Defcon: Hacker fordern mehr Sicherheit von Autoherstellern

Eine Gruppe aus Hackern und Sicherheitsforschern hat sich im Rahmen der Konferenz Defcon in Las Vegas an Autohersteller gewandt. In einem offenen Brief fordern sie Verbesserungen der Cyber-Sicherheit aktueller In-Car-Systeme.

Die Gruppierung mit dem Namen „I Am The Cavalry“ war vor einem Jahr gegründet worden. Nach eigenen Angaben unterscheidet sie sich von anderen Aktivisten dadurch, dass sie Beziehungen zu Herstellern aufbauen und sie nicht einfach durch Veröffentlichung von Sicherheitslücken zum Handeln zwingen will.

„Moderne Fahrzeuge sind Computer auf Rädern, zunehmend vernetzt und durch Software sowie Embedded-Geräte kontrolliert“, heißt es in dem Brief, der sich an CEOs von Autoherstellern wendet. „Neue Techniken gehen aber mit neuen Arten von Unfällen und auch Feinden einher, die antizipiert und proaktiv angegangen werden müssen. Bösartige Angreifer, Software-Fehler und Fragen der Privatsphäre sind mögliche unbeabsichtigte Folgen des innovativen Einsatzes von Computertechnik.“

Fünf strategische Maßnahmen schlägt die Gruppe vor: erstens ein standardbasiertes Software-Entwicklungsprogramm, zweitens Kollaboration mit Dritten, beispielsweise Sicherheitsforschern; drittens Integration von Systemen in der Art einer Black Box, die Vorgänge für den Fall eines Zwischenfalls aufzeichnen.

Viertens sollten Sicherheitsaktualisierungen ohne Rückruf des Fahrzeugs möglich sein. Fünftens fordert die Expertengruppe die Hersteller auf, diejenigen Computersysteme physikalisch zu isolieren, die für kritische Funktionen wie Bremsen, Airbags oder Steuerung benötigt werden. Sie sollten – anders als bislang vielfach praktiziert – nicht auf der gleichen Hardware laufen wie mit dem Internet verbundene Infotainment-Systeme.

„Wenn Systeme sich Speicher, Rechenkraft oder Schaltkreise teilen, wie in den meisten Autos der aktuellen Generation, sind sie eine Gefahr für Leib und Leben“, schreibt The Cavalry. „Solche Risiken lassen sich vermeiden und verdienen stärkere Berücksichtigung.“

Die Aktivitäten der Gruppe fassten auf Defcon zwei Vertreter zusammen: Joshua Corman, CTO von Sonatype, und Nicholas J. Percoco, Vizepräsident bei Rapid7. Sie wiesen auch auf über Autos hinausgehende Aktivitäten in den Bereichen Medizin, Heimelektronik und öffentliche Infrastrukturen hin. Auf einer Website erklärt die Gruppe zudem, bei der Durchdringung des Alltags durch Technik gehe es zunehmend nicht mehr um die Frage „Können wir das tun?“ sondern „Sollen wir das tun?“.

Eine andere Haltung gegenüber der Autoindustrie verfolgen etwa die Sicherheitsforscher Charlie Miller und Chris Valasek, die letzte Woche Ergebnisse zu Funknetz-Angriffen auf 24 Autotypen vorlegten. Als besonders leicht zu hacken stuften sie die Modelle 2014 von Infiniti Q50 und Jeep Cherokee sowie das Modell 2015 des Cadillac Escalade ein, darunter waren also zwei Fahrzeuge von US-Herstellern. Miller erklärte dazu gegenüber Reuters: „Sie sagen, sie wüssten, was sie tun. Aber alle Fakten deuten in die andere Richtung.“

„Cyber-Sicherheit zählt zu den obersten Prioritäten der Branche, und wir arbeiten beständig an Verbesserungen“, erklärt beispielsweise die Auto Alliance, zu deren Mitgliedern BMW, Chrysler, Ford, Jaguar und VW zählen. „Fahrzeug-Ingenieure integrieren Sicherheitslösungen schon von den ersten Stufen des Designs und der Produktion an, und ihre Tests hören nie auf.“ Konkret wollte sich ihr Sprecher allerdings vorerst nicht zu den fünf Forderungen des offenen Briefes von The Cavalry äußern.

[mit Material von Matthew Broersma, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago