Hacker fordern: Autohersteller müssen Sicherheit verbessern

Im Rahmen der Konferenz Defcon in Las Vegas hat sich eine Gruppe von Hackern und Sicherheitsforschern an Autohersteller gewandt. Sie fordern in einem offenen Brief verbesserte Cyber-Sicherheit in aktuellen In-Car-Systemen.

Vor einem Jahr hat sich die Gruppierung unter dem Namen “I Am The Cavalry” gegründet. Wie sie selbst mitteilt, unterscheidet sie sich von anderen Aktivisten dadurch, dass sie mit Herstellern zusammenarbeiten und nicht nur durch Veröffentlichung von Sicherheitslücken sie zum Handel zwingen will.

“Moderne Fahrzeuge sind Computer auf Rädern, zunehmend vernetzt und durch Software sowie Embedded-Geräte kontrolliert”, heißt es in dem Brief, der sich an CEOs von Autoherstellern wendet. “Neue Techniken gehen aber mit neuen Arten von Unfällen und auch Feinden einher, die antizipiert und proaktiv angegangen werden müssen. Bösartige Angreifer, Software-Fehler und Fragen der Privatsphäre sind mögliche unbeabsichtigte Folgen des innovativen Einsatzes von Computertechnik.”

Die Gruppe hat fünf Maßnahmen erarbeitet: erstens ein standardbasiertes Software-Entwicklungsprogramm, zweitens Kollaboration mit Dritten, beispielsweise Sicherheitsforschern; drittens Integration von Systemen in der Art einer Black Box, die Vorgänge für den Fall eines Zwischenfalls aufzeichnen.

Als vierten Punkt nennen sie, dass Sicherheitsaktualisierungen ohne Rückruf des Fahrzeugs möglich sein sollten. Die letzte Maßnahme sieht vor, dass diejenigen Computersysteme physikalisch isoliert werden, die für kritische Funktionen wie Bremsen, Airbags oder Steuerung nötig sind. Sie sollten – anders als bisher weitgehend praktiziert – nicht auf der gleichen Hardware laufen wie mit dem Internet verbundene Infotainment-Systeme.

“Wenn Systeme sich Speicher, Rechenkraft oder Schaltkreise teilen, wie in den meisten Autos der aktuellen Generation, sind sie eine Gefahr für Leib und Leben”, schreibt The Cavalry. “Solche Risiken lassen sich vermeiden und verdienen stärkere Berücksichtigung.”

Zwei Vertreter der Gruppe fassten die Aktivitäten auf Defcon zusammen. Joshua Corman, CTO von Sonatype, und Nicholas J. Percoco, Vizepräsident bei Rapid7. Sie wiesen zudem auf über Autos hinausgehende Aktivitäten in den Bereichen Medizin, Heimelektronik und öffentliche Infrastrukturen hin. Die Gruppe erklärte darüber hinaus auf einer Website, dass es sich bei der Durchdringung des Alltags durch Technik gehe es zunehmend nicht mehr um die Frage “Können wir das tun?” sondern “Sollen wir das tun?”.

Eine andere Haltung gegenüber der Autoindustrie verfolgen etwa die Sicherheitsforscher Charlie Miller und Chris Valasek, die letzte Woche Ergebnisse zu Funknetz-Angriffen auf 24 Autotypen vorlegten. Als besonders leicht zu hacken stuften sie die Modelle 2014 von Infiniti Q50 und Jeep Cherokee sowie das Modell 2015 des Cadillac Escalade ein, darunter waren also zwei Fahrzeuge von US-Herstellern. Miller erklärte dazu gegenüber Reuters: “Sie sagen, sie wüssten, was sie tun. Aber alle Fakten deuten in die andere Richtung.”

“Cyber-Sicherheit zählt zu den obersten Prioritäten der Branche, und wir arbeiten beständig an Verbesserungen”, erklärt beispielsweise die Auto Alliance, zu deren Mitgliedern BMW, Chrysler, Ford, Jaguar und VW zählen. “Fahrzeug-Ingenieure integrieren Sicherheitslösungen schon von den ersten Stufen des Designs und der Produktion an, und ihre Tests hören nie auf.” Konkret wollte sich ihr Sprecher allerdings vorerst nicht zu den fünf Forderungen des offenen Briefes von The Cavalry äußern.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.