Connected Car
Aus der Erfahrung der IT-Branche lernen
Neue Technik bringt leider auch neue Sicherheitsprobleme. Hier könnte die Automobilindustrie von der IT-Branche einiges lernen, sei es in punkto Datenschutz bei KI-gestützten Systemen, softwaredefinierter Vehikel oder auch Kommunikationsschnittstellen.
Die Konferenz WCX (World Congress Experience) beschäftigt sich mit Trends und Herausforderungen für die Architekten in der Mobilitätsbranche. Die diesjährige Ausgabe bot wieder eine gute Gelegenheit, die neuesten technologischen Entwicklungen in dem Bereich zu beobachten. Wie sehen aus der Perspektive der Cybersicherheit die potenziellen Auswirkungen und Risiken dieser neuesten Entwicklungen aus, und wie kann sich die Automobilindustrie bei der Bekämpfung ähnlicher Sicherheitsprobleme eine Scheibe von der IT-Branche abschneiden.
Softwaredefinierte Vehikel
In seiner Keynote betonte der Sprecher von Arm, dass eine der wichtigsten Entwicklungen die softwaredefinierten Fahrzeuge (SDVs) sind. Genau wie softwaredefinierte Netzwerke oder softwaredefinierte Funkgeräte bieten SDVs eine bequeme Möglichkeit, neue Funktionen zu bestehendem Fahrzeugdesign hinzuzufügen, indem lediglich die Software erweitert wird. Dadurch können Entwicklungskosten erheblich gesenkt werden, da es in der Regel viel länger dauert, das Hardware-Design zu ändern als das der Software. Die Abhängigkeit von der Software kann jedoch auch neue Sicherheitsprobleme mit sich bringen.
Der Redner wies auf häufig genannte interessante Zahlen hin: Die Software eines modernen Fahrzeugs umfasst 100 Millionen Codezeilen, im Vergleich zu den lediglich 14 Millionen Zeilen für die Flugsoftware eines Boeing 787 Passagierflugzeugs. Bei einem vollständig autonomen Fahrzeug kann diese Zahl sogar fünf- bis zehnmal so hoch sein.
Natürlich ist es unmöglich, eine so große Codemenge von Grund auf neu zu schreiben. Die Konstrukteure müssen sich auf bestehende Softwarebibliotheken anderer Hersteller oder Open-Source-Projekte stützen. Daher ist es von entscheidender Bedeutung zu lernen, wie man sicheren Code schreibt, und wie man das Risiko bei der Verwendung von Softwarebibliotheken aus anderen Quellen minimiert.
Dieses Sicherheitsproblem ist für die IT-Branche nicht neu. Tausende von Sicherheitslücken werden jedes Jahr über das CVE-System gemeldet. Und es gibt viele hochkarätige Fälle von Sicherheitslücken in beliebten Open-Source-Softwarebibliotheken, wie Heartbleed und Log4Shell gezeigt haben. Das Problem bei solchen Vorfällen ist nicht nur ihr Ausmaß, sondern auch die Schwierigkeit, sie zu beheben. Die IT-Branche kämpft seit langem mit diesem Problem, und die Automobilindustrie könnte sich einige der Erfahrungen der IT-Branche zunutze machen.
ADASs und autonome Fahrzeugsysteme
Advanced driver assistance systems (ADASs) und autonome Fahrzeugsysteme gehörten zu den wichtigsten Themen der Konferenz, denen rund ein Dutzend technischer Sitzungen gewidmet waren.
Der Zweck von ADAS besteht darin, den Fahrer durch den Einsatz verschiedener Arten von Sensoren zu unterstützen. Sie können Unfälle und Verletzungen verhindern, indem sie menschliche Fehler reduzieren. Autonome Fahrzeuge nutzen viele ADAS-Techniken, die es den Fahrzeugen gestatten, ohne menschliches Eingreifen selbst zu fahren.
Es ist nur logisch, dass sich ADAS und autonome Fahrzeuge bei ihren Entscheidungen in hohem Maße auf KI stützen, und die meisten Sicherheitsaspekte der KI gelten auch für ADAS und autonome Fahrzeuge. Eines der wichtigsten Sicherheitsprobleme der KI ist der Datenschutz. Die Verwendung von echtem Kunden-Feedback zur Verfeinerung von KI-Modellen ist eine der effektivsten Methoden, um die Leistung von KI-Systemen zu verbessern. So wurde beispielsweise bekannt, dass zwei der größten Tech-Unternehmen der Welt die Gespräche von Kunden mit ihren KI-gestützten Produkten mithörten, um so ihre Produkte zu verbessern. Und vor kurzem sollen Mitarbeiter eines beliebten Elektroautoherstellers über ihr internes Nachrichtensystem sensible Bilder von Kundenfahrzeugen weitergegeben haben. Diese Vorfälle machen die potenziellen Risiken der gesammelten Daten deutlich. Wenn die Rückmeldedaten nicht ordnungsgemäß geschützt werden, könnte ein ernstes Datenschutzproblem entstehen.
Elektrische Vehikel
Elektrofahrzeuge waren ein weiteres wichtiges Thema. Angesichts des technischen Fortschritts und des Drucks von Regierungen auf der ganzen Welt haben die meisten Automobilhersteller Pläne entwickelt, ihre wichtigsten Produkte von herkömmlichen Verbrennungsmotoren auf Elektrofahrzeuge umzustellen. Die Einführung von Elektrofahrzeugen könnte neben neuen Chancen jedoch auch Risiken für die Cybersicherheit mit sich bringen.
Eines der wahrscheinlichsten potenziellen Cybersicherheitsrisiken betrifft das Ladenetz für E-Fahrzeuge. In der IT-Branche hat sich seit langem gezeigt, dass die Einführung einer neuen Kommunikationsschnittstelle auch einen neuen Angriffspfad hervorbringt. Nicht nur Elektroautos, sondern auch die Mobiltelefone in den Händen der Menschen haben ein Ladeproblem. Eine der effektivsten Methoden, um verschiedene Schutzmaßnahmen zu umgehen und in ein Mobiltelefon einzudringen, ist über den Ladeanschluss.
Aus diesem Grund hat das FBI vor kurzem empfohlen, die Nutzung kostenloser Ladestationen in Flughäfen, Hotels und Einkaufszentren zu vermeiden. Diese Art des Angriffs könnte auch für Elektrofahrzeuge gelten. Während jedoch die meisten Ladestationen für Mobiltelefone kostenlos zur Verfügung gestellt werden, ist die Energie von Ladestationen für E-Fahrzeuge viel kostspieliger und wird wahrscheinlich nicht kostenlos zur Verfügung gestellt. Daher könnten böswillige Akteure nicht nur E-Fahrzeuge von Ladestationen aus angreifen, sondern auch eine Ladestation selbst, um Energie zu stehlen.
Fazit
Es gibt weitere potenzielle Risiken für die Cybersicherheit, mit denen die Automobilindustrie bei der Einführung anderer neuer Technologien rechnen muss. So werden beispielsweise die neuen Kommunikationsschnittstellen, die durch Vehicle-to-Everything (V2X) entstehen, auch neue mögliche Angriffsvektoren mit sich bringen. Obwohl es bereits einige reale Fälle von Angriffen auf Fahrzeuge gibt, wie z. B. die Attacken auf schlüssellose Systeme, sind viele Angriffsszenarien auf Fahrzeuge in der realen Welt noch nicht vorgekommen.
Die IT-Branche hat jedoch eine ähnliche Geschichte durchlaufen. Zu Beginn wurden Computerviren nur zum Spaß und zur Angeberei entwickelt. Heute beläuft sich der durch Cyberkriminalität verursachte Schaden jedes Jahr auf Billionen Dollar. Anfangs hatte es die IT-Branche nur mit ein paar jugendlichen Spinnern zu tun. Heute muss sie jeden Tag gegen viele organisierte Kriminelle und sogar staatlich geförderte Hacker kämpfen.
Wie wir aus den Erfahrungen der IT-Branche gelernt haben, werden Kriminelle früher oder später die Sicherheitslücken ausnutzen, um Geld zu verdienen, solange der finanzielle Anreiz besteht. Es ist in der Regel teurer, ein Sicherheitsproblem zu beheben, nachdem es zu einem Vorfall gekommen ist. Die beste Lösung besteht daher darin, die Sicherheit bereits beim ersten Schritt zu berücksichtigen und zu verhindern, dass ein Angriffsszenario zu einer echten Bedrohung wird.