Image: Goldene Brücke für HackerangriffeM PlanM PlanErfahrene Hacker können leicht die Kontrolle über Fahrzeuge erlangen | nadla
NewsIT-Sicherheit vs. Digitalisierung

Goldene Brücke für Hacker­an­griffe

Lesezeit ca.: 4 Minuten

Ken Munro ist Hacker – aber einer von den guten. Mit seiner Firma Pen Test Partners spürt der Brite Sicherheits­lü­cken in IT-Systemen von Autos auf. Ein Gespräch über IT-Sicherheit in vernetzten und autonom fahrenden Fahrzeugen.

28. Februar 2018

Mr. Munro, Sie spüren mit Ihrer Firma Pen Test Partners Schwachstellen in IT-Systemen von Unternehmen auf und testen deren Widerstands­fä­hig­keit gegenüber Hacker-Angriffen. Da immer mehr Autos zu rollenden und online vernetzten IT-Systemen werden, haben Sie als Experte sicher viel zu tun…

Seit zwei Jahren beschäftigen sich mehrere Mitarbeiter von uns hauptsäch­lich mit dem Thema Fahrzeug­si­cher­heit. Und je tiefer wir in das Thema einsteigen, desto mehr Probleme finden wir. Alle großen Hersteller befassen sich mit dem Thema, alle wollen mehr Connectivity in ihren Fahrzeugen haben und arbeiten an autonom fahrenden Autos. Das Thema IT-Sicherheit aber hält oft mit den schnellen Entwicklungen der neuen Technolo­gien nicht Schritt.

Ob BMW oder Mercedes oder neue Unternehmen wie Tesla: Es scheint eine Art Rennen zwischen den Herstellern zu geben. Wer bringt das erste wirklich autonom fahrende Auto auf den Markt?

Das Problem ist: Es kommen autonom agierende Fahrzeuge an den Markt, die nicht wirklich sicher sind. Es ist für erfahrene Hacker ein Leichtes, Kontrolle über solche Fahrzeuge zu erlangen. Was dann damit möglich wäre, mag ich mir gar nicht vorstellen. Es braucht einfach Zeit, entsprechende Sicherheits­sys­teme zu entwickeln, die IT-Systeme der Fahrzeuge unangreifbar machen. Das muss von Anfang an mitgeplant werden: Zu einem späteren Zeitpunkt eventuelle Sicherheits­lü­cken zu schließen, ist sehr aufwändig. Wobei ich feststelle, die deutschen Hersteller sind relativ gut aufgestellt und haben ein entsprechendes Bewusstsein für solche Sicherheits­as­pekte, das mancher Mitbewerber nicht immer zeigt. Auch Tesla hat nach anfängli­chen Problemen das Thema ganz gut im Griff.

Es gab Hacker, die ein Tesla-Modell mitten in der Fahrt aus der Ferne abbremsen konnten…

Ja, aber das Unternehmen hat schnell reagiert. Sie boten allen Kunden ein kostenloses Update, ähnlich wie beim iPhone, und am nächsten Morgen konnte man schon wieder ohne Gefahr weiterfahren. Tesla macht eins richtig: sie sind in engem Kontakt zur IT-Sicherheits-Community. Sie wissen, wo Schwachstellen auftauchen können und reagieren darauf. Da gibt es andere Hersteller, die reagieren nicht einmal, wenn wir ihnen ein Problem auf dem Silberta­blett präsentieren.

Warum das?

Große Hersteller sind es nicht gewohnt, auf Stimmen von außen zu hören. Das erleben wir nicht nur bei Autoherstel­lern. Wir arbeiten ja oft erst einmal ohne Auftrag. Wir spüren Probleme auf und treten dann an die Unternehmen heran. Wenn wir vorstellig werden, gelten wir als Kritiker von außen, denen man nicht gerne Gehör schenkt. Denn wir weisen ja auf Fehler im Unternehmen hin. Dabei ist das nicht als Kritik gedacht, sondern als Hilfe. Man schließt aber oft die Tür vor unserer Nase und sitzt das Problem aus. Das ist natürlich ein total falscher Weg. In vielen Unternehmen muss wohl erst noch ein interner Kulturwandel stattfinden.

Wie gelangen Hacker denn in ein Fahrzeug­system? Warum ist das so einfach?

Man nutzt die Hintertür. Viele Systeme nutzen Funkfrequenzen, über die man leicht Zugang erhält. Auch Reifendruck­messer zum Beispiel operieren via Funk, so kann man über Umwege in die Automobil-IT endringen. Das Infotain­ment-System ist mittels WLAN mit dem Internet verbunden. Ein einfacher Weg ist natürlich jede Smartphone-App. Wer dann das Telefon mit dem Auto verbindet, baut jedem Hacker eine goldene Brücke.

Sie erwähnten die Update-Reaktion von Tesla. Läuft es darauf hinaus, alle paar Monate ein Update für die Auto-IT zu installieren?

Könnte ich mir vorstellen. Neue Software über eine sichere Internet­ver­bin­dung, wie beim Smartphone.

Aber auch beim Smartphone lädt nicht jeder Nutzer brav seine Updates herunter, viele Menschen sind dafür zu bequem oder es gab gerade kein WLAN…

Das ist ein wichtiger Punkt. Die britische Regierung hat dazu einen Gesetzes­vor­schlag eingebracht. Denn es geht ja um entschei­dende Versiche­rungs­fragen. Wer ist bei einem Unfall Schuld, bei dem die IT eine Rolle spielte: der Fahrer oder der Hersteller? Der Vorschlag nun besagt, Versiche­rungen nicht haftbar zu machen, wenn der Fahrer das nötige Update nicht hochgeladen hatte. Das bedeutet für Autofahrer die Überlegung: Fahre ich am Morgen ohne Update ins Büro, also ohne Versiche­rungs­schutz, oder lade ich mir noch schnell die neue Software herunter. Alles interessante Denkanstöße, die uns in den kommenden Jahren noch beschäftigen werden.

Der Brite Ken Munro ist IT-Sicherheits­ex­perte. Genauer gesagt: Experte für IT-Sicherheits­lü­cken. Er ist ein sogenannter White-Hat-Hacker – ein Computer­spe­zia­list, der seine Hacking-Erkenntnisse öffentlich macht und niemandem schaden will. Mit seiner Firma Pen Test Partners spürt Munro Schwachstellen in IT-Systemen von Unternehmen auf und überprüft deren Widerstands­fä­hig­keit gegenüber echten Hackeran­griffen. So konnte er zum Beispiel die Sicherheits­sys­teme von verschie­denen Herstellern umgehen und deren Autos fernsteuern.

Ken Munro