Die Fortschritte in der Automobilindustrie sind heute ebenso rasant, wie in vielen anderen technischen Bereichen. Das Auto, dass Sie heute fahren ist technisch weit entfernt von den Autos, die man noch vor zehn Jahren kaufen konnte. So zu sagen ein vernetzter Computer auf vier Rädern. Dieser Vorstoß in Richtung Konnektivität und Smart-Motoring hat dazu geführt, dass die Automobilhersteller so viel Wissen über Software benötigen wie über Mobilität selbst. Und das bedeutet, dass sie mit den gleichen Sicherheits-Herausforderungen konfrontiert sind, wie die Softwareindustrie. Jedoch mit dem deutlichen Nachteil, dass es in diesem Bereich oftmals noch keine einheitlichen Standards gibt. Neu veröffentlichte Forschungsergebnisse des Ponemon Institute deuten darauf hin, dass die Sicherheit von Automobil-Software einfach nicht mit dem Tempo der Technologie Schritt hält. Insbesondere die Haltung in der Lieferkette stellt ein großes Risiko dar, nicht nur für die Autos von heute, sondern auch für die selbstfahrenden Fahrzeuge von morgen.

Cyber Security und moderne Autos – Schlechte Prognose

Aktuell haben Forschungsteams im Auftrag von Synopsys und SAE International, die Cybersicherheits-Praktiken in der Automobilindustrie untersucht. Die Teams gingen dabei der Frage nach, wie leistungsfähig die Automobilindustrie ist, wenn es um die mit softwaregestützten Fahrzeugen verbundenen Sicherheitsrisiken zu bewältigen. Die Ergebnisse der Befragung von rund 593 Fachleuten, die sich mit der Bewertung oder dem Beitrag zur Sicherheit von Automobiltechnologien befassen, lassen keine zufriedenstellenden Ergebnisse zu. Nehmen wir zum Beispiel die 52 %, die erklärten, sie seien sich des „potenziellen Schadens für Fahrzeugführer aufgrund unsicherer Fahrzeugtechnologien“ bewusst, oder die Tatsache, dass 69 % der Befragten nicht das Gefühl hatten, dass sie nicht befugt genug waren, diese Bedenken vorzubringen. Angesichts dieses Niveaus kritischer Cybersicherheitstrennung innerhalb der Branche ist es vielleicht nicht verwunderlich, dass 84% der Befragten der Meinung sind, dass die CybersicherheitsPraktiken einfach nicht mit den sich entwickelnden Technologien Schritt halten und 63% weniger als die Hälfte der Hardware, Software und anderen Technologien auf Schwachstellen testen.

Das ist besonders beunruhigend. Unser CTO und Ethical Hacker Jean Perreira warnt vor den potenziellen Auswirkungen: „Es gibt bereits Hacker, die in die Systeme amerikanischer, europäischer und japanischer Automobilhersteller eingedrungen sind und die durchaus das Potenzial haben, der Fahrzeugsicherheit, dem Datenschutz und der Entwicklung verbundener und autonomer Fahrzeugtechnologien großen Schaden zuzufügen“.
Jean Perreira hat mit SECBIZ zu Demonstrationszwecken bereits selbst eine White-Hacking-Aktion mit dem Mercedes GLC gestartet. Zum Video

Welche Technologien stellen also die größten Cybersicherheitsrisiken in der Automobilbranche dar?

Die Befragungsergebnisse lassen besorgniserregende Rückschlüsse zu: Hochfrequenz-Technologien wie Wi-Fi und Bluetooth führten die Liste an, dicht gefolgt von Telematik und selbstfahrenden Fahrzeugen. Bei den Hauptfaktoren, die zu Schwachstellen in Technologien führten, die entweder vom Hersteller entwickelt oder verwendet wurden, war es der Druck, die Liefertermine einzuhalten, einschließlich mangelndem Verständnis oder Training in Bezug auf sichere Kodierungspraktiken, versehentlichen Kodierungsfehlern und einem Mangel an Qualitätssicherung und Testverfahren.

Die Zahlen werden nicht vertrauenswürdiger, je tiefer man in den Bericht eintaucht, der Fahrer für moderne Fahrzeuge inspiriert. Angesichts der Tatsache, dass die meisten Hersteller heute auf Hunderte von unabhängigen Anbietern angewiesen sind, um Hard- und Softwarekomponenten zu liefern, ist es beunruhigend, dass 73% der Befragten sehr besorgt über das Cybersicherheitsverhalten der Automobil-Lieferkette waren. Nicht ganz so beunruhigend wie die Tatsache, dass nur 44% angaben, dass ihre Unternehmen auf Cybersicherheits-Anforderungen für die von diesen Anbietern angebotenen Produkte bestehen. Im Übrigen hat ein typisches Automobilunternehmen nur neun (!) Mitarbeiter, die sich in Vollzeit der Cybersicherheit widmen, dahingegen haben 30%  überhaupt kein etabliertes Produkt-Cybersicherheits-Team!
Da das Internet of Things auch vor der Automobilbranche keinen Halt macht, ist es essentiell, dass die IT-Sicherheit exponentiell zum technischen Fortschritt der Branche ausgebaut wird.