Security: BSI fordert "Crashtest für Cyber-Sicherheit" in Autos
Das Bundesamt für Sicherheit in der Informationstechnik hat zum Auftakt der Automesse IAA Mobility in München vor Cyber-Angriffen auf vernetzte Autos und die Produktionsanlagen der Hersteller und ihrer Zulieferer gewarnt. Die Behörde legte am Dienstag ihr erstes Branchenlagebild Automotive zur Cyber-Sicherheit in der Branche(öffnet im neuen Fenster) vor. In dem Papier verweisen die BSI-Experten darauf, dass sich die Fahrzeuge immer mehr von einem rollenden Computer hin zu einer voll vernetzten, digitalen Mobilitätsplattform entwickeln. "Dadurch vergrößert sich automatisch die Angriffsfläche für Cyber-Angriffe" , sagte BSI-Präsident Arne Schönbohm.
Computer übernehmen längst zentrale Steuerungsfunktionen und Hersteller arbeiten daran, diese weiter zu zentralisieren . "Wenn Autos mit anderen Autos oder mit der Straßeninfrastruktur vernetzt sind, müssen wir sichergehen können, dass wir beim Fahren vor Manipulationsversuchen Dritter geschützt sind." Cyber-Sicherheit werde dabei genauso wichtig wie funktionierende Bremsen. "Wir brauchen einen Crashtest für Cyber-Sicherheit" , forderte Schönbohm.
Konkret geht das BSI in dem Lagebericht dabei auf einige in der Vergangenheit veröffentlichte Angriffe auf verschiedene Schnittstellen von Autos ein. Dabei konnte etwa das Auto im Bereich eines WLAN von außen geöffnet werden, über Fehler im Infotainmentsystem gelang der Zugriff auf den CAN-Bus des Autos, und es wird darauf verwiesen, dass OBD-Dongles unter Umständen ebenfalls ungewollten Zugriff auf technische Interna ermöglichen. Das BSI weist darüber hinaus darauf hin, dass die für intelligente Fahrsysteme genutzten Machine-Learning-Modelle gezielt manipuliert werden könnten. Dazu reicht es im Zweifel schon, Verkehrsschilder abzukleben.
Ransomware bei Zulieferern und Herstellern
In dem Report analysiert des BSI auch die Bedrohungslage in der Herstellung. Dabei befürchtet die Behörde, dass unzureichend geprüfte oder manipulierte Hard- oder Software die Sicherheit des Autos einschränkt, wenn dies im Produktionsprozess nicht rechtzeitig erkannt wird. Angreifer hätten dabei nicht nur die Autohersteller selbst ins Visier genommen, sondern auch deren Zulieferer.
Schönbohm erinnerte daran, dass in diesem Jahr bereits mehrere Zulieferer von Ransomware-Vorfällen betroffen waren. Bei diesen Attacken werden mit Schadprogrammen die Datenbestände eines Unternehmensnetzwerks verschlüsselt, um die Firmen zur Zahlung eines Lösegeldes für die Entschlüsselung zu erpressen. Dabei sei es zu massiven Unterbrechungen der Leistungserbringung gekommen, sagte der BSI-Präsident. Darüber hinaus fließen dabei auch immer wieder Daten ab, die eventuell für weitere Angriffe genutzt werden können.
"Ein Ransomware-Angriff ist immer auch eine Bedrohung für die Verfügbarkeit von kritischen Prozessen. Fällt ein Zulieferer aus, kann der gesamte Produktionsprozess zum Stillstand kommen." Dadurch könnten immense wirtschaftliche Schäden entstehen. "Cyber-Sicherheit muss daher immer auch die gesamte Lieferkette umfassen" , forderte Schönbohm.
Als konkrete Maßnahme, um die Sicherheit in Autos zu erhöhen, arbeitet das BSI eng mit dem Kraftfahrtbundesamt zusammen. Daraus entstehen derzeit zwei technische Richtlinien, die die vernetzte Kommunikation regeln sollen. Die Behörde arbeitet außerdem an einem "Leitfaden für Penetrationstests für vernetzte Fahrzeuge, der von Behörden, Prüfstellen und Unternehmen genutzt werden kann" . Der Leitfaden soll noch in diesem Jahr fertiggestellt werden.
- Anzeige Hier geht es zu Echo Auto 2 bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.