Categories: Cybersicherheit

Cyberkriminalität und autonome Mobilität: Die oft verkannten Risiken

Denn die technischen Möglichkeiten der Hacker sind erstaunlich vielfältig. Kann es also unter diesen Vorzeichen überhaupt gelingen, auf Dauer eine sichere autonome Mobilität aufzubauen und sich vollends auf diese zu verlassen?

Autonomes Fahren: Die wichtigsten Basis-Fakten im Überblick

Wer sich mit den Themen IT-Sicherheit und Cyberkriminalität im Bereich der autonomen Mobilität beschäftigen möchte, sollte sich zunächst einmal mit den grundlegenden Fakten zur autonomen Mobilität auseinandersetzen. Wir möchten an dieser Stelle nur einen groben Zusammenschnitt wagen, weitere Informationen finden Sie unter anderem im Bereich der autonomen Logistik der Zukunft.

Grundsätzlich lässt sich die autonome Mobilität in fünf unterschiedliche Stufen, oder auch Level unterteilen. Je höher das Level, umso mehr Aufgaben übernimmt das Fahrzeug für den Fahrzeughalter. Schauen wir uns diese fünf Stufen einmal im Überblick an:

Level 1: Das assistierte Fahren

Verschiedene Assistenzsysteme unterstützen den Fahrer bei seinen Aufgaben. Der Fahrer muss kontinuierlich die Arbeit der Systeme überwachen und haftet selbst bei Schäden und Unfällen.

Level 2: Das teilautomatisierte, assistierte Fahren

Grundlegende Fahrprozesse können vom Fahrzeug über einen kurzen Zeitraum automatisch durchgeführt werden. Automatisches Parken, Spurhalten, Gas-Geben und Bremsen. Verschiedene Assistenzsysteme übernehmen hier die Aufgaben. Die Kontrolle über das Fahrzeug verbleibt allerdings dauerhaft beim Nutzer. Dieser haftet weiterhin bei Schäden und Unfällen.

Level 3: Das automatisierte Fahren

Das Fahrzeug kann über längere Phasen hinweg viele Aufgaben allein und selbständig übernehmen. Unter anderem das Überholen von Fahrzeugen, das Halten der Fahrzeugspur oder des Abstands. Der Fahrer kann sich sogar in Teilen vom Geschehen im Straßenverkehr abwenden, muss aber in der Lage sein, auf Signal des Fahrzeugs die Kontrolle wieder zu übernehmen. Die Haftung bleibt weiterhin beim Fahrer des Fahrzeugs.

Level 4: Das hochautomatisierte, autonome Fahren

Das Fahrzeug übernimmt in vielen Situationen die vollständige Kontrolle über die notwendigen Fahrleistungen. Es kann über einen längeren Zeitraum ohne menschliche Hilfe selbständig fahren. Der Fahrer muss in der Lage sein, in solchen Situationen selbst das Steuer zu übernehmen, in welchem das System überfordert ist. Solange das Fahrzeug autonom fährt und den Fahrer nicht zur Übernahme der Kontrolle auffordert, ist der „Passagier“ nicht mehr in der Haftung.

Level 5: Das autonome Fahren

Das Fahrzeug übernimmt in allen Situationen des Straßenverkehrs dauerhaft die Kontrolle. Menschliches Eingreifen ist nicht mehr notwendig. Der Fahrer haftet für keine Aktionen des Fahrzeugs, sofern dieses autonom agiert.

Theoretische und praktische Einfallstore und Angriffsvektoren für Hacker

Grundsätzlich muss man bei der Beurteilung der Gefahren zwei Herangehensweisen unterscheiden. Zum einen der direkte Zugriff auf die Infrastruktur des Autos im Innenraum. Ein Hacker, welcher Zugriff auf die entsprechenden Schnittstellen hat, kann hier erheblichen Schaden anrichten. Eben weil die meisten Automobilhersteller in diesem Bereich eher weniger Sicherungen einsetzen, damit unter anderem Diagnose-Tools einfacher genutzt werden können. Doch solche Angriffe sind nicht nur schwer durchzuführen, sondern auch logistisch in den meisten Fällen unmöglich. Niemand verleiht sein Auto an eine fremde Person, und von Freunden und Verwandten erwartet man solche Angriffe dementsprechend nicht.

stock.adobe.com © Gorodenkoff (#164586743)

Die zweite Herangehensweise ist also die Kommunikation von außen mit dem Fahrzeug. Moderne Fahrzeuge sind vom Werk aus bereits mit dem Internet verbunden, damit der Hersteller im Bedarfsfall neue Software aufspielen kann. Ein prominentes Beispiel hier ist Tesla, bei deren Fahrzeugen sogar gänzlich neue Funktionen per Update freigeschaltet wurden. Doch auch andere Hersteller nutzen solche Lösungen und bieten unter anderem bestimmte Performance-Leistungen als Abo-Modell an. Somit kann man als Kunde das Fahrzeug auf Wunsch an die eigenen Anforderungen anpassen. Doch genau an dieser Stelle liegt auch die größte Schwachstelle des Systems. Denn wenn der Hersteller des Fahrzeugs von außen auf dessen Innenleben und dessen Dateninfrastruktur zugreifen kann, können dies in der Theorie auch Hacker.

Und das haben diese unter anderem beim Jeep Cherokee für das Technikmagazin Wired bewiesen. Hier konnten die Hacker nicht nur das Radio und die Lüftung steuern, sondern das Fahrzeug auch gegen den Wunsch der Insassen beschleunigen. Hierzu wurde eine Sicherheitsschwachstelle im UConnect Infotainment-System des Fahrzeugs genutzt. So konnten die Hacker – im Test mit Einverständnis und Wissen des Fahrers – direkt auf die wichtige und kritische Infrastruktur des Fahrzeugs zugreifen.

Das bedeutet allerdings auch, dass die Hacker die verschiedenen Schnittstellen und Kommunikationsmuster nicht nur abfangen, sondern auch modifizieren können müssen. Nach den eben genannten Tests haben viele Hersteller reagiert und sind dazu übergegangen, mehr Sicherheitsfeatures in die eigenen Fahrzeuge zu verbauen, um solche Angriffe von außen schwieriger zu machen. Doch wie man auch an anderen Teilen der Infrastruktur erkennen kann, gibt es in Sachen Sicherheit nie ein vollends erreichbares Maß vollständiger Sicherheit.

Zudem muss und darf man den Faktor Mensch nicht außer Acht lassen. Auch heute noch klicken Menschen auf Links in E-Mails, geben auf falschen Webseiten ihre Konto-Informationen ein oder fallen anderweitig auf Betrüger rein. Dort sind die Gefahren allerdings in der Regel nur für einen kleinen Personenkreis gegeben. Im Falle eines autonom fahrenden Fahrzeugs sind jedoch nicht nur die Passagiere, sondern auch das gesamte Umfeld in Gefahr. Wer also selbst sein Fahrzeug nicht pflegt und auch nicht darauf achtet, ob dieses immer auf dem neuesten Stand ist, wird zu einer Gefahr für sich und andere.

Aus diesem Grund müssen die Autohersteller also zwingend digital Zugriff auf jedes Fahrzeug haben, um solche Anpassungen vornehmen zu können. Durch diesen Zugriff von Außen steigt allerdings auch die Gefahr. Nur wer eine Tür in eine Wand einbaut, lockt diejenigen an, welche Schlösser knacken können. Hier handelt es sich mehr oder minder um das klassische Henne-Ei-Problem. Eine für alle Seiten zufriedenstellende Lösung wird es in dieser Hinsicht kaum geben.

Autonome Mobilität: Mehr Risiken ohne Hände am Lenkrad?

Es stellt sich vor allem die Frage, in welchen Situationen Gefahren für die Insassen des Fahrzeugs besonders groß sein könnten. Ist es im Prinzip gefährlicher bei einem Hacker-Angriff das Fahrzeug selbst zu steuern oder muss das Auto dabei immer selbst aktiv sein?

In unserer Vorstellung haben wir immer dann die Kontrolle, wenn wir die Hände am Lenkrad haben. Selbst dann, wenn wir uns von Tempomat und Abstandswarner bei aktiver Fahrspurunterstützung im Straßenverkehr fortbewegen. Denn eigentlich fährt hier das Fahrzeug bereits annähernd automatisch und wir haben nur die Hände am Steuer, um im Notfall eingreifen zu können.

stock.adobe.com © BullRun (#332025316)

Was aber, wenn in einem solchen Fall die Hacker den Abstandswarner außer Kraft setzen und auch die Fahrspurunterstützung ausgeschaltet wird. Passiert dies am Beginn einer langen Reise, wird man aller Wahrscheinlichkeit nach noch eingreifen können. Aber nach mehreren 100 Kilometern auf der Autobahn, bei gleichbleibendem Tempo und ohne weitere Ereignisse? Schwer vorstellbar. Wir haben gelernt uns auf die Technologie zu verlassen und diese hat uns bis zu diesem Zeitpunkt auch treu gedient.

Auf der anderen Seite hängt es aber auch stark davon ab, welche Zugriffrechte und Möglichkeiten die neuen autonom fahrenden Autos überhaupt noch bieten. Kann der Fahrer im Notfall immer das Fahrzeug überstimmen? Kann man per Software den Zugriff auf Gas, Bremse und das Lenkrad für den Fahrenden unmöglich machen? In einem solchen Fall wäre es grundsätzlich egal, ob der Fahrer nun die Hand am Lenkrad hat oder nicht. Denn ein aktives Eingreifen und Reagieren wäre von seiner Seite aus überhaupt nicht mehr möglich. Das wissen zumindest auch die Hersteller der meisten Fahrzeuge.

Aus diesem Grund ist es unter anderem so, dass das Bremspedal weiterhin und auch in Zukunft mechanisch funktionieren wird. Ein Tritt auf die Bremse wird das Fahrzeug also in jedem Fall zuverlässig zum Stehen bringen. Das bedeutet allerdings auch, dass man dabei alle anderen Faktoren mitberücksichtigen muss. Ein von außen übernommenes Fahrzeug, welches von Innen deutlich abgebremst wird, wird im schlimmsten Fall zu einem unkontrolliert schleudernden Geschoss, welches sowohl für die Insassen als auch für das Umfeld zu einer echten Gefahr werden kann.

Kein Sci-Fi: Warum Hacker Fahrzeuge anvisieren

Selbstverständlich fragt man sich, warum sollten Hacker überhaupt Autos ins Visier nehmen? Schließlich hat man erst einmal keinen finanziellen Vorteil davon, dass andere Menschen im Straßenverkehr gefährdet werden. Doch das ist nicht gänzlich richtig. Sollte es nämlich dazu kommen, dass Fahrzeuge vollständig autonom fahren, also im Sinne von Level 5 – vollautomatisiertes autonomes Fahren, dann steht die Frage der Haftung im Raum.

Wenn der Fahrer selbst nicht mehr tätig werden muss, kann dieser auch bei Unfällen oder kleinen Schäden nicht haftbar gemacht werden. Die Hersteller der Fahrzeuge müssen somit für die entstandenen Schäden und Probleme haftbar gemacht werden können. Wenn es nun also dazu kommt, dass Fahrzeuge eines bestimmten Herstellers auf einmal nicht mehr sicher sind und es zu vermehrten Schäden und Unfällen kommt, kann dies für den Fahrzeughersteller schnell teuer bis existenzbedrohend werden.

Wer also als Hacker in der Lage ist, die Fahrzeuge eines Herstellers zu manipulieren und dies anhand einiger einzelner Fahrzeuge vorführt, hat sich für eine lukrative Erpressung einen erheblichen Vorteil verschafft. Vor allem, da man bei solchen Vergehen nicht vor Ort sein muss und somit auch nicht der Gefahr ausgesetzt ist, erwischt zu werden. Es gibt also auf Dauer ein Wettrennen zwischen den Herstellern und den Hackern. Und diese sind natürlich darauf aus, sich Startvorteile zu verschaffen.

Aus diesem Grund kann man bereits jetzt davon ausgehen, dass die verschiedenen Systeme bereits umfassend analysiert und auf Schwachstellen untersucht werden. Gute Hacker haben Geduld und sind bereit für die möglichen Gewinne auch zu warten. Wer sich mit der Thematik intensiver beschäftigt, wird feststellen, dass es viele Gruppen gibt, welche von einer solchen Möglichkeit nur träumen. Einmal ganz davon abgesehen, dass auch Terrororganisationen diese Möglichkeiten nutzen könnten, um ganze Länder ins Chaos zu stürzen. Eine nicht mehr funktionierende automobile Infrastruktur würde auch sehr starke Nationen schnell in die Knie zwingen. Allein der Transport von Waren, Erkrankten und der Sicherheitsbehörden könnte einen Staat zerfallen lassen.

stock.adobe.com © finecki (#221876179)

Per Design und in der Tiefe: Sicherheitsstrategien heute und morgen

Schaut man sich bereits heute moderne Autos und auch die aktuellen Fahrzeugstudien vieler Hersteller an, wird deutlich, dass der Sicherheit im Straßenverkehr immer mehr Raum eingeräumt wird. Kaum ein Fahrzeug wird mehr ohne die essenziellen Sicherheitsmerkmale geplant und gebaut. Dabei gibt es unter anderem natürlich auch gesetzliche Vorgaben, die zwingend einzuhalten sind.

So müssen Automobilhersteller in der EU seit dem Jahr 2018 verpflichtet, den eCall in jedes Neufahrzeug zu verbauen, sodass Fahrzeuge im Falle eines Unfalls selbständig die Rettung rufen können. Solche Systeme sind besonders wichtig und werden auch von allen großen und kleinen Herstellern unterstützt. Doch auch im Design der Fahrzeuge hat eine Trendwende stattgefunden. Statt die meisten Fahrzeuge kleiner und leichter zu machen, werden diese im direkten Vergleich immer größer. Dies sorgt nicht nur für eine bessere Übersicht im Straßenverkehr, sondern erhöht auch die Sicherheit der Fahrzeuginsassen deutlich. Das damit allerdings die Gefahr für Fußgänger und Radfahrer bei einem Unfall größer wird, nimmt man gerne in Kauf. Dennoch ist der Zugewinn an Knautschzone natürlich wichtig, um bei Unfällen mit dem Auto möglichst wenig Personenschäden zu erleiden.

Das sind alles Faktoren, welche von den Käufern der Fahrzeuge wahrgenommen und mitberücksichtigt werden. Doch es gibt noch eine tiefere Ebene. Eine Ebene, welche die meisten Konsumenten nicht auf dem Schirm haben und welche auch in den meisten Fachzeitschriften kaum Beachtung findet. Denn auf technischer Ebene, also in der Programmierung von Interface, Automation und Fahrzeug, gibt es weitere Sicherheitsmerkmale, welche unter anderem davor schützen sollen, dass das Fahrzeug von außen manipuliert werden kann. Das große Problem dabei ist, dass sich die Hersteller natürlich nicht in die Karten gucken lassen wollen. Und das ist durchaus vernünftig. Denn wenn niemand außer den Herstellern weiß, welche Sicherheitsprotokolle programmiert und welche Sicherheitssysteme verbaut sind, kann auch niemand mit diesen Informationen Werkzeuge und Gegenstücke schaffen, um genau diese Sicherheitsoptionen zu umgehen.

Dennoch ist und bleibt es erschreckend, dass dieses Thema auch von führenden Zeitschriften und Fachpublikationen noch immer so stiefmütterlich behandelt wird. Niemand erwartet von den Herstellern, dass diese ihre Sicherheitsprotokolle öffentlich machen. Aber das Thema IT-Sicherheit muss zwingend thematisiert werden, wenn wir uns dem Thema autonomes Fahren weiterhin widmen möchten. Denn ohne eine umfassende Absicherung und auch ohne gesetzliche Vorgaben in diesem Bereich wird es auf Dauer nicht funktionieren.

Fazit: Es wird keine Level 5 – Autonomie geben, ohne umfassende Sicherheitsnetze

Auch wenn das Themenfeld noch immer kaum Beachtung findet, wissen die Automobilhersteller und viele Zulieferer bereits, dass es beim Thema Sicherheit der IT-Systeme der einzelnen Fahrzeuge und der Fahrzeugflotten noch erheblichen Verbesserungsbedarf gibt. Denn das autonome Fahren ist in vielen Bereichen technisch bereits möglich. In der Theorie können viele Fahrzeuge auch heute schon die meisten Anforderungen für das autonome Fahren im Level 5 erfüllen. Doch der Sicherheitsaspekt spielt eine so große Rolle, dass es nicht einmal zu ersten Tests kommen kann, da die Gefahren für die Insassen und das Umfeld einfach zu groß wären. Selbst bei vollem Vertrauen in die Fähigkeiten des Fahrzeugs autonom unterwegs zu sein und im Straßenverkehr keine Fehler zu machen, ist die Gefahr eines Angriffs von außen aktuell noch zu groß.

stock.adobe.com © kinwun (#548275476)

Ob es hier jemals zu starken Änderungen kommen wird, hängt von vielen verschiedenen Faktoren ab. Zunächst einmal muss allerdings auch in der breiten Bevölkerung ein Bewusstsein für die potenziellen Gefahren geschaffen werden. Erst dann, wenn der normale Nutzer begreift, dass autonomes Fahren nicht nur mit Komfort verbunden ist, sondern auch Gefahren abseits der Verkehrsbeherrschung des Fahrzeuges bietet, kann ein ordentlicher und wichtiger Diskurs stattfinden. Hinzu kommt, dass von Seiten des Gesetzgebers auch neue Richtlinien und Normen, genau diese Sicherheit betreffend, erst einmal geschaffen werden müssen. Wer sich die Digitalisierung in Deutschland anschaut, wird schnell feststellen, dass wir in dieser Hinsicht definitiv ein Problem bekommen werden. Zumal es Regulierungen geben muss, welche sich nicht nur auf einzelne Länder beschränken. Die unterschiedlichen Haftungsfragen, man schaue nur auf den Unterschied zwischen Amerika und der EU, sind dabei noch überhaupt nicht berücksichtigt. Ob die Zukunft autonomes Fahren mit sich bringen wird, steht dementsprechend noch in den Sternen.

Maria Jose Carrasco

Recent Posts

Podcast: Chancen und Risiken durch KI zum Schutz vor Hackerangriffen

Christoph Schuhwerk, CISO EMEA bei Zscaler, über den Einfluss von KI auf den permanenten Wettlauf…

14 Stunden ago

Außerplanmäßiges Update schließt Zero-Day-Lücke in Chrome

Von ihr geht ein hohes Risiko aus. Laut Google ist ein Exploit für die Chrome…

1 Tag ago

Hacker setzen neuartige Infostealer gegen Unternehmen ein

Kaspersky stellt eine hohe Nachfrage nach datenstehlender Malware in kriminellen Kreisen fest. Die Infostealer sind…

1 Tag ago

KI-gestützte Betrugserkennung

Neue Funktion in GoTo Resolve schützt Nutzer von Mobilgeräten vor Finanzbetrug, indem sie Support-Sitzungen überwacht…

2 Tagen ago

Europäischer Smartphonemarkt wächst zehn Prozent im ersten Quartal

Es ist das erste Plus seit dem dritten Quartal 2021. Die Marktforscher von Counterpoint rechnen…

2 Tagen ago

Megawatt-Kühlung für KI

Rittal hat eine neue Kühllösung vorgestellt, die über 1 Megawatt Kühlleistung erbringt und den Weg…

2 Tagen ago