Hacker greifen über Infotainmentsystem ins Auto ein

Sicherheitslücke bei BMW

Kommentar von Malte Pollmann, CEO vom IT-Sicherheitsanbieter Utimaco, über die Hintergründe des Hackerangriffs auf BMW-Fahrzeuge und wie sich intelligente Autos in Zukunft sicher nutzen lassen

„Ein wesentlicher Aspekt bei der Weiterentwicklung von smarten Produkten sind einheitliche Sicherheitsstandards“, so Malte Pollmann.

Gravierende Sicherheitslücken sind in den letzten Tagen bei BMW ans Licht gekommen: Jedes Fahrzeug, das mit dem herstellereigenen  Infotainmentsystem „Connected Drive“ ausgestattet ist, ließ sich in Tests binnen weniger Minuten öffnen – das fand der ADAC zusammen mit deutschen Sicherheitsexperten heraus. Das funktionierte so schnell und unauffällig, dass selbst Passanten keinen Verdacht schöpften.

Alle Fahrzeuge verwenden die gleichen symmetrischen Schlüssel für die kryptographischen Funktionen. Einmal entwendet, funktionieren sie auch bei anderen Autos der Marke – und das nicht nur in Deutschland, sondern auf der ganzen Welt. Zudem lief auch die Datenübertragung zu BMW ohne Transportverschlüsselung – ein schwerwiegender Fehler, der allerdings mittlerweile behoben ist.

In technischer Hinsicht lassen sich aus dem BMW-Hack drei Bedingungen ableiten, um intelligente Autos in Zukunft sicher nutzen zu können. Erstens: Jedes Fahrzeug benötigt individuelle kryptographische Schlüssel. Die Hersteller dürfen also nicht mit Schlüsseln geizen, sondern müssen dafür sorgen, dass jedes Fahrzeug seinen eigenen, sicheren Schlüssel erhält.

Zweitens kommt es auf die Qualität an. Nur hochwertiges kryptographisches Schlüsselmaterial erzeugt durch echte Zufallszahlgeneratoren wertvolle Daten – und wie dieser Fall zeigt: auch wertvolle Güter – ausreichend ab.

Und drittens: Automobilhersteller müssen auch Zulieferer in ihr Sicherheitskonzept einbinden. Dazu ist es unumgänglich, eine durchgehende Sicherheitskette zu entwickeln und dafür zu sorgen, dass diese von allen Seiten eingehalten werden kann. Ein positives Branchenbeispiel, wo dies schon funktioniert, ist z.B. die Finanzbranche – hier ist vor allem der Zahlungsverkehr zu nennen. Dort hat man erkannt, dass Sicherheitsanker in Form von Hardware-Security-Modulen notwendig sind, um die Betriebsgeheimnisse und -informationen von Herstellern beim Zulieferer zu schützen und zu kontrollieren.

Umfassendes Sicherheitskonzept vonnöten

Vorfälle wie bei BMW machen deutlich, dass gerade im Bereich der IT-Sicherheit die Industrie noch einen weiten Weg zu gehen hat. So wird sich im Bereich Sicherheitssoftware ein Umdenken einstellen, denn produzierende Unternehmen benötigen ein umfassendes Sicherheitskonzept, das bereits zu Beginn der Produktionskette greift sowie eine robuste, langlebige Implementierung der entsprechenden Lösungen. Ein wesentlicher Aspekt bei der Weiterentwicklung der smarten Produkte sind zudem einheitliche Sicherheitsstandards, die für alle beteiligten Unternehmen gelten und sich überdies von neutralen Einrichtungen, wie dem Bundesamt für Sicherheit in der Informatik, zertifizieren lassen.



©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok