Werbung
Werbung

Cybersecurity im Fahrzeug: Aber sicher doch – oder?

Das Fahrzeug als IoT – gerade kocht das Thema Cybersecurity im Fahrzeug hoch. So hoch, dass erstmals Hersteller deshalb Modelle aus dem Programm nehmen. Wir haben bei einem unabhängigen Experten nachgefragt. (Von Gregor Soller)

Hacker respektive die Cybersicherheit werden auch in Fahrzeugen und Flotten immer mehr zum Thema. Bild: Guerrillabuzz/Unsplash
Hacker respektive die Cybersicherheit werden auch in Fahrzeugen und Flotten immer mehr zum Thema. Bild: Guerrillabuzz/Unsplash
Werbung
Werbung
Gregor Soller

Die Fahrzeuge als „Computer auf Rädern“ bieten ganz neue Service- und Updatemöglichkeiten, im Idealfall sogar „over the air“, sind aber eben auch ein Teil des Internets der Dinge (IoT). Hier wird das Thema Cybersecurity immer virulenter. Wir haben uns mit einer der Koryphäen auf dem Gebiet unterhalten. Im Laufe unserer Recherchen haben sich die Wege der Redaktion und von Thomas R. Köhler, einem Technologieexperten mit Fokus auf Cybersicherheit, künstliche Intelligenz (KI) und Mobility-Themen, schon des Öfteren gekreuzt. Als er uns anbot, ihn gern mit speziellen Fragen zu löchern, warteten wir nicht lange und hakten nach. Nachdem er auch ein Buch über KI am Start hat, schickte er uns für das Interview auch gleich ein entsprechendes „Portraitfoto“ mit. Hier hat er zum Spaß sein eigenes reales Konterfei in die Welt von „Barbie“ respektive „Ken“ übertragen lassen und verraten, dass es durchaus noch einiger Anläufe bedurft habe, bis ein seiner Meinung nach perfekter „Ken Köhler“ entstand.

Die Autoindustrie adaptiert immer mehr Apps und Programme in die Onboard-Connectivity – stellt das nicht ein zusätzliches Einfalltor für Cybersecurity dar?

Thomas R. Köhler: Jede Art von Softwareeinsatz in Verbindung mit externer Konnektivität erhöht das Risiko für erfolgreiche Cyberangriffe. Moderne Fahrzeuge sind aus Cybersecurity-Sicht nicht anders zu sehen als andere „vernetzte Geräte“ im Internet der Dinge.

Weitere Einfallstore bietet die Car2X-Kommunikation. Wie kann man sicherstellen, dass man sich nicht an einem Ladepunkt oder in der Werkstatt einen Datenvirus einfängt?

Werkstattsysteme sind typischerweise geschlossene, besonders gesicherte Systeme, schließlich wollen die OEMs nicht, dass an den Werkstätten vorbei auf Fahrzeuge zugegriffen wird, um etwa Funktionen illegal freizuschalten. Daher sind diese Gerätschaften besonders gesichert. Einen Fall einer Virusinfektion an einem Ladepunkt hatten wir noch nicht, dennoch muss man hier genau hinsehen, denn viele der angebotenen Wallboxen und Abrechnungssysteme sind chronisch unsicher.

Als Verwaltungsrat beim Ladetechnologieanbieter Juice Technology habe ich daran mitgewirkt, dass das Thema aus Infrastruktursicht auf die Tagesordnung kommt. Unser Video dazu, vom Juice World Charging Day 2021, hat nicht nur fast 25.000 Aufrufe – eine Menge für ein so spezielles Thema –, sondern auch mit dazu geholfen, die Branche aufzuwecken.

Gleichzeitig erheben die Fahrzeuge selbst immer mehr Daten. Wie kann ich mich davor schützen, dass diese in falsche Hände gelangen?

Vor kurzem hat der Browserhersteller Mozilla hier eine Studie vorgestellt, die zu erschütternden Ergebnissen kam. Das Fazit dort: Die Autobranche wiederholt im Prinzip das, was die großen Anbieter von Social Media und Onlinewerbung seit Jahren machen – raffen an Nutzerdaten, was geht. Die eigentliche Gefahr ist, dass diese Daten irgendwann gegen den Nutzer verwendet werden, etwa zur Abwehr von Garantieansprüchen. Dass dies keine Science-Fiction ist, zeigt unter anderem ein bereits 2008 bekannt gewordener Fall. Beim Nissan GT-R Sportwagen wurde – zumindest in Japan – nach einer Benutzung auf einer Rennstrecke stets eine Inspektion notwendig, das Auto hatte hier im Zweifel – dank Auswertung von GPS-Daten – den Eigner „verpetzt“ (nachzulesen unter nebenstehendem QR-Code). Auf Ähnliches müssen wir uns auch in Zukunft einstellen. Was passieren kann, wenn etwa vom Auto erhobene Gesundheitsdaten an Dritte „durchsickern“, ist damit noch vollkommen offen. Grundlegend gilt: Was nicht gesammelt wird, kann auch nicht wegkommen und missbraucht werden. Die gute Nachricht: In der EU greift die Datenschutzgrundverordnung und daher sieht es grundlegend besser aus. Zumindest derzeit noch. Aktuelle von der EU getriebene Gesetzgebungsverfahren sorgen für immer mehr Datenentstehung, so sind etwa ab Mitte 2024 eine Reihe von Funktionen, von der Rückfahrkamera über eine Blackbox bis zur Vorrüstung für eine Atemalkohol-Wegfahrsperre, für alle Neuwagen vorgeschrieben. Die Branche selber fördert etwa über die „Alliance for Automotive Innovation“, in der zahlreiche Autohersteller und Zulieferer von BMW über Ferrari und Stellantis bis Volkswagen vertreten sind, Systeme für das „Driver Monitoring“. Was nichts weniger bedeutet, als dass in Zukunft Kameras auch in den Innenraum blicken. Das Missbrauchspotential ist enorm.

Die weltweite Sicherheitslage entwickelt sich aktuell tendenziell immer bedrohlicher und digitale Kriegsführung wird immer wichtiger. Wie sicher sind hier unsere Smart Homes, Fahrzeuge, Ladepunkte und oder Kraftwerke und wo herrschen Ihrer Erfahrung nach die größten Lücken (Stichwort altes Röntgengerät in einem NRW-Krankenhaus …)?

Immer wieder beobachten wir weltweit Angriffe auf kritische Infrastrukturen, sei es Finanzeinrichtungen, Logistik oder eben Energieversorgung. So war binnen weniger Wochen im November sowohl die US-Tochter der mächtigen Industrial Bank of China als auch der wichtigste australische Hafenbetreiber über Tage lahmgelegt. Das Problem der Zukunft wird aber wohl die Energieversorgung sein. Energieversorger denken bei ihren Infrastrukturen an Jahrzehnte. Schnelle Updates – die etwa aus Sicherheitsgründen notwendig werden können – sind da eher nicht vorgesehen. Hinzu kommt, dass die Vernetzung der Energieanlagen – von der lokalen Erzeugung über vernetzte Verbraucher, insbesondere die Ladeinfrastrukturen für Elektroautos – anfällig für Attacken sind, auch weil ein Großteil der Akteure in diesem Bereich aus dem Kabel- und Steckerbusiness kommt und von der immer wichtiger werdenden Software- und Securitykomponente nichts versteht. Hier gibt es dringenden Nachholbedarf, an dem ich selbst seit Jahren intensiv arbeite.

Buch: Business 5.0

„Business 5.0“ ist nach „Chefsache Metaverse“ das zweite Buch, das Thomas R. Köhler mit Co-Autorin Julia Finkeissen verfasste. Es befasst sich sehr konkret mit dem Einsatz und der Implementierung von KI in der Wirtschaftswelt. Wir erhielten bereits vorab ein Rezensionsexemplar und wunderten uns einmal mehr über den scheinbaren Widerspruch, ein Digitalthema in Print abzubilden. Doch hier haben die Autoren ihre Stärken als Erklärer, die das Thema zu Beginn historisch herleiten und dann über die großen Strömungen an Ende zu konkreten Anwendungs- und Implementierungsfällen kommen. Thomas R. Köhler und Julia Finkeissen liefern dabei eine Bestandsaufnahme der aktuellen Technologien und trennen kritisch Hypes von Wirklichkeit. Business 5.0 macht in sieben Schritten Vorschläge, wo und wie KI-Projekte im Unternehmen etabliert werden können, und liefert konkrete Beispiele für unterschiedliche Branchen und Querschnittsfunktionen – wahrt dabei aber immer die Distanz des kritischen Beobachters. Der Text ist so flüssig, klar und spannend verfasst, dass man ihn tatsächlich auch als Sofa- oder gar Bettlektüre lesen kann, wenn man bereits den ganzen Tag digital unterwegs war und sich vielleicht schon „live“ mit KI befasst hat. (Erschienen im Campus Verlag unter ISBN 9783593518671 als hochwertiges Hardcover für 42 Euro.)

