Erweiterte Suche

Verkehr & Smart Mobility

Auto-Software

Cybersicherheitsrisiko auf vier Rädern?

Das Auto ist längst vollvernetzt und digital. Doch die viele Software im Fahrzeuge birgt erhebliche Cybersicherheitsrisiken. Versicherungsunternehmen sehen gerade Langzeitrisiken mit Sorge. Doch wie kann das Auto cybersicher werden?

Paul Dalg

von Paul Dalg

veröffentlicht am 09.05.2022

aktualisiert am 23.11.2022

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Anfang des Jahres wird David Colombo in der IT-Sicherheitsszene kurzzeitig zu einer kleinen Berühmtheit: Der 19-Jährige aus dem verschlafenen Dinkelsbühl in Bayern findet zufällig in der Drittanbieter-App „TeslaMate“ eine kritische Sicherheitslücke. Über die Lücke hackt sich Colombo weltweit in 25 Fahrzeuge der Marke Tesla. Er übernimmt die Türsteuerung, die Hupe, die Steuerung des Autoradios – alles über das Internet von seinem heimischen PC aus. Der Erfolg von Colombo zeigt zwei Dinge: Einerseits, wie ein Nachwuchstalent den Fund einer IT-Sicherheitslücke öffentlichkeitswirksam platziert, um für das eigene Start-up zu werben. Anderseits, wie verwundbar die Software in modernen Fahrzeugen ist und wie Sicherheitslücken an dieser Stelle zu immensen gesellschaftlichen Risiken führen könnten.

Cybersicherheitsvorfälle bei Autos: Tendenz stark steigend

Dass Sicherheitslücken in Fahrzeugen gezielt gesucht und manipuliert werden, ist kein Einzelfall. Das auf den Automobilsektor spezialisierte Unternehmen Upstream Security analysiert jährlich weltweit öffentlich bekannt gewordene Cybersicherheitsvorfälle in der Branche. Im Global Automotive Cybersecurity Report 2022 listet das israelische Start-up mehr als 900 Cybersicherheitsvorfälle auf, ein Wachstum von 225 Prozent im Vergleich zu 2018. Für einen Cyberangriff auf ein Fahrzeug vor Ort sein müssen nur noch die wenigsten Hacker:innen: In mehr als 85 Prozent der Fälle wurde der Zugriff auf die Fahrzeugsysteme über eine digitale Verbindung hergestellt, heißt es im Report.

Das hat auch mit der Verbreitung der modern vernetzten Automobile zu tun. Laut Statista sollen im Jahr 2025 weltweit mehr als 400 Millionen mit dem Internet verbundene Fahrzeuge unterwegs sein, das Marktforschungsunternehmen Juniper Research geht von bis zu 775 Millionen Autos aus.

„Es wird keine Sicherheit ohne IT-Sicherheit geben“

Am Allianz Zentrum für Technik nahe München forscht Natallia Dziamchuk bereits seit vielen Jahren zum Thema Cybersicherheit vernetzter Fahrzeuge. Die IT-Expertin und Elektrotechnikerin prüft für die Versicherung mögliche Angriffsszenarien auf Fahrzeug-Schnittstellen und nimmt Innovationen wie den virtuellen Fahrzeugschlüssel unter die Lupe, bei dem das Smartphone als Ersatz für einen konventionellen Autoschlüssel genutzt wird. „Es wird keine Sicherheit ohne IT-Sicherheit geben“, erklärt Dziamchuk vergangene Woche in einem Vortrag.

Das Problem: Heutige Fahrzeuge nutzen zahlreichen Schnittstellen wie Bluetooth oder WLAN. Permanent werden Daten via Satellit oder Mobilfunk von Servern des Autoherstellers für die Nutzung bestimmter digitaler Dienste abgerufen. Die Vielseitigkeit der Systeme bietet eine große Angriffsfläche für Cyberkriminelle. Auch die Ladeinfrastruktur oder digitale Schlüsselsysteme bieten Einfallstore für Kriminelle. „Die Angriffsszenarien, die sich bei der Cybersicherheit vernetzter Fahrzeuge ergeben, sind überaus komplex und nicht mit Patentlösungen zu bewältigen“, sagt Dziamchuk im Gespräch mit Tagesspiegel Background.

Die IT-Sicherheit schwankt dabei von Modell zu Modell, aber auch von Hersteller zu Hersteller. „Immerhin separieren eine Reihe Autobauer schon seit Längerem einzelne CAN-Bus-Systeme im Fahrzeug voneinander, damit bei einem Angriff kein Zugriff auf mehrere fahrzeuginterne Systeme stattfindet“, erklärt die Expertin. Als CAN-Bus-Systeme bezeichnet man in der Automobilwirtschaft Leitungssysteme, auf denen Steuergeräte im Auto untereinander Daten austauschen. Doch mit einer stärkeren Segmentierung der Systeme sei das eigentliche Problem nicht gelöst, sagt Dziamchuk. Wirksame Angriffe aus dem Internet würden erschwert, aber nicht verhindert. „Hier müssen dringend neue Absicherungsstrategien entwickelt werden“.

Wie viele Fahrzeuge durch Cyberangriffe gestohlen werden, lässt sich nicht beziffern

Welche Hersteller besonders leicht hackbare Fahrzeuge verkauft, darüber schweigen Sicherheitsforschende wie Dziamchuck meist. Auch in Papers wird oft auf die Nennung von Fahrzeugversionen verzichtet. Zu groß ist die Sorge, dass sich neben der IT-Sicherheitscommunity und den Herstellern eben auch die weltweit vernetzte Szene der Cyberkriminellen auf die jeweils neueste Sicherheitslücke stürzt.

Zu den Lieblingsgeräten der Autodiebe gehören vorrangig Luxus-SUVs, etwa der Land Rover Velar, BMW X6 oder der Toyota Land Cruiser, so die Zahlen des Gesamtverbands der Deutschen Versicherungswirtschaft aus dem Jahr 2021. Viele der Fahrzeugversionen, die in den Top-20 der meistgestohlenen Modelle vorkommen, gehören zu den modern vernetzten Autos.

Die Zahl der Auto-Diebstähle ist rückläufig. Doch es gibt derzeit keine Zahlen, die zwischen konventionell durchgeführten Diebstählen und solchen, bei denen gezielt IT-Sicherheitslücken ausgenutzt werden, unterscheiden, sagt der GDV auf Anfrage von Tagesspiegel Background. Es wäre zudem ein immenser Aufwand notwendig, jeden gemeldeten Diebstahl händisch auf die Art des Diebstrahls zu überprüfen, heißt es vonseiten der Allianz. Für Verbraucher:innen ist die Unterscheidung auch von nachgelagerter Bedeutung: Wurde eine entsprechende (Teil-)Kasko-Versicherung abgeschlossen, erstatten deutsche Versicherer das gestohlene Fahrzeug unabhängig von der Art des Diebstahls. 

Anja Käfer-Rohrbach, stellvertretende GDV-Hauptgeschäftsführerin, sieht allerdings den Bedarf, dass die IT-Sicherheit mit der Entwicklung in der Automobilindustrie weiter mitwachsen muss: „Aus Sicht der Verbraucher wie auch der Versicherungswirtschaft muss es selbstverständlich sein, dass zunehmend autonom fahrende Fahrzeuge einen sehr hohen Standard an Cybersicherheit bieten. Dass die Fahrzeuge selbst verkehrssicher und diebstahlsicher sind, ist dabei selbstverständlich.“

Je älter ein „smartes“ Fahrzeug wird, desto verwundbarer wird es

Doch abseits der Diebstahlproblematik entsteht bei Autos durch deren langen Lebensdauer noch ein weiteres Cybersicherheitsproblem. Laut aktuellen Zahlen des Kraftfahrtbundesamtes liegt das durchschnittliche Alter eines in Deutschland zugelassenen Autos derzeit bei 9,8 Jahren; Tendenz steigend.

Während Defekte an der Mechanik eines Fahrzeuges sich meist schnell bemerkbar machen und einen Besuch der nächstgelegenen Werkstatt nach sich ziehen, sind IT-Sicherheitslücken wie fehlende Updates oder eingeschleuste Malware für Fahrzeugbesitzer:innen nicht unbedingt erkennbar. Doch wenn nach dem Ende der Gewährleistung durch die Autohersteller neue Softwarelücken bekannt werden sollten, bleiben diese unbehoben. „Das Schutzniveau der Autos verschiebt sich im Verlauf des Lebenszyklus zugunsten von Angreifern“, sagt Dziamchuk.

Dass im Softwaresystem jedes Fahrzeugs unerkannte Sicherheitslücken schlummern, bezweifelt kaum ein:e IT-Sicherheitsforscher:in. Derzeit gebe es in höherklassigen Limousinen bis zu 110 unterschiedliche Steuergeräte und bis zu 100 Millionen Zeilen Programmiercode, erzählt Dziamchuk. Da man in der IT etwa einen Fehler auf 10.000 Zeilen Programmiercode schätze, habe man in einem Fahrzeug bis zu 10.000 Fehler in der Software.

Das bedeutet nicht, dass alle diese Fehler im Programmiercode sicherheitsrelevant sind. Oder Hacker:innen einen Zugriff auf Steuerung oder Daten im Fahrzeug geben muss. Doch umgekehrt heißt das auch, dass selbst Jahrzehnte nach der Veröffentlichung eines Fahrzeugmodells noch kritische Sicherheitslücken entdeckt werden können.

Für die Versicherungsbranche ergeben sich aus diesem Gedankenspiel weit mehr Risiken als der gewöhnliche Diebstahl eines Fahrzeuges. „Je mehr Fahrzeuge mit gravierenden Sicherheitslücken auf der Straße unterwegs sind, desto größer wird auch die Gefahr für die Verkehrssicherheit sein“, warnt Dziamchuk. Im Extremfall könnten solche Fahrzeuge systematisch mit Malware infiziert werden und so für terroristische Zwecken missbraucht werden.

Zwar ist der Bereich Transport und Verkehr sowohl in den deutschen KRITIS-Vorgaben als auch in der europäischen NIS-2-Verordnung enthalten. Doch die dort vorkommenden Cybersicherheitspflichten beziehen sich im Straßenverkehr auf Verkehrsleitzentralen oder Anlagen für die Steuerung von Logistik, nicht auf die Cybersicherheit einzelner Fahrzeuge im Straßenverkehr.

Dieser Artikel stammt aus dem Background Cybersecurity. Wenn Sie mehr zu den Themen lesen wollen hier geht's zum Probeabo. 

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen