"Hoher Aufwand"

Bosch-Manager: Auto-Hacks nur schwer nachzuahmen

(Bild: AP)

Um die Cyber-Sicherheit unserer Autos scheint es nicht gut bestellt zu sein. Dies legen zumindest die diversen Hacks der vergangenen Wochen nahe. Martin Emele, Leiter des Bereichs Produktsicherheit bei der Bosch-Tochter ETAS, versucht zu beruhigen: Die Angriffe seien nur schwer zu kopieren und erforderten eine gewisse Expertise, weil die Systeme komplex seien, so Emele gegenüber der Deutschen Presse-Agentur. Zudem würden in den Fahrzeugen oft unterschiedliche Bordelektronik oder Steuergeräte verwendet. "Da steht ein sehr hoher Aufwand dahinter. Die Angriffe sind auch nicht unbedingt auf andere Fahrzeugmodelle geschweige denn andere Hersteller übertragbar."

Zuletzt waren auf den Hacker-Konferenzen Black Hat und DefCon eine ganze Reihe von Angriffen öffentlich geworden. Fiat Chrysler musste daraufhin in den USA die Software von 1,4 Millionen Jeep-Fahrzeugen aktualisieren, weil Hacker über eine Sicherheitslücke im Unterhaltungssystem des Wagens, das mit dem Internet verbunden ist, bis zur Steuerung des Fahrzeugs vordringen konnten. Andere demonstrierten, wie sie über ein Digitalradio von GM das Auto aufschließen oder starten konnten. Wieder andere schafften es, einen Tesla S während der Fahrt auszuschalten.

Jens Hinrichsen, der bei dem niederländischen Chip-Spezialisten NXP für Bauteile zuständig ist, die auch in Autos eingesetzt werden, forderte die Autohersteller deshalb auf, Bereiche mit Internetverbindung zum Schutz vor Hackerangriffen strikt vom Rest der übrigen Fahrzeugtechnik abzugrenzen. Und der für den Jeep-Hack verantwortliche Sicherheitsforscher Chris Valasek, Direktor für Fahrzeugsicherheitsforschung bei der Beratungsfirma IOActive, warnte: Die Autobauer hinkten in einigen Bereichen hinterher.

"Ritterburg" ums Auto
Emele beruhigt: In allen drei Fällen waren die Hacker Sicherheitsforscher, die ihr Können demonstrierten. "Bei den bekannten Hacks spielte meist natürlich auch der technische Ehrgeiz eine Triebfeder. Das ist eine Spielwiese für Universitäten und Forschungseinrichtungen, durch die man eine gewisse Bekanntheit erlangen kann."

Bosch selbst setzt auf ein mehrstufiges System und sogenannte Penetrationstests, die Hackerangriffe simulieren. Methoden also, die Sicherheitsexperten auch für den Schutz von Unternehmen empfehlen. "Das Schalenmodell funktioniert im Prinzip wie eine Ritterburg mit einer hohen Mauer und mehreren Befestigungswällen mit tiefen Gräben dazwischen", sagte Emele.

Einseitige Kommunikation
So darf bei den eigenen Systemen die Internetverbindung immer nur vom Fahrzeug aufgenommen werden. Bis dahin ist das Fahrzeug im Internet überhaupt nicht sichtbar. Bei der Kommunikation setzt Bosch auf Standard-Verschlüsselungstechniken. "Außerdem verwenden wir Authentifizierungsmechanismen sowohl auf Server- als auch auf Fahrzeugseite", erklärt Emele. Zertifikate stellten dabei sicher, dass sich nur identifizierte Geräte mit dem Backend verbinden können.

Firewalls und Gateways sollen darüber hinaus die ungewollte Weitergabe von Informationen im Auto verhindern. Stauinformationen beispielsweise könnten zwar aus dem Internet kommen, sicherheitsrelevante Informationen wie Bremskommandos würden dagegen mit einem Stempel auf Basis eines gemeinsamen Schlüssels zwischen Sender und Empfänger versehen.

"Selbst wenn es einem Angreifer gelingen würde, von der Telematik-Einheit ein Bremssignal an das Bremssteuergerät zu senden, würde dieses nicht akzeptiert, weil es nicht den richtigen Fingerprint erzeugen kann, ohne den notwendigen Schlüssel zu besitzen." Die einzelnen Steuergeräte wiederum würden gegen Manipulation geschützt, indem beispielsweise nur signierte Software aufgespielt werde.