Abo
  • IT-Karriere:

Fahrzeugsicherheit: Wenn das Auto seinen Fahrer erpresst

Die Autokonzerne haben die zentrale Bedeutung des Themas IT-Sicherheit erkannt. Das Szenario einer Ransomware-Attacke zeigt jedoch, wie schwer alle Schwachstellen zu beheben sind.

Ein Bericht von veröffentlicht am
So könnte eine Erpressernachricht auf einem Autobildschirm aussehen.
So könnte eine Erpressernachricht auf einem Autobildschirm aussehen. (Bild: Marko Wolf/Escrypt)

Dass ein Auto beim Losfahren nicht gleich anspringt, kann viele verschiedene Ursachen haben. Für Marko Wolf könnte demnächst noch eine bislang unbekannte hinzukommen. Den versammelten Autoingenieuren demonstrierte der Sicherheitsexperte der Bosch-Tochterfirma Escrypt am vergangenen Mittwoch auf dem VDI-Kongress ELIV in Bonn, wie sich Hacker mit Tools aus dem Darknet eine solche Ransomware-Attacke zusammenbasteln und die Autofahrer erpressen könnten. Auch wenn es in der Realität einen solchen Angriff bislang noch nicht gegeben hat: Die Autokonzerne stehen vor der großen Herausforderung, bei vernetzten Autos die IT-Sicherheit künftig über die gesamte Lebensdauer von 20 Jahren oder mehr zu garantieren. Die Autos dürfen zwar durchrosten, sollen sich aber bis zu ihrer Verschrottung nicht hacken lassen.

Inhalt:
  1. Fahrzeugsicherheit: Wenn das Auto seinen Fahrer erpresst
  2. Ganzheitliches Sicherheitssystem als Zauberwort
  3. Angriffe schon bei der Vorbereitung erkennen

Wolf hat die Ransomware-Attacke à la Wanna Cry mit Bedacht gewählt. Denn kriminelle Hacker oder staatliche Akteure mit Devisenbedarf benötigen in der Regel ein Geschäftsmodell, um mit einem Angriff auch Geld einnehmen zu können. Nach Ansicht Wolfs könnten selbst Privatnutzer bereit sein, ein geringes Lösegeld in Bitcoins zu zahlen, um ihr Auto wieder aus der Hand der Erpresser zu "befreien".

Viele Einfallstore für Schadcode

Noch höhere Einnahmen locken hingegen bei kommerziellen Flotten wie Lkw, Bussen oder gar hoch spezialisierten Landmaschinen. Zwar geht es im Fahrzeug nicht nur darum, mit einem Kryptotrojaner Daten zu verschlüsseln. Es reicht schon aus, wenn die Malware bestimmte Fahrzeugkomponenten und das Losfahren blockieren kann. Von möglichen Attacken durch Geheimdienste einmal ganz abgesehen.

Doch wie kommt die Schadsoftware in das Auto? Für Wolf ist es nur eine Frage der Zeit, bis Hacker entsprechende Malware für Betriebssysteme wie automobiles Linux oder gar Autosar OS entwickeln. Er nennt gut ein halbes Dutzend Einfallstore für den Schadcode, die die stark vernetzten Autos inzwischen besitzen: aufgerufene Internetseiten mit Drive-by-Downloads; empfangene Nachrichten wie SMS, E-Mails oder sogar DAB+-Radio; angeschlossene Geräte wie Smartphones, Navis oder OBD-II-Stecker; Backends von Herstellern und Zulieferern für Cloud-Dienste oder Software-Updates; vernetzte Drittanbieter wie Versicherungen oder Telematikdienste; angeschlossene Drittgeräte wie Anhänger, Ladestationen oder digitale Tachographen sowie zu guter Letzt Verkehrsinfrastrukturen wie Verkehrsmanagement- und Abrechnungssysteme oder Car-to-X-Anwendungen.

Etliche Schadszenarien denkbar

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. Versicherungskammer Bayern, München

Für sehr viele dieser Schnittstellen gibt es bereits bekannte Sicherheitslücken. Selbst bei so bewährten Protokollen wie dem WLAN-Sicherheitsstandard WPA2 können noch unbekannte Schwachstellen auftauchen. Vom BSI zertifizierte Sicherheitschips können ebenfalls unsicher sein. Wolf befürchtet zudem, dass durch die zunehmende Vernetzung und Standardisierung der Systeme ein solcher Angriff skalierbarer wird. Als Beispiel nennt er eine Sicherheitslücke in der Firmware eines Broadcom-WLAN-Chips, die Millionen Smartphones betroffen habe. Daher könnten solche Zero-Day-Exploits gegen Autosysteme bald auch auf dem Schwarzmarkt auftauchen.

Wolf listet ebenfalls eine ganze Reihe von schädlichen Aktionen auf, die eine Malware auf den Fahrzeugsystemen ausführen könnte. Dazu gehört durchaus die Verschlüsselung interner Fahrzeugdaten, wie es Kryptotrojaner auf Windows-Rechnern machen. Aber auch das Leaken sensibler Daten, die in Fahrzeugen gespeichert sind, könnte eine Bedrohung für die Halter darstellen. Besonders bedrohlich wäre die direkte Manipulation der Autohardware, wie es Hackern in der Vergangenheit schon mehrfach gelungen ist. Das spektakulärste Beispiel dafür war der Hack eines Chrysler Cherokee Jeeps im Jahr 2015 durch Charlie Miller und Chris Valasek. Selbst Hardware-Sicherheitsmodule wie SHE (Secure Hardware Extension) könnten ein Angriffsziel sein.

Ganzheitliches Sicherheitssystem als Zauberwort 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)
  3. 1,24€
  4. 3,99€

Niaxa 25. Okt 2017

Korrigiere mich bitte fals ich mich irre, aber eine Lenkradsperre wird nicht elektronisch...

fuselbaer 25. Okt 2017

Es passiert durchaus bereits jetzt - wird nur nicht so breit gewalzt in der Presse. Der...

fuselbaer 25. Okt 2017

Die Umkehrung gilt allerdings nicht, dass closed Source dadurch automatisch besser ist...

natsan2k 24. Okt 2017

Ich bleib vorerst bei den Modellen um 1995-2000, denn die haben die perfekte Balance...

rofl89 24. Okt 2017

Es ist möglich die Systeme zu trennen. Keine meiner direkten Eingaben führt dazu, dass...


Folgen Sie uns
       


Zenbook Pro Duo - Hands on

Braucht man das? Gut aussehen tut das Zenbook Pro Duo jedenfalls.

Zenbook Pro Duo - Hands on Video aufrufen
Bandlaufwerke als Backupmedium: Wie ein bisschen Tetris spielen
Bandlaufwerke als Backupmedium
"Wie ein bisschen Tetris spielen"

Hinter all den modernen Computern rasseln im Keller heutzutage noch immer Bandlaufwerke vor sich hin - eine der ältesten digitalen Speichertechniken. Golem.de wollte wissen, wie das im modernen Rechenzentrum aussieht und hat das GFZ Potsdam besucht, das Tape für Backups nutzt.
Von Oliver Nickel


    DIN 2137-T2-Layout ausprobiert: Die Tastatur mit dem großen ß
    DIN 2137-T2-Layout ausprobiert
    Die Tastatur mit dem großen ß

    Das ẞ ist schon lange erlaubt, aber nur schwer zu finden. Europatastaturen sollen das erleichtern, sind aber ebenfalls nur schwer zu finden. Wir haben ein Modell von Cherry ausprobiert - und noch viele weitere Sonderzeichen entdeckt.
    Von Andreas Sebayang und Tobias Költzsch

    1. Butterfly 3 Apple entschuldigt sich für Problem-Tastatur
    2. Sicherheitslücke Funktastatur nimmt Befehle von Angreifern entgegen
    3. Azio Retro Classic im Test Außergewöhnlicher Tastatur-Koloss aus Kupfer und Leder

    Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
    Doom Eternal angespielt
    Die nächste Ballerorgie von id macht uns fix und fertig

    E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

    1. Sigil John Romero setzt Doom fort

      •  /