Wenn neue Fahrzeugmodelle als Software Defined Vehicles (SDV) bezeichnet werden, hat das einen guten Grund: Fast alle Funktionen werden von Software unterstützt. Auch ganz simple Dinge wie ein Scheibenwischer. Kein Wunder also, dass die durchschnittliche Software in einem modernen Auto rund 120 Millionen Zeilen Code umfasst.
Zum Vergleich: Der Tarnkappen-Kampf-Jet F-35 von Lockheed Martin kommt mit 25 Millionen Zeilen aus, die Boeing 787 – auch Dreamliner genannt – mit zehn Millionen Zeilen. Und für das Space Shuttle, das regelmäßig Menschen ins All und wieder zurückbrachte, reichten einst 400.000 Zeilen.
Einladung zur Attacke
Einerseits sorgt dieser enorme Digitalisierungsgrad für noch mehr (potenzielle) Sicherheit, Komfort und insgesamt für eine großartige Erfahrung. Andererseits ergeben sich neue Herausforderungen. Die Cybersicherheit ist dabei ganz weit vorne. Das liegt erstens daran, dass mit jeder Zeile Code statistisch gesehen auch die Menge an Bugs zunimmt.
Zweitens kommunizieren Fahrzeuge über etliche Schnittstellen mit ihrer Umwelt – nicht nur über das Internet, sondern beispielsweise auch über Bluetooth und das automatische Notrufsystem eCall, über Micro-SD-Karten und OBD-2-Diagnosebuchsen. Und drittens hängen in SDVs fast alle Komponenten irgendwie miteinander zusammen. Wer es einmal aufs Infotainment-System geschafft hat, der findet auch schnell den Weg zu deutlich kritischeren Funktionen. Zusammengenommen sind die drei Faktoren eine sehr freundliche Einladung an Cyberkriminelle, ihre Fähigkeiten auszuprobieren.
Und das tun sie auch. Schon 2002 erschien im Magazin „Forbes“ ein Artikel über die virtuelle Attacke auf ein Fahrzeug. Seitdem ereignen sich solche Zwischenfälle immer wieder – wobei die Anzahl zuletzt deutlich zugenommen hat. Das zeigt zum Beispiel der Global Automobile Cybersecurity Report 2023 des israelischen Softwareunternehmens Upstream Security. Dort ist unter anderem zu lesen, dass zwischen 2021 und 2022 die digitalen Zugriffe auf Fahrzeug-APIs um satte 380 Prozent gestiegen sind.
Feature-Hacks statt Feature-Abos
Als eine besondere Spielart haben sich in den vergangenen Jahren solche Manipulationen etabliert, die mit dem Wissen der Fahrerinnen und Fahrer in Auftrag stattfinden. Statt für bestimmte Features ihres SDV ein Abo abzuschließen und monatlich zu bezahlen, lassen sie einfach Hackerinnen und Hacker die gewünschten Zusatzfunktionen für einen überschaubaren Betrag dauerhaft freischalten. Oder sie nutzen die mit entsprechender Software ausgestatteten Adapter von spezialisierten Anbietern, um ihr Auto gleich selbst zu codieren.
Das ist für die OEMs gleich doppelt problematisch. Zum einen, weil sie durch das Hacken von Features Umsätze nicht realisieren, die sie eigentlich benötigen. Zum anderen ergeben sich durch die unsachgemäße Manipulation am Fahrzeug neue Angriffsvektoren. Und weil diese den Herstellern erst einmal nicht bekannt sind, können sie dafür auch keine Gegenmaßnahmen entwickeln.
Wettlauf um die Cybersecurity
Die Lage ist also – gelinde gesagt – verzwickt. Um virtuelle Attacken auf Autos verlässlich auszuschließen, könnte das Rad rückwärts gedreht, der Stecker gezogen werden. „Cars unplugged“ will aber nun wirklich auch niemand mehr. Nicht die Hersteller und Zulieferer, nicht die Fahrerinnen und Fahrer und auch nicht die politischen und gesellschaftlichen Akteure. Abgesehen davon ließe sich das auch gar nicht verwirklichen. Deshalb bleibt nur, Cybersicherheit mit höchster Priorität voranzutreiben. Diese Notwendigkeit haben nach meiner Einschätzung alle relevanten Stakeholder erkannt. Bei der Umsetzung bestehen aber noch erhebliche Lücken.
