Abo
  • Services:

Ganzheitliches Sicherheitssystem als Zauberwort

Angesichts der Fülle der Bedrohungen mutet es wie eine kaum lösbare Aufgabe an, die vernetzten Autos künftig jahrzehntelang sicher zu halten. Zumal es sich die Hersteller kaum leisten dürfen, tatsächlich in gefährlicher Weise gehackt zu werden. Auf der ELIV-Tagung waren sich die Vertreter der Automobilkonzerne daher einig darin, IT-Security ganz oben auf der Agenda anzusiedeln. Es sei keine Option, auf Sicherheit zu verzichten, um eine bestimmte Funktion nutzen zu können, sagte Rainer Kühne vom Volkswagen-Konzern. Das Zauberwort heißt dabei "ganzheitliches Sicherheitskonzept".

Stellenmarkt
  1. Versicherungskammer Bayern, Saarbrücken
  2. ProLeiT AG, Leverkusen

Als grundsätzliche Vorgehensweise nannte Kühne das Managen kryptographischer Schlüssel, die Bereitstellung sichererer Kommunikationen, das Erkennen von Angriffen, die Einrichtung starker Authentifizierungsmethoden, die strikte Trennung von Online- und Autofunktionen sowie das Aufstellen und Nutzen von Standards. Die IT-Sicherheit müsse dabei schon im Entwicklungsprozess berücksichtigt werden. "Security ist ein Lifetime-Projekt, wenn nicht sogar eine Lebensaufgabe", sagte Kühne. Viele Inhalte starteten erst mit Produktionsbeginn eines Autos.

Fernupdates per Internet erforderlich

Doch das reicht nach Ansicht von Wolf und Kühne noch nicht aus. Die Firmen müssten auch darauf vorbereitet sein, dass es sie tatsächlich einmal erwische und die Fahrzeuge oder ganze Fahrzeugflotten gehackt würden. Als Grundvoraussetzung zur Schadensbegrenzung, die auch gleichzeitig wieder eine Schwachstelle ist, empfehlen die Sicherheitsexperten die Möglichkeit für ein Update over the Air (OTA). Das Verschicken von Fahrzeugupdates per USB-Stick hatten Sicherheitsexperten bereits in der Vergangenheit kritisiert.

Dem Thema OTA widmete Stefan Römmele von Automobilzulieferer Continental gleich einen ganzen Vortag auf der ELIV. Seiner Ansicht nach sind dafür "Online Trust Center" erforderlich, die die digitalen Zertifikate für das Auto sowie die digitalen Signaturen für Software, Daten und Nachrichten erstellen. Kryptographie komme dabei in einer ganzen Reihe von Anwendungen zum Einsatz. Dazu zählen Bezahlsysteme für das Auto sowie die Kommunikationen zwischen Hersteller und Fahrzeug, Smartphone und anderen Backends, zwischen Smartphone und Auto, zwischen Fahrzeug und anderen Fahrzeugen einschließlich der Infrastruktur sowie innerhalb des Fahrzeugs selbst. Kryptographisch abgesichert müssten zudem die Steuersysteme (ECU) im Auto selbst sein, beispielsweise, um zertifizierte Updates einspielen zu können.

Selbst Updates auf größere Schlüssellängen einplanen

Dabei müssten die Hersteller sehr langfristig denken, sagte Römmele. Erforderlich seien nicht nur Updates zur Fehlerbehebung und Verbesserung von Funktionen. Daneben müssten auch Sicherheitsfunktionen und selbst die Kryptographie auf den neuesten Stand gebracht werden können. Es sei nicht auszuschließen, dass beispielsweise bei einem Verschlüsselungsstandard wie RSA größere Schlüssellängen erforderlich und in die Kryptosysteme des Autos implementiert werden müssten. "Ein Auto muss von Anfang an so entwickelt werden, dass wir diese Möglichkeit haben", sagte Römmele.

Er verwies in diesem Zusammenhang auf das im vergangenen Juli vom US-Repräsentantenhaus verabschiedete Selbstfahr-Gesetz, das von den Herstellern einen Cybersicherheitsplan und eine Updatefunktion für die komplette Lebensdauer hochautomatisierter Autos verlangt. Die britische Regierung veröffentliche im August 2017 bereits acht Sicherheitsprinzipien für vernetzte und automatisierte Fahrzeuge.

 Fahrzeugsicherheit: Wenn das Auto seinen Fahrer erpresstAngriffe schon bei der Vorbereitung erkennen 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. 59,99€
  2. 23,49€
  3. 21,99€
  4. 1,29€

Niaxa 25. Okt 2017

Korrigiere mich bitte fals ich mich irre, aber eine Lenkradsperre wird nicht elektronisch...

fuselbaer 25. Okt 2017

Es passiert durchaus bereits jetzt - wird nur nicht so breit gewalzt in der Presse. Der...

fuselbaer 25. Okt 2017

Die Umkehrung gilt allerdings nicht, dass closed Source dadurch automatisch besser ist...

natsan2k 24. Okt 2017

Ich bleib vorerst bei den Modellen um 1995-2000, denn die haben die perfekte Balance...

rofl89 24. Okt 2017

Es ist möglich die Systeme zu trennen. Keine meiner direkten Eingaben führt dazu, dass...


Folgen Sie uns
       


Kabellose Bluetooth-Ohrstöpsel - Test

Wir haben vier komplett kabellose Bluetooth-Ohrstöpsel getestet. Mit dabei sind Apples Airpods, Boses Soundsport Free, Ankers Zolo Liberty Plus sowie Googles Pixel Buds. Dabei bewerteten wir die Klangqualität, den Tragekomfort und die Akkulaufzeit sowie den allgemeinen Umgang mit den Stöpseln.

Kabellose Bluetooth-Ohrstöpsel - Test Video aufrufen
BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

HP Z2 Mini Workstation G3 im Test: Leises Rauschen hinterm Monitor
HP Z2 Mini Workstation G3 im Test
Leises Rauschen hinterm Monitor

Unterm Tisch, auf dem Tisch oder hinter den Bildschirm geklemmt: HPs Z2 Mini Workstation ist ein potentes, wenn auch nicht gerade sehr preiswertes Komplettsystem. Den Preis ist der PC aber wert, denn er ist leise, modular und kann einfach gewartet werden. Der Admin dankt!
Ein Test von Oliver Nickel

  1. HP Pavilion Gaming Hardware für Gamer, die sich Omen nicht leisten wollen
  2. Chromebook x2 HP präsentiert Chrome-OS-Detachable mit Stift
  3. Laserjet Pro M15w und M28w HPs Laserdrucker schrumpfen auf 34 Zentimeter Länge

Oracle vs. Google: Dieses Urteil darf nicht bleiben
Oracle vs. Google
Dieses Urteil darf nicht bleiben

Im Fall Oracle gegen Google fällt ein eigentlich nicht zuständiges Gericht ein für die IT-Industrie eventuell katastrophales Urteil. Denn es kann zu Urhebertrollen, Innovationsblockaden und noch mehr Milliardenklagen führen. Einzige Auswege: der Supreme Court oder Open Source.
Eine Analyse von Sebastian Grüner

  1. Oracle gegen Google Java-Nutzung in Android kein Fair Use

    •  /