Suchen

Physische Sicherheit und Cyber­sicherheit in der Autoindustrie

| Autor / Redakteur: Patrick Carey * / Dipl.-Ing. (FH) Thomas Kuther

Wenn Automobilsicherheit zur Funktion von Software wird, wird Software-Sicherheit zum zentralen Thema – vor allem, wenn es um neue Bereiche wie vernetzte Autos und letztlich autonome Fahrzeuge geht.

Connected Cars: Schwachstellen in der Software sind offene Türen für Hacker.
Connected Cars: Schwachstellen in der Software sind offene Türen für Hacker.
(Bild: ©folienfeuer - stock.adobe.com)

Mit jedem Fahrzeugmodell, das aus der Lieferkette der Hersteller kommt, gibt es zusätzliche Funktionen. Was einmal ein AM/FM-Radio war, hat sich nun in ein Navigations-Infotainment-System verwandelt. Die Technologie hat sich in den vergangenen zehn Jahren dahingehend entwickelt, Fahrzeuge wesentlich sicherer fahren zu lassen, einschließlich Anti-Blockier-System, elektronischer Stabilitätskontrolle, Rückfahrsensoren und Sprachsteuerung.

Bildergalerie

All diese Features bringen zusätzliche Verantwortlichkeiten seitens der Hersteller mit sich, sowohl hinsichtlich der Hardware- als auch der Softwarekomponenten der von ihnen gebauten Fahrzeuge. In der gleichen Weise, in der OEMs für die Herausgabe eines Rückrufs für fehlerhafte Hardware zuständig sind, sind sie gemeinsam mit ihren Lieferanten für Software-Schwachstellen in Connected Cars über die Fahrzeuglebensdauer hinweg verantwortlich.

Jedoch verlassen sich Autohersteller auf Hunderte von unabhängigen Anbietern, um sie mit Hardware- und Softwarekomponenten zu versorgen. Die Software jedes Anbieters ist wahrscheinlich eine Mischung aus eigens individuell erstelltem Code, proprietärem Code und Open-Source-Code. Bei mehreren Dutzend Millionen Zeilen von Code, die überall im Auto vernetzt sind, finden OEMs es immer schwieriger, die Quellen für jedes verwendete Stück Software nachzuvollziehen und zu verwalten.

Fahrzeughersteller müssen sich einen Cybersecurity-Ansatz aneignen, der nicht nur eine klar ersichtliche Exposition in ihrer Auto-Software angeht, sondern auch versteckte Schwachstellen, die durch Open-Source-Komponenten in diese Software eingebracht werden könnten.

Physische Sicherheit hängt ab von Open-Source-Sicherheit

Wenn Automobilsicherheit zur Funktion von Software wird, wird Software-Sicherheit zum zentralen Thema – vor allem, wenn es um neue Bereiche wie vernetzte Autos und letztlich autonome Fahrzeuge geht. Auch wenn sich mit Connected Cars viele Chancen für die Automobilindustrie ergeben, sollten Autohersteller und ihre Lieferanten prüfen, was das vernetzte Fahrzeug für die Privatsphäre und Sicherheit der Verbraucher bedeutet. Denn

  • Sicherheitsexperten zeigten, dass sie bei einem Jeep über das Internet die Kontrolle über dessen Bremsen und Getriebe übernehmen konnten. Dieses Sicherheitsrisiko war groß genug, dass Chrysler 1,4 Mio. Fahrzeuge zurückrief, um den Bug zu fixen, der die Attacke ermöglichte.
  • Nahezu ein halbes Jahrzehnt waren Millionen von Autos und LKWs von General Motors über einen Exploit angreifbar, der vom Tracking der Fahrzeuge bis zur Bremsung bei hoher Geschwindigkeit oder der gleichzeitigen Blockierung aller Bremsen alles ermöglichte.
  • Das Infotainment-System des Tesla Model S enthielt eine vier Jahre alte Schwachstelle, die einem Angreifer potentiell ermöglichte, durch einen Hack per Fernzugriff das Auto zu starten oder den Motor abzustellen.

Open-Source-Code gelangt über vielfältige Wege in Fahrzeuganwendungen. Automobilhersteller verlassen sich auf eine Vielzahl von Komponenten- und Applikationsanbietern, die Lösungen mit Open-Source-Komponenten aufbauen sowie Open-Source-Plattformen erstellen.

Open Source ist weder mehr noch weniger sicher wie individuell erstellter Code. Allerdings gibt es bestimmte Merkmale von Open Source, die Schwachstellen in gängigen Komponenten zum beliebten Ziel für Hacker machen. Open Source ist weithin genutzt in nahezu allen Formen der kommerziellen und internen Anwendungen. Für Hacker ist der Return-on-Investment für eine Open-Source-Schwachstelle hoch. Ein einziger Exploit kann genutzt werden, um Hunderttausende an Anwendungen und Websites zu gefährden.

Viele Autohersteller und ihre Softwarezulieferer setzen Testing-Tools wie statische und dynamische Anwendungssicherheitstests (SAST und DAST) ein, um Codierungsfehler zu identifizieren, die zu Sicherheitsproblemen führen könnten. Obwohl sowohl SAST als auch DAST gut funktionieren, um Bugs in Code zu finden, der von internen Entwicklern geschrieben wurde, sind sie nicht effektiv bei der Identifizierung von Open-Source-Schwachstellen in Third-Party-Code. So bleiben wesentliche Komponenten moderner Anwendungen Risiken ausgesetzt. Seit 2004 wurden mehr als 74.000 Schwachstellen von der National Vulnerability Database (NVD) offengelegt, aber nur 13 davon wurden von SAST- und DAST-Tools gefunden.

Das durchschnittliche SAST-Tool kann nur 14% der Probleme in einer Anwendung finden. Ähnlich ist DAST für die Überprüfung der Compliance und das Finden von Fehlkonfigurationen hilfreich, aber es ist unwirksam bei der Suche nach Schwachstellen, die über Open Source in Code gelangen.

(ID:44880237)