Die Schwierigkeit liegt vor allem darin, dass Cybersicherheit nicht statisch ist, sondern sehr dynamisch. Wenn Hersteller heute alle bekannten Angriffsvektoren geschlossen haben, findet irgendeine Hackerin oder irgendein Hacker morgen einen neuen Weg. Um damit umzugehen, müssen die OEMs einen für sie komplett neuen Ansatz für das Product Lifecycle Management etablieren: Die Verantwortung für die Entwicklung eines neuen Modells endet nicht mehr mit dem Start of Production, weil die Software auch darüber hinaus kontinuierlich modifiziert und ausgeliefert werden muss. Und zwar über viele Jahre hinweg. Für Technologieunternehmen sind Updates eine Selbstverständlichkeit. Für Automobilhersteller und Zulieferer echtes Neuland.
Der Prozess im Fokus, nicht das Produkt
Auch die United Nations Economics Commission for Europe (UNECE) hat auf die dynamische Lage reagiert und zwei Richtlinien formuliert, die von den Regulierungsbehörden der Mitgliedsländer in verbindliche Vorschriften überführt wurden. Die UNECE R 155 verpflichtet Automobilhersteller dazu, ein Cyber Security Management System (CSMS) in ihren Fahrzeugentwicklungsprozess zu integrieren.
Die UNECE R 156 verlangt von den OEMs ein Software Update Management System (SUMS). Damit unterscheiden sich die beiden Vorgaben fundamental von allen anderen Anforderungen, die für eine Typzulassung erfüllt sein müssen: Sie zielen nicht auf die spezifischen Merkmale eines Produkts ab, sondern auf die Prozesse eines Unternehmens.
Tatsächlich lässt sich dieser Umweg nicht vermeiden – eben weil der Sicherheitsstatus zum Zulassungszeitpunkt kaum etwas darüber aussagt, wie das Fahrzeug in Zukunft geschützt sein wird. Aber: Die Vorgaben der UNECE sind sehr generisch formuliert und lassen hinsichtlich der Auditierung eine Menge Raum für Interpretationen.
Dass es auch konkreter geht, zeigen zwei von der International Standard Organisation veröffentlichte Normen. Die ISO/SAE 21434 beschreibt das System für das Engineering von Cybersicherheit, die ISO/PAS 5112 die Auditierung dieses Systems. Wünschenswert wäre, dass sich die OEMs an diesen Normen orientieren und damit die Anforderungen der Regulierungsbehörden übererfüllen. Wünschenswert wäre aber auch, dass die Behörden selbst noch einmal nachlegen.
Neues Bewusstsein bei uns allen
Letztlich hilft aber auch das beste Managementsystem nur dann, wenn in den Unternehmen und bei den auditierenden Organisationen Menschen beschäftigt sind, die es mit den besten Hackerinnen und Hackern aufnehmen können. Solche Menschen in ausreichender Zahl zu finden und zu gewinnen, dürfte angesichts der Situation am Job-Markt schon den Herstellern schwerfallen. Für Organisationen, die in der Regel keine überdurchschnittlichen Gehälter zahlen, wird die Rekrutierung so gut wie unmöglich sein.
Insofern wir uns alle nicht voll und ganz auf Hersteller und Zulieferer, Behörden und Organisationen verlassen. Wir sollten ein neues Bewusstsein dafür entwickeln, dass SDV auch Risiken mitbringen – für uns selbst, für Dritte und für die Gesellschaft. Was wir im Kontext von Rechnern und Smartphones gelernt haben und mehr oder weniger vorbildlich befolgen, sollte auch bei Autos zur Routine werden. Denn hier geht es um deutlich mehr.