Zur Person

Thomas R. Köhler ist Technologieexperte mit Fokus auf Cybersicherheit, KI und Mobility-Themen. Er ist tätig als Forscher (u.a. Research Professor an der Hankou Universität in Wuhan, China), außerdem arbeitet er als Berater, Autor und Keynote-Sprecher, zudem ist er Verwaltungsrat und Vorstand „Nordics“ bei Juice Technology sowie Patentinhaber Cybersicherheit zum Thema „sichere Übertragung“. Färben die vielen Arbeitgeber da nicht auf die Meinung ab? Nein, Köhler bat uns, explizit dazuzuschreiben, dass „die hier geäußerten Meinungen und Ansichten seine eigenen sind und nicht die eines Unternehmens, für das er tätig ist“.

Neue UNECE-Regeln für Cybersecurity ab 1.7.2024

Die „United Nations Economic Commission for Europe“ (UNECE), die für Europa zuständige Wirtschaftskommission innerhalb der Vereinten Nationen, verabschiedete im Sommer 2020 ein neues Regelwerk, das Automobilherstellern klare und international harmonisierte Anforderungen in Bezug auf die IT-Sicherheit und Software-Updates ihrer Produkte vorgibt. Die neuen Regularien legen für die Automobilhersteller klare Leistungs- und Audit-Anforderungen für IT-Sicherheit und Software-Updates von Fahrzeugen fest. Sie sind die ersten international harmonisierten und verbindlichen Normen überhaupt in diesem Bereich. Diese Regeln gelten seit Juli 2022 für neu auf den Markt gebrachte Baureihen und ab Juli 2024 für alle ab diesem Zeitpunkt hergestellten Neufahrzeuge und umfassen grundsätzlich vier Bereiche:

1. Die gesamte Fahrzeugflotte muss Cyberangriffe erkennen und abwehren können.

2. Sichere Software-Updates müssen bereitgestellt und eine Rechtsgrundlage für Over-the-Air-Updates muss eingeführt werden.

3. Bereits bei der Entwicklung muss die Fahrzeug-IT so umfassend abgesichert werden, dass Risiken entlang der Wertschöpfungskette gemindert werden.

4. Das Regelwerk fordert zudem ein Management der Cyberrisiken für Fahrzeuge.

Das hat interessanterweise vor allem beim VW-Konzern zu einem kleinen „Streichkonzert“ geführt, erstmals in der Geschichte wurden Autos wegen mangelnder Cybersecurity eingestellt oder vom Markt genommen. VW stimmte das „Konzert“ mit dem Up sowie e-Up an: Der eher margenschwache und intern deshalb ungeliebte geniale Kleinwagen kam bereits seit 2011 – für ihn hätte sich ein „Update“ nicht mehr gelohnt. Etwas erstaunt war man dann, als Porsche deshalb den aktuellen Macan aus dem Programm strich. Auch hier ist der Grund die mittlerweile ebenfalls angejahrte MLB-Plattform, die man sich mit Audi teilt. Interessant: Während Porsche angibt, dass der aktuelle modulare Längsbaukasten die neuen Vorgaben nicht mehr erfüllt und deshalb nicht mehr aktualisiert wird, erklärt Audi, dass der eng verwandte Q5 auf der „MLB evo“ stünde und nicht betroffen sei. Laut Recherche unserer Kollegen von „Auto Motor und Sport“ habe Audi ein „bereichsübergreifendes Projektteam“ aufgesetzt, das laut einem Audi-Sprecher „die reibungslose und termingerechte Vorbereitung und Umsetzung aller notwendigen Maßnahmen für die Umstellung auf die UNECE zur Aufgabe hatte“. Darunter war auch der Aufbau je eines „Cybersecurity Management Systems“ und eines „Software Update Management Systems“ gemäß den Vorgaben der Regelungen. Die Porsche-Modelle, die außerhalb der EU angeboten werden, seien nicht betroffen, weshalb der Verbrenner-Macan in Leipzig noch bis 2026 weiter gefertigt werden könne.

◂ Heft-Navigation ▸

Artikel Cybersecurity im Fahrzeug: Aber sicher doch – oder?
Seite 66 bis 68 | Rubrik konnektivität
Werbung
Werbung