SPIEGEL ONLINE

SPIEGEL ONLINE

01. November 2016, 04:52 Uhr

IT-Sicherheit von Autos

"Man hat keine andere Wahl, als den Herstellern zu trauen"

Ein Interview von

Ken Munro hat das Zeug zum Autodieb oder Erpresser, doch der Hacker stellt sein Können lieber in die Dienste von Unternehmen. Die Hersteller, sagt er, hinken beim Thema IT-Sicherheit noch hinterher - mit einer Ausnahme.

Immer gut, wenn Interviews mit einer Feststellung des Interviewpartners statt der Frage des Reporters beginnen. Ken Munro ist jedenfalls gleich bei der Sache. Grundsätzlich habe er nichts gegen selbstfahrende Autos einzuwenden, macht der IT-Spezialist gleich zum Anfang des Gesprächs deutlich. "Aber", sagt er, "beim Thema autonome Fahrzeuge reden die Autohersteller immer von 'Möglichkeiten'. Sie meinen damit das Potenzial, tödliche Unfälle zu vermeiden. Ich denke beim Thema autonomes Fahren auch sofort an Möglichkeiten. Aber eher im Sinne von Hackerattacken."

SPIEGEL ONLINE: Warum sind denn ausgerechnet autonome Autos verwundbar?

Munro: Automatische Schließmechanismen, Reifendruckmesser und vergleichbare Systeme nutzen Funkfrequenzen. Das Infotainment-System ist über WLAN mit dem Internet verbunden. All diese Dinge sind potenzielle Einfallstore - schon heute. Für autonome Autos braucht man nun zusätzlich Sensoren: Radar, Lidar und Kameras, die miteinander kommunizieren müssen. Diese Technologien werden zu Schwachstellen, wenn sie nicht richtig geschützt sind. Jeder Hersteller will als erster ein autonomes Fahrzeug auf den Markt bringen und Vorreiter bei der Digitalisierung sein. Dabei handeln sie manchmal überstürzt und machen Fehler.

SPIEGEL ONLINE: Zum Beispiel?

Munro: Der einfachste Weg, ein Auto anzuzapfen, ist die Smartphone-App. Viele neue Fahrzeuge, die vernetzt sind, bieten eine App, über die man den Wagen öffnen oder vorheizen kann oder Ziele direkt ans Navigationssystem schickt. Wenn diese App nicht richtig geschützt ist, heißt es: Hereinspaziert.

Munro kommt direkt von der Bühne der Pariser Technologie-Konferenz Hello Tomorrow zum Interview. Dort hielt er einen Vortrag über IT-Sicherheit. Vor ihm war der Entwicklungschef eines großen Autoherstellers an der Reihe - der das Publikum für die Möglichkeiten autonomer Fahrzeuge zu begeistern versuchte.

SPIEGEL ONLINE: Gibt es Hersteller, die bei der IT-Sicherheit vorbildlich arbeiten?

Munro: Ja, Tesla zum Beispiel.

SPIEGEL ONLINE: Ausgerechnet Tesla? Erst im September 2016 hat eine chinesische Sicherheitsfirma demonstriert, wie sie sich Zugriff auf ein Model S von Tesla verschaffen konnte. Die Hacker konnten das Auto während der Fahrt per Fernbedienung abbremsen.

Munro: Das stimmt, aber Tesla hat rasch reagiert und konnte die Sicherheitslücke sofort schließen. Die schnelle Reaktion war ausgerechnet durch die Möglichkeit von "Over the Air"-Updates möglich…...

SPIEGEL ONLINE: … ...wo neue Software über eine WiFi-Internetverbindung auf dem Auto installiert wird.

Munro: Genau diese Schnittstelle hatte den Hackern zunächst als Einfallstor gedient. Aber als Tesla auf die Schwachstelle aufmerksam gemacht wurde, konnte die neue, sichere Version bei sämtlichen Modellen runtergeladen werden, ohne dass die Fahrzeuge in die Werkstatt mussten.

SPIEGEL ONLINE: Raten Sie jedem Hersteller zu solchen "Over the Air"-Updates?

Munro: Daran führt meiner Meinung nach kein Weg vorbei. Sonst hat jede aufgedeckte Schwachstelle eine Rückrufaktion zur Folge, und die sind für die Hersteller teuer und für die Kunden nervig. Software wird zu einem immer wesentlicheren Bestandteil von Fahrzeugen. Aber keine Software ist perfekt oder für immer vor Zugriffen geschützt. Gerade deshalb ist es wichtig, dass sie ständig und schnell verbessert werden kann, ohne dass die Autos dafür jedes Mal in die Werkstatt müssen.

SPIEGEL ONLINE: In Deutschland stehen Behörden solchen Updates kritisch gegenüber. Sie geben zu bedenken, dass die online heruntergeladenen Neufunktionen nicht von unabhängiger Stelle geprüft werden.

Munro: Das stimmt. Man hat keine andere Wahl, als dem Autohersteller zu trauen. Das gleiche gilt zum Beispiel auch für Banken, bei denen man über eine verschlüsselte Webseite Geld überweist. Aber in beiden Fällen kann man davon ausgehen, dass die Anbieter alles daran setzen, dass die übermittelten Funktionen zuverlässig arbeiten. Das liegt im Eigeninteresse der Hersteller.

SPIEGEL ONLINE: Reicht das wirklich aus? Tesla zum Beispiel hat seine "Autopilot"-Funktion per "Over the Air"-Update in die Model-S-Flotte geschickt. Inzwischen hat sich herausgestellt, dass diese nicht den geltenden Gesetzen entsprach. Wäre es nicht sicherer, wenn unabhängige Experten sich diese Updates anschauen würden?

Munro: In der Theorie ja, aber ich glaube nicht, dass die Behörden derzeit überhaupt dazu in der Lage sind. Es würde auch einen extremen Aufwand und hohe Kosten für sie bedeuten: Jedes Modell und jedes Steuergerät für die Bordelektronik müsste untersucht werden. Dazu fehlt es schlicht an Expertise.

SPIEGEL ONLINE: Ist den Autobesitzern klar, wie viele Schwachstellen ihr Wagen hat?

Munro: Nein. Meistens hat man doch nur den Anspruch, dass der Wagen zuverlässig anspringt. Viele Leute sind schon zu faul, sich ein sicheres Codewort für ihren Computer oder ihr Handy zu überlegen.

SPIEGEL ONLINE: Wie kann ich als Kunde dafür sorgen, dass Hersteller mehr Wert auf die Sicherung der Elektronik legen?

Munro: Sie müssen mehr Fragen stellen, wenn sie sich ein neues Auto kaufen.

SPIEGEL ONLINE: Zum Beispiel?

Munro: Wie die Sicherheitssysteme funktionieren und was getan wird, um die Gefahr eines Hacks zu verhindern. Ich würde mich außerdem erkundigen, wie der Hersteller vorgeht, wenn ein Sicherheitsleck entdeckt wird. Kann das Problem behoben werden, ohne dass ich das Auto in die Werkstatt bringen muss?

SPIEGEL ONLINE: Was ist ihr Eindruck: Sind die Hersteller in den vergangenen Jahren in Sachen IT-Sicherheit weitergekommen?

Munro: Ja, sie haben auf jeden Fall dazugelernt. Aber sie haben immer noch einen langen Prozess mit vielen Herausforderungen vor sich.

SPIEGEL ONLINE: Was ist die härteste Herausforderung?

Munro: Sie müssen die Geschwindigkeit der Verschlüsselungssysteme, die für die IT-Sicherheit nötig sind, mit den Kundenansprüchen unter einen Hut bringen. Oder wollen Sie vor dem Losfahren jedes Mal eine halbe Minute warten, bis ihr Auto alle Kodierungen durchgecheckt hat?

URL:

Verwandte Artikel:

Mehr im Internet


© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung