Fahrzeugsicherheit: Wenn das Auto seinen Fahrer erpresst

Die Autokonzerne haben die zentrale Bedeutung des Themas IT-Sicherheit erkannt. Das Szenario einer Ransomware-Attacke zeigt jedoch, wie schwer alle Schwachstellen zu beheben sind.

Ein Bericht von veröffentlicht am
So könnte eine Erpressernachricht auf einem Autobildschirm aussehen.
So könnte eine Erpressernachricht auf einem Autobildschirm aussehen. (Bild: Marko Wolf/Escrypt)

Dass ein Auto beim Losfahren nicht gleich anspringt, kann viele verschiedene Ursachen haben. Für Marko Wolf könnte demnächst noch eine bislang unbekannte hinzukommen. Den versammelten Autoingenieuren demonstrierte der Sicherheitsexperte der Bosch-Tochterfirma Escrypt am vergangenen Mittwoch auf dem VDI-Kongress ELIV in Bonn, wie sich Hacker mit Tools aus dem Darknet eine solche Ransomware-Attacke zusammenbasteln und die Autofahrer erpressen könnten. Auch wenn es in der Realität einen solchen Angriff bislang noch nicht gegeben hat: Die Autokonzerne stehen vor der großen Herausforderung, bei vernetzten Autos die IT-Sicherheit künftig über die gesamte Lebensdauer von 20 Jahren oder mehr zu garantieren. Die Autos dürfen zwar durchrosten, sollen sich aber bis zu ihrer Verschrottung nicht hacken lassen.

Inhalt:
  1. Fahrzeugsicherheit: Wenn das Auto seinen Fahrer erpresst
  2. Ganzheitliches Sicherheitssystem als Zauberwort
  3. Angriffe schon bei der Vorbereitung erkennen

Wolf hat die Ransomware-Attacke à la Wanna Cry mit Bedacht gewählt. Denn kriminelle Hacker oder staatliche Akteure mit Devisenbedarf benötigen in der Regel ein Geschäftsmodell, um mit einem Angriff auch Geld einnehmen zu können. Nach Ansicht Wolfs könnten selbst Privatnutzer bereit sein, ein geringes Lösegeld in Bitcoins zu zahlen, um ihr Auto wieder aus der Hand der Erpresser zu "befreien".

Viele Einfallstore für Schadcode

Noch höhere Einnahmen locken hingegen bei kommerziellen Flotten wie Lkw, Bussen oder gar hoch spezialisierten Landmaschinen. Zwar geht es im Fahrzeug nicht nur darum, mit einem Kryptotrojaner Daten zu verschlüsseln. Es reicht schon aus, wenn die Malware bestimmte Fahrzeugkomponenten und das Losfahren blockieren kann. Von möglichen Attacken durch Geheimdienste einmal ganz abgesehen.

Doch wie kommt die Schadsoftware in das Auto? Für Wolf ist es nur eine Frage der Zeit, bis Hacker entsprechende Malware für Betriebssysteme wie automobiles Linux oder gar Autosar OS entwickeln. Er nennt gut ein halbes Dutzend Einfallstore für den Schadcode, die die stark vernetzten Autos inzwischen besitzen: aufgerufene Internetseiten mit Drive-by-Downloads; empfangene Nachrichten wie SMS, E-Mails oder sogar DAB+-Radio; angeschlossene Geräte wie Smartphones, Navis oder OBD-II-Stecker; Backends von Herstellern und Zulieferern für Cloud-Dienste oder Software-Updates; vernetzte Drittanbieter wie Versicherungen oder Telematikdienste; angeschlossene Drittgeräte wie Anhänger, Ladestationen oder digitale Tachographen sowie zu guter Letzt Verkehrsinfrastrukturen wie Verkehrsmanagement- und Abrechnungssysteme oder Car-to-X-Anwendungen.

