Defcon: Hacker fordern mehr Sicherheit von Autoherstellern

Eine Gruppe aus Hackern und Sicherheitsforschern hat sich im Rahmen der Konferenz Defcon in Las Vegas an Autohersteller gewandt. In einem offenen Brief fordern sie Verbesserungen der Cyber-Sicherheit aktueller In-Car-Systeme.

Die Gruppierung mit dem Namen „I Am The Cavalry“ war vor einem Jahr gegründet worden. Nach eigenen Angaben unterscheidet sie sich von anderen Aktivisten dadurch, dass sie Beziehungen zu Herstellern aufbauen und sie nicht einfach durch Veröffentlichung von Sicherheitslücken zum Handeln zwingen will.

„Moderne Fahrzeuge sind Computer auf Rädern, zunehmend vernetzt und durch Software sowie Embedded-Geräte kontrolliert“, heißt es in dem Brief, der sich an CEOs von Autoherstellern wendet. „Neue Techniken gehen aber mit neuen Arten von Unfällen und auch Feinden einher, die antizipiert und proaktiv angegangen werden müssen. Bösartige Angreifer, Software-Fehler und Fragen der Privatsphäre sind mögliche unbeabsichtigte Folgen des innovativen Einsatzes von Computertechnik.“

Fünf strategische Maßnahmen schlägt die Gruppe vor: erstens ein standardbasiertes Software-Entwicklungsprogramm, zweitens Kollaboration mit Dritten, beispielsweise Sicherheitsforschern; drittens Integration von Systemen in der Art einer Black Box, die Vorgänge für den Fall eines Zwischenfalls aufzeichnen.

Viertens sollten Sicherheitsaktualisierungen ohne Rückruf des Fahrzeugs möglich sein. Fünftens fordert die Expertengruppe die Hersteller auf, diejenigen Computersysteme physikalisch zu isolieren, die für kritische Funktionen wie Bremsen, Airbags oder Steuerung benötigt werden. Sie sollten – anders als bislang vielfach praktiziert – nicht auf der gleichen Hardware laufen wie mit dem Internet verbundene Infotainment-Systeme.

„Wenn Systeme sich Speicher, Rechenkraft oder Schaltkreise teilen, wie in den meisten Autos der aktuellen Generation, sind sie eine Gefahr für Leib und Leben“, schreibt The Cavalry. „Solche Risiken lassen sich vermeiden und verdienen stärkere Berücksichtigung.“

Die Aktivitäten der Gruppe fassten auf Defcon zwei Vertreter zusammen: Joshua Corman, CTO von Sonatype, und Nicholas J. Percoco, Vizepräsident bei Rapid7. Sie wiesen auch auf über Autos hinausgehende Aktivitäten in den Bereichen Medizin, Heimelektronik und öffentliche Infrastrukturen hin. Auf einer Website erklärt die Gruppe zudem, bei der Durchdringung des Alltags durch Technik gehe es zunehmend nicht mehr um die Frage „Können wir das tun?“ sondern „Sollen wir das tun?“.

Eine andere Haltung gegenüber der Autoindustrie verfolgen etwa die Sicherheitsforscher Charlie Miller und Chris Valasek, die letzte Woche Ergebnisse zu Funknetz-Angriffen auf 24 Autotypen vorlegten. Als besonders leicht zu hacken stuften sie die Modelle 2014 von Infiniti Q50 und Jeep Cherokee sowie das Modell 2015 des Cadillac Escalade ein, darunter waren also zwei Fahrzeuge von US-Herstellern. Miller erklärte dazu gegenüber Reuters: „Sie sagen, sie wüssten, was sie tun. Aber alle Fakten deuten in die andere Richtung.“

„Cyber-Sicherheit zählt zu den obersten Prioritäten der Branche, und wir arbeiten beständig an Verbesserungen“, erklärt beispielsweise die Auto Alliance, zu deren Mitgliedern BMW, Chrysler, Ford, Jaguar und VW zählen. „Fahrzeug-Ingenieure integrieren Sicherheitslösungen schon von den ersten Stufen des Designs und der Produktion an, und ihre Tests hören nie auf.“ Konkret wollte sich ihr Sprecher allerdings vorerst nicht zu den fünf Forderungen des offenen Briefes von The Cavalry äußern.

[mit Material von Matthew Broersma, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.