Auf unbekanntem Terrain

Sicherheit & Privatsphäre, Vernetztes Leben

Drei wichtige Fragen nach dem medienwirksamen und spektakulären Hack eines Jeep Cherokee

Wired.com berichtete am 21. Juli über eine schockierende, aber letztlich kaum überraschende Story. Ein Reporter fuhr mit seinem Jeep auf der Autobahn, als plötzlich seltsame Dinge geschahen. Zuerst gingen das Gebläse und Radio aus und später kam das ganze Auto zum Stillstand. Auf der Autobahn! Andy Green hatte nicht mehr die Kontrolle über das Fahrzeug. Es wurde aus der Ferne von zwei Hackern, Charlie Miller und Chris Valasek, gesteuert, Meilen entfernt vom Auto. Sie hatten dazu das Auto nicht manipuliert und nicht einmal berührt. Alles erfolgte per Remote-Verbindung zum Fahrzeug, wobei  sie eine Schwachstelle in der bordeigenen Software ausnutzten. Eine Autobahn ist natürlich nicht der sicherste Ort für diese Art von Demonstration, so dass sie die Manipulation von Lenkung und Bremse(!) auf einem Parkplatz fortsetzten.

Beängstigend? Auf jeden Fall! Dies ist eine großartige Demonstration der Sicherheitsproblematik, die mit dem Trend zum Internet der Dinge Trend (IoT) einhergeht. Alles, was mit dem Netz verbunden ist, kann theoretisch auch gehackt und aus der Ferne für eigene Zwecke missbraucht werden. Das Internet der Dinge wird in der Regel mit „intelligenten“ Geräten wie Toaster und Kühlschrank verbunden, aber in einem neuen Auto, das heute ebenfalls oft mit dem Internet verbunden ist, steckt natürlich auch sehr viel IoT. Und ein gehacktes Auto ist viel schlimmer als ein gehackter Kühlschrank. Richten wir den Blick also darauf, welche grundlegenden Fragen dieser Hack aufwirft.

Wie kann das möglich sein?

Wenn es um Sicherheit geht, denken die Automobilhersteller seit Jahrzehnten nur an Deformationszonen und Airbags. Spätestens jetzt müssen sie sich auch mit digitaler Sicherheit beschäftigen. Es gibt zweifellos Anstrengungen in diesem Bereich, aber der jüngste Jeep-Zwischenfall zeigt, dass immer noch eine Menge Nachholbedarf besteht. Dies bedeutet nicht nur zu verhindern, dass ein solcher Vorfall erstmalig geschieht. Kein System ist perfekt und daher gilt es auch kontinuierlich Schwachstellen in den Griff zu bekommen. Ein Update für das Problem wurde erstellt, aber das Patchen des Fahrzeugs erfordert einen Besuch beim Autohändler. Also wie wenn Sie Ihren Computer in den Laden bringen müssten, wenn das nächste Windows-Update ansteht. Dies unterstreicht, dass es bei digitaler Sicherheit um mehr als nur Design und Qualitätskontrolle geht. Es geht auch um die Reaktion auf Vorfälle und Wartungsprozesse. Guten Morgen Automobilhersteller und willkommen in der Welt der digitalen Sicherheit! Es gibt eine Menge zu lernen.

O.k. – es ist möglich, aber warum?

Wir sind jetzt in der „Wow! Das ist wirklich möglich!“-Stufe. Der nächste Schritt wird sein, „O.k., aber wozu kann dies eingesetzt werden?“ Es gibt spektakuläre Spekulationen in den Medien, wie lebensgefährlich gehackte Autos sein könnten. Das mag technisch möglich sein, ist aber bisher noch nie passiert. Hacker und Virenschreiber handeln oft aus Neugier und spielen „Streiche“, nur weil es möglich ist. Aber das war in den achtziger und neunziger Jahren. Geld verdienen und das Sammeln von Informationen sind hingegen die Motive für die heutigen Cyber-Kriminellen und -Spione. Ein Auto von einer Klippe stürzen zu lassen, entspräche nicht diesen Zielen, aber ist schlagzeilenträchtig. Ein Auto elektronisch zu versperren und es nur gegen Lösegeld zu öffnen, ist jedoch ein plausibleres Szenario. Das Abhören des Freisprechmikrofons ist ein weiteres. Oder einfach nur die elektronische Entriegelung, damit es dann gestohlen werden kann. Wie auch immer, die Moral von der Geschichte ist, dass beängstigende Schlagzeilen, was Hacker alles mit Autos anstellen können, meist eher als Hype zu werten sind. Die Bedrohung wird zukünftig ganz anders aussehen. Bleibt zu hoffen, dass die Automobilhersteller gemeinsam handeln, bevor diese Bedrohung zu einem echten Problem wird.