Etliche Schadszenarien denkbar

Stellenmarkt
  1. IT-Manager/in (m/w/d) für die Geschäftsstelle des Landesportals ORCA.nrw
    Ruhr-Universität Bochum, Bochum
  2. Senior Software-Entwickler C# / .NET (m/w/d)
    ERWEKA GmbH, Langen
Detailsuche

Für sehr viele dieser Schnittstellen gibt es bereits bekannte Sicherheitslücken. Selbst bei so bewährten Protokollen wie dem WLAN-Sicherheitsstandard WPA2 können noch unbekannte Schwachstellen auftauchen. Vom BSI zertifizierte Sicherheitschips können ebenfalls unsicher sein. Wolf befürchtet zudem, dass durch die zunehmende Vernetzung und Standardisierung der Systeme ein solcher Angriff skalierbarer wird. Als Beispiel nennt er eine Sicherheitslücke in der Firmware eines Broadcom-WLAN-Chips, die Millionen Smartphones betroffen habe. Daher könnten solche Zero-Day-Exploits gegen Autosysteme bald auch auf dem Schwarzmarkt auftauchen.

Wolf listet ebenfalls eine ganze Reihe von schädlichen Aktionen auf, die eine Malware auf den Fahrzeugsystemen ausführen könnte. Dazu gehört durchaus die Verschlüsselung interner Fahrzeugdaten, wie es Kryptotrojaner auf Windows-Rechnern machen. Aber auch das Leaken sensibler Daten, die in Fahrzeugen gespeichert sind, könnte eine Bedrohung für die Halter darstellen. Besonders bedrohlich wäre die direkte Manipulation der Autohardware, wie es Hackern in der Vergangenheit schon mehrfach gelungen ist. Das spektakulärste Beispiel dafür war der Hack eines Chrysler Cherokee Jeeps im Jahr 2015 durch Charlie Miller und Chris Valasek. Selbst Hardware-Sicherheitsmodule wie SHE (Secure Hardware Extension) könnten ein Angriffsziel sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Ganzheitliches Sicherheitssystem als Zauberwort 
  1. 1
  2. 2
  3. 3
  4.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Fahrzeugsicherheit
Kartendienst Here kauft Anbieter für Online-Updates
artikel-bild
Auto
Subaru-Funkschlüssel lässt sich einfach klonen
artikel-bild
Fahrzeugsicherheit
Forscher hacken komplette Lenkung über CAN-Bus
artikel-bild
Auto-Hacking
Kritik an Sicherheitsupdates per Post
artikel-bild
Security
Die Gefahr der vernetzten Autos
Meistgelesen
artikel-bild
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!
artikel-bild
5.000 Dollar Belohnung
Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
artikel-bild
Hauptuntersuchung
Tesla Model S beim TÜV nur knapp vor Verbrennern von Dacia
artikel-bild
Framework Laptop im Test
Das wird unser nächstes reparierbares Arbeits-Notebook
artikel-bild
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Kommentarübersicht
Re: Lustige Szenarien. Lenkradsperre bei 250 KM/H
Niaxa 25. Okt 2017

Korrigiere mich bitte fals ich mich irre, aber eine Lenkradsperre wird nicht elektronisch...

Re: Panik
fuselbaer 25. Okt 2017

Es passiert durchaus bereits jetzt - wird nur nicht so breit gewalzt in der Presse. Der...

Re: Verbraucher bleibt dabei nur zu hoffen, dass...
fuselbaer 25. Okt 2017

Die Umkehrung gilt allerdings nicht, dass closed Source dadurch automatisch besser ist...

Re: Klassische Autos - Eine Marktlücke
natsan2k 24. Okt 2017

Ich bleib vorerst bei den Modellen um 1995-2000, denn die haben die perfekte Balance...

Re: Oder gleich sicher designen
rofl89 24. Okt 2017

Es ist möglich die Systeme zu trennen. Keine meiner direkten Eingaben führt dazu, dass...

Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. Wochenrückblick: Zu viele Zertifikate
    Wochenrückblick
    Zu viele Zertifikate

    Golem.de-Wochenrückblick Zu viele Impfzertifikate und zu lange Kündigungsfristen: die Woche im Video.

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. FTTH: Liberty Network startet noch mal in Deutschland
    FTTH
    Liberty Network startet noch mal in Deutschland

    Das erste FTTH-Projekt ist gescheitert. Jetzt wandert Liberty von Brandenburg nach Bayern an den Starnberger See.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB 1.499€ • iPhone 13 Pro 512GB 1.349€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen • One Plus Nord 2 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /