Cybersecurity-Report von Upstream
Neue Angriffsvektoren verändern die Security
Upstream macht in seiner fünften Ausgabe des »Global Automotive Cybersecurity Report« deutlich, dass Cyberangriffe häufiger und »raffinierter« werden und über den direkten Angriff auf ein Fahrzeug mittlerweile auch Flotten, Mobilitätsanwendungen und -dienste sowie die Ladeinfrastruktur betreffen.
Der israelische Cybersecurity-Spezialist Upstream hat seinen neuen Cybersecurity-Report vorgestellt und macht darin deutlich, dass aufgrund der zunehmenden Vernetzung, neuer Technologien und Dienstleistungen die Angriffsmöglichkeiten deutlich zugenommen haben und dass alle, die im Mobilitätsgeschäft aktiv sind, handeln müssen – also nicht nur die OEMs, Tier-Ones und Tier-Twos, sondern auch Flottenmanager, Ladeinfrastrukturbetreiber und selbst Versicherungsunternehmen. Yoav Levy, Mitbegründer und CEO von Upstream, erklärt dazu: »Hacker werden immer raffinierter und greifen nicht mehr nur Fahrzeuge an, sondern auch die dafür notwendigen Back-End-Server, die Ladeinfrastruktur für Elektrofahrzeuge und jede Anwendung, die die verschiedenen Teilhaber in dem Gesamtsystem miteinander verbinden.«
Neue Angriffsmöglichkeiten
Was hat sich verändert und welche neuen Angriffsmöglichkeiten gibt es heute? Aus der Sicht von Levy gehören beispielsweise neue Abo-Modelle dazu. Die Idee, mit diesen Abo-Modellen zusätzliche Umsätze zu generieren, machen sie für OEMs durchaus attraktiv. In diesem Zusammenhang verweist Levy als Beispiel auf General Motors. Das Unternehmen hat laut eigenen Angaben 2021 über 2 Mrd. Dollar mit fahrzeuginternen Diensten im Abo eingenommen; General Motors geht davon aus, dass dieser Betrag bis 2030 auf 20 bis 25 Mrd. Dollar ansteigen wird.
Die Analysten von McKinsey sind überzeugt, dass das Umsatzwachstum der OEMs in Zukunft in erheblichem Maße von diesen Abonnementdiensten bestimmt wird: Diese Einnahmequellen soll den OEM-Umsatz in den nächsten zehn Jahren um 30 Prozent steigern. »Softwaredefinierte Fahrzeuge und APIs machen es für den OEM möglich, Probleme zu beheben, bereits integrierte Funktionalitäten freizuschalten und neue Funktionen via Software-Updates hinzuzufügen. Das eröffnet neue Einnahmequellen, aber auch die Tür zu neuen Angriffsvektoren«, so Levy weiter.
Eine weitere neue Angriffsmöglichkeit stellen Auto-Apps von Drittanbietern dar. Sie verbessern aus der Sicht von Levy zwar die Nutzererfahrung, aber erhöhen auch das Risiko für die OEMs. »Diese Apps sind so konzipiert, dass sie mit dem Mobilgerät des Fahrers oder der Cloud zusammenarbeiten und dem Fahrer das Fahren, Aufladen oder Nutzen eines Fahrzeugs erleichtern. Damit brauchen die Diensteanbieter aber auch Zugang zu sensiblen Fahrzeugdaten wie Telemetrie, Standort, Aufladung, Service, Modell etc., in manchen Fällen sogar den Zugriff auf die Fahrzeugsteuerung. Das ist ein erhebliches Risiko«, so Levy.
Hinzu käme noch, dass viele Apps bzw. Dienste der Drittanbieter von den OEMs gar nicht zugelassen sind. Also würden die Nutzer ihre ursprünglichen Anmeldedaten direkt an den Drittanbieter übermitteln, der dann die OEM-API verwendet, um ein Token zu generieren, was sowohl für die OEMs als auch für die Nutzer zu erheblichen Sicherheitslücken führt. Als Beispiel, welche Probleme damit verbunden sein können, verweist Levy auf einen Fall von White-Hackern: Anfang 2022 hatte ein deutscher Cybersecurity-Forscher eine Schwachstelle in einer beliebten App eines Drittanbieters gefunden, die ihm Zugang zu allen Funktionen der OEM-Anwendung verschaffte und es ihm ermöglichte, 25 E-Fahrzeuge in aller Welt fernzusteuern. Levy erklärt weiter, dass nur wenige OEMs dieses mögliche Problem adressieren würden.
Jobangebote+ passend zum Thema
Auch die Ladeinfrastruktur schafft aus Levys Sicht neue Angriffsmöglichkeiten, denn sie sei für physische und ferngesteuerte Manipulationen anfällig. Auch in diesem Zusammenhang kennt er ein Beispiel: Im April 2022 veröffentlichten Forscher der Universität Oxford und von Armasuisse S+T Details einer neuen Angriffstechnik mit dem Namen »Brokenwire«, die die Fähigkeit, Elektrofahrzeuge in großem Umfang aufzuladen, aus der Ferne stören könnte. Levy: »Diese Schwachstellen können tiefgreifende Auswirkungen auf die Akzeptanz von E-Fahrzeugen und die Elektrifizierung von Flotten haben.« Dementsprechend müssten alle Akteure daran arbeiten, dass sichergestellt ist, dass die Verbraucher der von ihnen genutzten Ladeinfrastruktur vertrauen können.
Darüber hinaus müssen sich aus Levys Sicht auch Flottenbetreiber mittlerweile mit dem Thema Security auseinandersetzen. Levy: »Durch die Nutzung von Telematikdaten, die bereits von vernetzten Fahrzeugen erfasst werden, können Flotten ihre Prozesse modernisieren, die Fahrzeugwartung proaktiv verwalten, Pannen verhindern, ungeplante Ausfallzeiten reduzieren, die Flottenauslastung maximieren und die Umsatzströme steigern.« Das hat allerdings den entscheidenden Haken, dass damit Hackern die Möglichkeit eröffnet wird, mehrere Flottenfahrzeuge gleichzeitig anzugreifen, »was eine unmittelbare Gefahr für die Sicherheit der Fahrer darstellt, weitreichende Serviceunterbrechungen verursacht und zu massiven finanziellen und Markenschäden für die Flotte führt«, so Levy weiter.
Allerdings erklärt er auch, dass flottenweite Angriffe derzeit noch selten sind; dafür stellen Datenschutzverletzungen und Ransomware-Angriffe weiterhin eine ständige Bedrohung für Flottenbetreiber dar. Levy: »Im April 2022 wurde ein in Deutschland ansässiger Anbieter von Fahrzeugvermietung, Carsharing und Ride-Hailing von einem Cyberangriff getroffen, der ihn zwang, den Zugang zu allen IT-Systemen einzuschränken, was zu einer weitreichenden Unterbrechung seines weltweiten Betriebs führte. Das Unternehmen reagierte schnell und effektiv und beschränkte die Auswirkungen auf eine kurzfristige Unterbrechung der Kundendienste und bestimmter Filialen.« Levy fordert, dass die Flottenbetreiber sich darauf vorbereiten müssten, dass ein Angriff stattfindet, denn nur dann können sie langfristige Ausfälle vermeiden.
Auch Mobility-as-a-Service (MaaS), auch wenn es noch am Anfang steht, bringt für Levy neue Angriffsmöglichkeiten mit sich. Dementsprechend fordert er neue Sicherheitsstandards in diesem unbekannten Gebiet. Levy: »Elektrisch betriebene und vollständig autonome Mobilitätsdienste haben das Potenzial, einige der weltweit größten Herausforderungen im Verkehrswesen zu lösen, aber das Cyberrisiko ist ebenso hoch.« Was passieren kann, macht Levy wieder an einem Beispiel deutlich: »Einer der größten Taxidienste in Russland wurde am 1. September 2022 von Anonymous gehackt, was zu massiven Verkehrsstaus in Moskau führte. Die Hacker nutzten eine API-Schwachstelle aus und bestellten alle verfügbaren Taxis zu einer bestimmten Adresse. Die Fahrzeuge wurden bei diesem Angriff nicht als Ziele benutzt, sondern als Werkzeuge, um die öffentliche Infrastruktur der Stadt anzugreifen.«
- Neue Angriffsvektoren verändern die Security
- Die Anzahl der Angriffe auf APIs ist um 380 Prozent gestiegen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
IT-Security für Fahrzeuge
Lkw sind anfälliger für Hackerangriffe
Lückenhafter Datenschutz bei Fahrzeugen
So leicht können Hacker Autos übernehmen
AURIX TC4xx sollen die ersten sein
Infineon erhält Prozesszertifizierung nach ISO/SAE 21434
