhalb der Alliance of Automobile Manufacturers vorangetrieben, einer Vereinigung von zwöf Automobilherstellern wie BMW, Fiat Chrysler, Ford, GM, Jaguar Land Rover, Mazda, Mercedes Benz, Mitsubishi, Porsche, Toyota, VW und Volvo.

Aber Probleme wie diese sind nur die Spitze des Eisbergs. Wird ein Fahrzeug gehackt und einige seiner Funktionen kontrolliert führt das sicherlich zu einem hohen Maß an medialer Aufmerksamkeit. Dabei kann das, was während der Entwicklungs- und Fertigungsphasen passiert, wesentlich kritischer sein. Hier einige Beispiele …

Sicherheitsbedenken innerhalb der Fertigung
Der Herstellungsprozess in der Automobilindustrie ist höchst präzise und er muss hohe Qualitätsstandards erfüllen, um ein Auto auf die Straße zu bringen. Die Sicherheit aller Verkehrsteilnehmer hängt von der Qualität der produzierten und verkauften Fahrzeuge ab. Der Fertigungsprozess als solcher ist inzwischen weitestgehend automatisiert. Um den Prozess weiter zu optimieren, sind die Fertigungsanlagen und die Ausrüstung miteinander verbunden, um wichtige Daten zu teilen und zu analysieren. Allgemein unter dem Namen Industrial IoT (IIoT) bekannt. Mit den anfallenden und verbundenen Daten lässt sich einiges tun, und Hersteller sparen sich unter Umständen viele Millionen Dollar. Das Vernetzen der Ausrüstung birgt allerdings auch die Gefahr schwerwiegender, neuer Sicherheitslücken, die den Hersteller, seine Mitarbeiter und den Verbraucher gleichermaßen gefährden.

Wenn ein böswilliger Angriff eine Fertigungsanlage oder einen Software-Dienst erfolgreich kompromittiert, können schwerwiegende Probleme auftreten. Wie wirkt es sich möglicherweise auf die Sicherheit der Mitarbeiter aus, wenn ein Hacker Zugang zu einem Sensor hat, der die Betriebstemperatur eines Teils der Fertigungsanlagen überwacht? Was würde passieren, wenn ein Angriff erfolgreich eine einfache Änderung an der Software vornimmt, die ein Anlagenteil anweist, wie viele Schrauben es bei der Befestigung der Autokarosserie im Montageprozess montiert? Wie würde sich das auf die Sicherheit des Verbrauchers auswirken? Es sind Szenarien wie diese hinter den Kulissen des IIoT, die man angehen sollte, bevor sie zur nächsten Schlagzeile werden.

Integrität der Firmware gewährleisten
Da Autos im Grunde zu Computerprozessoren auf Rädern geworden sind, haben sie viel Software und Firmware an Bord, die etliche Funktionen des Fahrzeugs steuern. Die Erstinstallation dieser Software und Firmware erfolgt während des Fertigungsprozesses und wird in der Regel in einer kontrollierten Umgebung durchgeführt. Wenn das Fahrzeug aber auf Reise geht und altert, ist es unvermeidlich, dass es Software- und Firmware-Upgrades gibt. Diese Upgrades können von zertifizierten Händlern oder einem Mechaniker durchgeführt werden. Woher wissen Sie, dass die richtige Software oder Firmware in Ihrem Auto installiert ist? Sie haben wahrscheinlich nicht ausreichend viel Fachwissen und eventuell weiß es Ihr Mechaniker auch nicht ganz genau.

In diesem konkreten Fall würde es Abhilfe schaffen, wenn die Software beziehungsweise die Firmware signiert wurde. Das validiert und gewährleistet die Integrität. So werden nur die korrekten Updates eingespielt und eben keine bösartige Software oder Firmware.

In dem Maße, in dem Daten, Prozesse und Menschen innerhalb der Fertigung miteinander vernetzt sind, steigen die potenziellen Sicherheitsrisiken für alle an diesem Prozess Beteiligten, wie auch für den Verbraucher. Sinn und Zweck aller konzertierten Aktionen kann es nur sein, Sicherheitsbelange konsequent und von Anfang an mitzudenken. (GMO GlobalSign: ra)

eingetragen: 20.04.16
Home & Newsletterlauf: 17.05.16


GMO GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.



Meldungen: Hintergrund

  • 50 Jahre Internet: Von 4 auf 4 Milliarden Nutzer

    Ursprünglich war das Internet etwas kleiner geplant, als wir es heute kennen. Gerade einmal vier Universitäten in den USA sollte das sogenannte Arpanet verbinden, als die Pläne für eine Vernetzung von Computern Ende der 1960er Jahre Gestalt annahmen. Der erste Knoten des Arpanet, ein sogenannter Host an der Universität von Los Angeles, nahm vor 50 Jahren, am 30. August 1969, seinen Betrieb auf. Er legte die Grundlage für das Internet und eine weltweite Erfolgsgeschichte. Im vergangenen Jahr war nach Zahlen der International Telecommunications Union (ITU) erstmals mehr als die Hälfte der gesamten Weltbevölkerung online. Demnach nutzten 2018 rund 3,9 Milliarden Menschen das Internet. 2001, als diese Zahlen erstmals erhoben wurden, waren es gerade einmal 495 Millionen oder 8 Prozent der Weltbevölkerung.

  • Neue Vertriebsstrategie im Dark Web

    Das Konto von Anwender zu hacken ist wie der Einbruch in ein Haus: Entweder man verschafft sich gewaltsam Zutritt oder sucht nach dem Ersatzschlüssel unter der Fußmatte. In der Cyberwelt scheint letztere Vorgehensweise so einfach wie nie. Die Zahl der exponierten Zugangsdaten im Open, Deep und Dark Web hat einen neuen Höchststand erreicht. Allein auf der Website Haveibeenpwned können Betroffene in über 8 Mrd. Datensätze nach geleakten Logindaten suchen. Das Repository von Digital Shadows umfasst über 16 Mrd. Anmeldeinformationen - ein Wachstumsende ist nicht in Sicht. Cyberkriminelle gelangen auf unterschiedlichen Wegen zu Login/Passwort-Kombinationen. Dazu gehört neben Phishing, Malware und Harvesting Bots auch der Großeinkauf auf kriminellen Foren. Das Photon Research Team hat hier eine neue Masche beim Verkauf von sogenannten Combolisten aufgedeckt. Gewöhnlich handelt es sich dabei um lange Textdateien, die Millionen von Benutzernamen- und Passwortkombinationen enthalten. Bekanntestes Beispiel ist die 2017 entdeckte "The Anti Public Combo List", die mehr als 562 Mio. Zugangsdaten enthielt und sich aus unterschiedlichen Datenleaks zusammensetzte.

  • Neue Sextortion-Masche

    Forscher von Kaspersky haben ein neues Erpressungsschema aufgedeckt: Cyberkriminelle geben sich als korrupte CIA-Beamte aus und fordern 10.000 US-Dollar in Bitcoins von den Opfern, deren Namen angeblich bei Untersuchungen im Zusammenhang mit Online-Pädophilie aufgetaucht sind. Bis dato ist unklar, wie viele Personen von diesem Betrug betroffen sind. Sextortion, also Erpressungsversuche, die damit drohen, das vermeintliche Interesse an Online-Pornographie zu enthüllen, ist nicht neu. Private Informationen, die aus früheren Datenlecks stammen, dienen meist als Grundlage für eingeblendete Informationen. Typischerweise sind solche falschen Erpresser-E-Mails aufgrund ihrer mangelhaften Aufmachung und der fehlerhaften Sprache leicht zu identifizieren. Die nun von Kaspersky entdeckte "CIA-Sextortion"-E-Mail wurde jedoch sorgfältig formuliert und ist mit einem kopierten CIA-Logo versehen.

  • Statische Angriffstaktiken sind Vergangenheit

    Vor einigen Tagen jährte sich der erste bekannte Fall einer Cyberangriffsmethode, die Unternehmen jeglicher Branche und Größe auch weiterhin in Atem hält. Am 22. Juli 1999 wurde ein Computer der University of Minnesota in den USA von einem Netzwerk 114 weiterer Rechner attackiert - auf ihnen lief das Programm Trin00, welches später immer wieder für die Lancierung von DDoS-Attacken genutzt wurde. Damals veranlasste der schadhafte Code auf den betroffenen Computern diese schließlich dazu, das Netzwerk der Forschungseinrichtung mit Datenpaketen zu bombardieren. Dies führte zur Überlastung der Rechner und legitime Anfragen konnten nicht mehr bearbeitet werden. Das System der Universität lag zwei Tage lahm. Der Vorfall in den Vereinigten Staaten stellte die erste Distribued-Denial-of-Service-Attacke dar.

  • IT-Security 2019: die Zwischenbilanz

    Die erste Halbzeit ist vorbei: Wie lautet der Zwischenstand für das Jahr 2019 im Bereich IT-Sicherheit? Dies soll aus fünf Perspektiven betrachtet werden: Datenschutz-Verletzungen, Cloud Computing, Domain Name System (DNS), mobile Geräte und Bots. Durch Cyberangriffe, Ransomware und Datenschutz-Verletzungen wurden von Januar bis April 2019 etwa 5,9 Milliarden Datensätze offengelegt. Fast jeder Privatnutzer erhält inzwischen Erpressungs-Mails von Cyberkriminellen, weil sie im Besitz seines Passworts oder der E-Mail-Adresse seien. Ob Gesundheitswesen, Automobilbranche, öffentliche Hand, Einzelhandel oder IT-Sektor: Auch Unternehmen jeder Branche werden heute angegriffen.