Studie deckt Sicherheitsrisiken vernetzter Fahrzeuge auf

×

Eng mit der Außenwelt vernetzt: Connected Cars haben viele Vorteile, bergen aber auch verschiedene Sicherheitsrisiken. Schwächen gibt es vor allem beim Umgang mit Zugangsdaten sowie bei Apps, Updates und Verbindungen. Das hat jetzt eine Studie von Kaspersky Lab und IAB herausgefunden.

Zahlreiche mit dem Internet verbundene Fahrzeuge sind inzwischen auf den Straßen unterwegs. Die Connected Cars versprechen besseren Bedienkomfort und mehr Sicherheit für die Fahrzeuginsassen. Doch mit dem Grad der Vernetzung steigt auch das Risiko von nichtautorisierten Zugriffen, wie zum Beispiel das Unternehmen Elektrobit im Artikel "Das vernetzte Automobil - Grenzen der Sicherheit" aus der ATZ 10-2013 erläutert. Das stellt die Automobilelektronik-Branche vor große Herausforderungen. Denn: Mit zunehmender Vernetzung beginnt das übliche Wettrennen zwischen den Angreifern auf IT-Systeme und denen, die diese Hackerangriffe abwehren wollen.

Vernetzte Fahrzeuge öffnen Türen für Cybergefahren

Somit sind Autohersteller, Zulieferer und beteiligte Firmen gefordert, für die vernetzten Systeme zuverlässige Sicherheitslösungen zu entwickeln und bereitzustellen. Doch wie sicher sind die Systeme? Das hat jetzt Kaspersky Lab in Zusammenarbeit mit IAB untersucht, und zwar in einer spanischen Proof-of-Concept-Studie, die die Sicherheit des aktuell stark fragmentierten Software-Ecosystems von vernetzten Fahrzeugen diverser Hersteller unter die Lupe nimmt. Dabei zeigten sich vor allem vier Security-Schwachpunkte: Der Umgang der Fahrer mit ihren Zugangsdaten, mobile Apps, Updates der Software und die Datenverbindung im Fahrzeug.

Vicente Diaz, Principal Senior Researcher bei Kaspersky Lab, hat im Rahmen der Studie am Beispiel der Fahrerassistenzsysteme von ConnectedDrive von BMW mögliche Sicherheitslücken untersucht. "Vernetzte Fahrzeuge können die Türen zu jenen Cybergefahren öffnen, die schon lange von PCs und Smartphones bekannt sind", bilanziert Diaz. "Wird etwa einem Besitzer das Zugangspasswort zum Assistenzsystem gestohlen, kann damit der Standort des Fahrzeugs ermittelt werden, und auch die Türen lassen sich ferngesteuert öffnen. Ein sorgsamer Umgang mit diesen Daten ist also entscheidend und Besitzer vernetzter Fahrzeuge sollten sich darüber im Klaren sein, dass neue Risiken auf sie warten."

Vier mögliche Angriffspunkte für Cyberkriminelle

Kaspersky Lab konnte im Rahmen der Analyse von ConnectedDrive vier unterschiedliche potenzielle Angriffsvektoren von vernetzten Fahrzeugen ermitteln, wie das Softwareunternehmen erläutert:

• Zugangsdaten des Systems: Mit bekannten Methoden wie Phishing, Keylogging und Social Engineering könnten Cyberkriminelle die Zugangsdaten zur BMW-Webseite stehlen und damit unautorisiert auf Anwenderinformationen zugreifen. So ließen sich zum Beispiel weitere mobile Apps für den Zugriff auf das Fahrzeug einrichten, etwa um es zu öffnen und einfach loszufahren.
• Mobile Apps: Wer vom Smartphone aus über eine App sein Fahrzeug ferngesteuert öffnen wolle, sollte sich immer bewusst machen, dass er einen weiteren elektronischen Fahrzeugschlüssel hat, wie die Analysten erklären. Werde die Anwendung nicht gesichert, gäbe man mit dem Handy auch den Schlüssel aus der Hand. Diebe würden so einen möglichen Zugang zur Datenbankanwendung erhalten und könnten auch die PIN-Authentifizierung umgehen. Damit hätten Angreifer leichten Zugang zur Fernsteuerung des Fahrzeugs.
• Updates: ConnectedDrive kann über Bluetooth aktualisiert werden. Der Besitzer kopiert dazu einfach die aktuelle Version von der BMW-Webseite auf einen USB-Stick. Die Daten auf dem Stick sind weder signiert noch verschlüsselt, und enthalten zudem zahlreiche Angaben über die im Fahrzeug laufenden Systeme, beschreiben die Analysten. Mögliche Angreifer könnten hier über entsprechende Manipulationen auch Schadprogramme einschleusen.
• Datenverbindung: Einige Funktionen lassen sich mit Hilfe von SMS-Nachrichten an die im Fahrzeug befindliche SIM-Karte steuern. Abhängig vom gewählten Grad der Verschlüsselung könnten so Cyberkriminelle auch unautorisiert Befehle erteilen und im schlimmsten Fall die Steuerung komplett übernehmen, wie Kaspersky erläutert.

Software-Landschaft ist stark fragmentiert

Weitere Ergebnisse der Studie zu den Themen Internetverbindung und führende Apps in der spanischen Automobilindustrie seien:

• Die existierende Software-Landschaft bei Betriebssystemen, Verbindungsarten und Apps ist stark fragmentiert.
• Bieten Hersteller kostenfreie Angebote, sind diese oft zeitlich begrenzt.
• Viele Online-Dienste benötigen 3G-Netze, stehen also nicht flächendeckend zur Verfügung.
• Der Zugriff auf Online-Dienste kann für die Nutzer mit Zusatzkosten verbunden sein.
• Die meisten Modelle verfügen auch über eine Sprachsteuerung und damit eine der sichersten Steuerungsarten.

Die Studie wurde von IAB Spain durchgeführt, einem Zusammenschluss von Agenturen für Marketing und digitale Medien in Spanien. Partner waren neben Kaspersky Lab auch Applicantes und Motor.com. Die Studie gibt einen Überblick über den spanischen Markt für vernetzte Fahrzeuge. 21 Modelle von 15 verschiedenen Herstellern wurden im Hinblick auf Geschäftsmodelle, führende Apps und zukünftige Trends wie Konnektivität und IT-Sicherheit untersucht.