Sollte ich mir Sorgen machen?

Nein, eher nicht, es sei denn, Ihr Job ist es, Software für Fahrzeuge zu entwickeln. Die aktuellen Schlagzeilen sind sehr wichtig als Weckrufe für die Autoindustrie, aber haben sehr wenig Einfluss auf den normalen Verbraucher. Erste Zwischenfälle, wie im Fall dieses Jeeps, sollten künftig von den Händlern mittels Update behoben werden können. Aber es ist klar, dass dies auf lange Sicht kein nachhaltiger Prozess ist. Autos sind heute immer mehr wie IT-Geräte, jeder Aktualisierungsvorgang sollte daher vollautomatisch erfolgen. Und der Update-Vorgang muss sehr viel früher erfolgen als das Aufspielen der neuesten Software einmal im Jahr bei der routinemäßigen Fahrzeugwartung. Folglich benötigt jedes Auto, das ans Netz angeschlossen ist, einen automatischen Update-Prozess.

Aber was ist mit Hackern, die das Fahrzeug an den Rand der Klippe – und darüber hinaus – steuern könnten? Unwahrscheinlich, denn sie haben kein Motiv, Otto-Normal-Fahrer in den Abgrund zu schicken. Entscheidend ist aber, ob es möglich wäre. Die Automobilhersteller mögen noch unerfahren mit Hacking und IT-Sicherheit sein, aber sie verstehen, dass jedes technische System fehlerhaft sein kann. Deshalb sind die Fahrzeuge mit Sicherheitsvorkehrungen auf Hardwareebene versehen. Die Jeep-Hacker konnten das Auto aus der Ferne nur mit geringer Geschwindigkeit steuern. Das ist logisch,  denn die elektronisch gesteuerte Lenkung dient für die Einparkhilfe, nicht für Autobahnfahrten. Die Deaktivierung dieser Funktion ab einer bestimmten Drehzahl-/Temposchwelle ist aus sicherheitstechnischer Sicht daher sinnvoll. Auf der anderen Seite könnte man sich mehrere Szenarien vorstellen, die trotz niedriger Geschwindigkeit kritisch sein könnten für Leib und Leben. Die Hacker könnten den Tacho manipulieren, um eine falsche Geschwindigkeit anzuzeigen. Was ist, wenn die falsche Geschwindigkeit genau von dem System erfasst wird, das eigentlich geschwindigkeitsabhängig die elektronische Lenkung deaktivieren soll?

Die Verbreitung des selbstfahrenden Autos in großem Stil ist immer noch Science-Fiction – und dass diese Autos massenhaft gehackt werden, dahin dürfte es für die Hacker noch ein weiter Weg sein. Aber wir sind bereits auf einem Weg, der genau in diese Richtung führt. Einige technologische Irrwege und inkonsequentes Handeln könnten dazu reichen, dass am Ende dieses Problem Realität wird. Die gute Nachricht ist auf der anderen Seite, dass die jüngste Publicity zu diesem Thema dazu beitragen wird, dass das Bewusstsein für digitale Sicherheit bei den Fahrzeugherstellern wächst.

Aber zurück in die heutige Realität. Das Risiko, dass das Auto von einem herabstürzenden Meteoriten getroffen wird, ist höher als der lebensgefährliche Eingriff eines Hackers am Auto. Ganz zu schweigen von all den gewöhnlichen Verkehrsunfällen.

Diesen Beitrag bewerten

0 Bewertungen

0 Kommentare

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Könnte Ihnen ebenfalls gefallen