25.9.2018 – Ein Horrorszenario für Autofahrer: Während der Fahrt zeigt der Tacho plötzlich “220” – und bleibt stehen. Auf dem Touchscreen des Infotainmentsystems erscheint eine Lösegeldforderung: “Zahlen sie 50 Euro auf ein anonymes Bitcoin-Konto”. Rechts ran fahren und Motor abstellen nützt genau so wenig, wie die direkte Zahlung über eine Smartphone-App. Der Bildschirm bleibt eingefroren, das Geld ist futsch.
Solche Erpressersoftware (Ransomware) ist bei Hackern beliebt. Das vernetzte Auto bietet reichlich Schnittstellen für solche Angriffe: Einheitliche Normen zur Absicherung fehlen. In der Vergangenheit wurden Normen und Standards meist getrennt betrachtet, einerseits Elektrotechnik andererseits Automobiltechnik. Mit dem gesetzlich vorgeschriebenen E-Call zieht das Internet in alle Autos ein – und vernetzt sie mit Handy, Haus und Verkehrsinfrastruktur. Für Hacker und Erpresser sind diese Schnittstellen Geld wert, um Daten zu stehlen oder Autofahrer zu erpressen. „Cyber-Angriffe auf Fahrzeuge waren bisher selten, in absehbarer Zukunft werden Ransomware oder Attacken auf Webserver zur Cyber-Security gehören”, erklärt Christian Koch, Experte beim IT-Sicherheitsdienstleister NTT Croup.
Seit mehr als zehn Jahren sind Autos angreifbar. Mit dem Onboard-Diagnoseanschluss (OBD) erwachten Hacker. Angriffe galten zuerst dem Fahrverhalten: Plötzlich bremste das Auto oder der Motor ging aus. Der erste große Hack eines Cherokee Jeep gelang über das Infotainment-System in das vernetzte Bordnetz und verursachte beim Hersteller Fiat Chrysler einen Rückruf von 1,4 Millionen Fahrzeugen. Heute besorgen sich Hacker ihr Handwerkszeug im kriminellen Darknet. Dort werden fertige Erpresserbaukästen angeboten. Inklusive Schnittstellen zu Bezahlsystemen wie der virtuellen Internetwährung Bitcoin, mit der sich Lösegeldzahlungen verschleiern lassen. Mittlerweile gibt es gar Geschäftsmodelle, die Erpressersoftware für jedermann gegen ein Erfolgshonorar anbieten.
Vernetzte Autos sind heute rollende Rechenzentren mit vielen Schnittstellen. Etwa 25 Gigabyte Daten je Stunde werden erzeugt und gemanagt. So sind auch die Automobilhersteller mit ihren Schnittstellen zu Hostsystemen gefährdet: Webseitenaufrufe, empfangene E-Mails, SMS, Messengerdienste oder Digitalradio, dienen als Einfallstor für Schädlinge. Die üblichen Sicherheitsvorkehrungen mit beispielsweise mehrjährigen Zertifizierungsprozessen in der Autoindustrie reichen nicht mehr aus. Im Computerbereich ticken die Uhren schneller: wöchentliche, tägliche und Echtzeit-Updates sind üblich.
Eine Strategie gegen Lösegeld-Schadsoftware wären schnelle Updates Over-the-Air (OTA). Marko Wolff, Leiter der Entwicklung beim IT-Securityunternehmen Escrypt: ”Heutige Fahrzeuge halten oft kein Back-up für wichtige Daten und Funktionalitäten vor, verfügen nur über einfache Firewalls und erhalten keine regelmäßigen Security-Updates.” Die werden meist nur bei Inspektionen aufgespielt. Updates sind dringend nötig: Bei mehr als 150 Millionen Codezeilen in der Software eines vernetzten Autos, kommt auf 10.000 Programmzeilen ein Fehler. Automobilhersteller Fiat Chrysler packt das Übel an der Wurzel und ermuntert Hacker. Im Bug-Bounty-Program (“Kopfgeld für Programmfehler”) erhalten sie bis zu 1.500 Dollar je entdecktem Fehler. Damit zahlt der Autokonzern rund 20 Millionen Dollar “Lösegeld” an “gute” Hacker.
Copyright Image: MotorBlog.com