Automobilhersteller sollen Erklärung für mehr Cyber-Sicherheit unterzeichnen

„Moderne Fahrzeuge sind Computer auf Rädern, zunehmend vernetzt und durch Software und Embedded Devices gesteuert", erklärte Josh Corman, Mitbegründer von „I am the Cavalry“.

„Neue Technologie geht mit neuen Arten von Unfällen und auch Bedrohungen einher, die vorhergesehen und vorbeugend angegangen werden müssen“, so Corman weiter. „Böswillige Angreifer, Software-Schwachstellen und Fragen der Privatsphäre sind mögliche unbeabsichtigte Folgen der Computertechnik hinter diesen aktuellen Innovationen.“

Zu den innovativen aber angreifbaren Technologien gehören die Auto-zu-Auto-Kommunikation, autonomes Fahren, die automatische Steuerung von Verkehrsflüssen, Parkassistenten, Kollisionsvermeidung und Funktionen für die Fernsteuerung so zum Beispiel die Abschaltung gestohlener Fahrzeuge und Notruf-Assistenten.

Die Interessengruppe forderte Autohersteller zur Unterzeichnung ihres Sicherheitsprogramms – dem „Five Star Automotive Cyber Safety Program“ – auf. Dieses umfasst:

1. Sicherheit nach Plan(Hersteller sollten über einen sicheren Lebenszyklus in ihrer Software-Entwicklung verfügen, der die Konstruktion, die Entwicklung und Tests zur Widerstandsfähigkeit des Autos gegen Angriffe zusammenfasst).

2. Zusammenarbeit mit Dritten(Autohersteller sollten sich eingestehen, dass auch ihnen Fehler unterlaufen, Offenlegungsrichtlinien umsetzen und mit Sicherheitsforschern zusammenarbeiten).

3. Sicherung von Beweisen(aus Fehlern lernen; Sicherheitsuntersuchungen anhand einer manipulationssicheren und belastbaren Protokollierung und Beweissicherung).

4. Sicherheits-Updates(auftretende Sicherheitsprobleme umgehend behandeln).

5. Aufteilung & Isolation(nicht-kritische Systeme wie zum Beispiel Unterhaltungssysteme sollten getrennt von kritischen/physischen Systemen wie den Bremsen laufen).

Die CEOs der Automobilbranche können das Sicherheitsprogramm durch Unterzeichnung der Petition innerhalb der nächsten 90 Tage unterstützen. Der offene Brief der „Cavalry“-Gruppe wurde letzte Woche im Rahmen der Defcon-Hackerkonferenz in Las Vegas veröffentlicht.

„I Am The Cavalry“ ist eine Basisorganisation, die dort aktiv wird, wo sich Computer-Sicherheit und öffentliche Sicherheit überschneiden, so zum Beispiel in den Bereichen Medizin, Automobilbau, Heimelektronik und öffentliche Infrastrukturen.

Bitdefender hat schon 2011 über Sicherheitsprobleme in Fahrzeugen berichtet. Zwei Jahre später machten sich Hacker daran, eine Anleitung zur übernahme eines Toyota Prius sowie Ford Escape zu veröffentlichen.

Auch auf der BlackHat-Konferenz beschäftigte sich eine Publikation mit dem Titel „A Survey of Remote Automotive Attack Surfaces“ mit der Problematik des Auto-Hackings per Fernzugriff. Laut The Register kamen der Twitter-Sicherheitsexperte Charlie Miller und Chris Valasek, Director of Security Intelligence bei IOActive, dabei zu dem Schluss, dass die Hacking-Angriffe äußerst schwierig und zudem vom Fahrzeugmodell abhängig sind.

rn