Bloss ein Drittel der Autofahrer sieht in der zunehmenden Vernetzung der Autos einen Vorteil. Dies hat eine Studie des Consultingunternehmens Deloitte in Deutschland ergeben. In den USA sind die Zahlen nicht ganz so drastisch, aber auch da ist die Mehrheit der Autofahrer kritisch eingestellt gegenüber der stärker werdenden Connectivity in den Fahrzeugen. Zur Schweiz gibt es keine Zahlen, es darf aber davon ausgegangen werden, dass es bei uns ähnlich aussieht. Dabei sehen die Kunden vor allem eine drohende Gefahr: Hacker. Sowohl in den USA wie auch in Deutschland hatten zwei Drittel der Befragten Angst um ihre persönliche Sicherheit, weil ihr Auto gehackt werden könnte. Die AUTOMOBIL REVUE hat sich mit Jörg Zimmer, Vice President EMEA Sales von Blackberry QNX, unterhalten und nachgefragt, welche Gefahren mit der Digitalisierung unserer Fahrzeuge auf uns zukommen und wie gross das Risiko eines Hackerangriffs wirklich ist.
Blackberry bietet mit QNX ein eigenes Betriebssystem für Autos und Nutzfahrzeuge an, auf das die Hersteller ihre Anwendungen und Applikationen laden können. Zimmer ist somit bestens vertraut mit den Risiken, die die Digitalisierung und Vernetzung in der Automobilbranche mit sich bringen. Für den Experten ist klar: Die Sicherheit eines Systems gegen Hackerangriffe ist eng verbunden mit der Funktionssicherheit. Entsprechend sieht er die Hersteller in der Pflicht, ihre Fahrzeuge während Jahren oder sogar Jahrzehnten nach der Auslieferung noch mit Updates zu versorgen. Nur wenn die «functional Safety» gegeben sei, könne auch die «Security» funktionieren und umgekehrt. Regelmässige Softwareupdates seien deshalb schon bald unerlässlich und müssten auch gesetzlich vorgeschrieben werden, ist Zimmer überzeugt.
AUTOMOBIL REVUE: Wie wichtig sind regelmässige Updates für die Sicherheit unserer Fahrzeuge?
Jörg Zimmer: Man kann den Vergleich ziehen zu einem Mobiltelefon. Wenn mein Telefon eine Fehlfunktion hat, dann ärgere ich mich im schlimmsten Fall darüber, aber dabei komme ich nicht zu Schaden. Im Fahrzeug kann das anders sein. Da gibt es sehr komplexe Systeme, und wenn die gehackt werden, weil meine Software veraltet ist und dann meine Lenkung nicht mehr funktioniert, habe ich ein Problem. Da gab es ja prominente Hacks, wie den Jeep-Hack. Und da hat man bewiesen: Wenn die Software immer komplexer und umfangreicher wird, dann muss man sie regelmässig updaten und mit anderen Mechanismen schützen.
Das heisst, es wird in Zukunft Pflicht-Updates geben, die der Kunde machen muss, weil sonst sein Auto nicht mehr betriebssicher ist?
Softwareupdates sind in Zukunft sicherlich notwendig. Und das ist etwas, was die Automobilindustrie schon in der Herstellung berücksichtigen und dann während der gesamten Lebensdauer eines Autos aufrechterhalten muss. Auf dem Papier klingt das einfach, in der Praxis ist aber sehr viel notwendig, damit das funktioniert. Wieder der Vergleich mit dem Mobiltelefon: Wenn dieses drei Jahre alt ist und der Support eingestellt wird, beisse ich als Kunde halt in den sauren Apfel und kaufe mir ein neues Telefon. Ein Auto hat eine Lebensdauer von zehn und mehr Jahren – da müssen sich die Hersteller schon überlegen, wie sie das machen wollen, und vor allem, wie das finanziert wird.
Sind die Hersteller darauf vorbereitet, für ihre Fahrzeuge in den nächsten 20 Jahren Softwaresupport anzubieten?
Aus meiner Sicht sind sich die Hersteller dessen schon bewusst. Aber es ist natürlich eine wichtige Frage, wie man das umsetzt. In der Vergangenheit war es ja so, dass man mit einem Auto einmal ein Geschäft abgewickelt hat, nämlich beim Verkauf. Dann kam noch ein bisschen etwas dazu mit den Ersatzteilen. Das wird in Zukunft anders sein, wenn ein Hersteller sich über Jahre um den Support für diese Fahrzeuge kümmern muss. Deshalb stellt sich auch die Frage: Werden wir in Zukunft noch Autos besitzen? Die Anzahl geleaster Fahrzeuge nimmt stetig zu, dazu kommen jetzt noch Abomodelle. So kann es durchaus sein, dass es zukünftig ganz andere Businessmodelle gibt, was den Fahrzeugbesitz betrifft. Letztlich stellt sich dann die Frage, wozu der Kunde bereit ist. Will der Kunde einen lebenslangen Servicevertrag abschliessen für sein Fahrzeug? Wird das möglicherweise auch vom Gesetzgeber schon bald gefordert?
Von wem wird der Gesetzgeber das fordern? Vom Hersteller im Sinne einer Gewährleistung, oder wird der Kunde in die Pflicht genommen?
Beides ist möglich. Ich kann mir gut vorstellen, dass der Gesetzgeber während einer gewissen Zeit den Hersteller dafür verantwortlich macht, Produktupdates zu liefern. Und nach Ablauf einer gewissen Frist ist dann der Kunde verantwortlich. Aber der Hersteller muss natürlich weiterhin die entsprechenden Dienste anbieten. Man könnte sich vorstellen, dass der Gesetzgeber einen periodischen Nachweis erfordert, dass die Verkehrssicherheit noch gegeben ist. Das ist ja bereits heute so mit der Hauptuntersuchung beim TÜV. Und genauso wie da die Funktion der Bremsen kontrolliert wird, könnte auch die Aktualität der sicherheitsrelevanten Software überprüft werden.
Sehen Sie das Risiko eher im Bereich der Safety oder im Bereich der Security? Oder anders gefragt: Ist die Herausforderung eher die Ausfallsicherheit oder ein Hackerangriff?
Das verschwimmt inzwischen stark. Wenn ein System nicht secure ist, dann ist es auch nicht mehr safe, weil man über die Schwachstellen darauf zugreifen und das System manipulieren kann. Und dann kann man sich natürlich alles vorstellen. Wenn die Fahrzeuge einer Marke gehackt und alle Motoren abgestellt werden, ist das ein massiver Imageschaden für einen Hersteller. Und wenn das in einem blöden Moment geschieht, kann das auch zu Unfällen führen. Genauso kann man sich aber vorstellen, dass Veränderungen an Bremse oder Lenkung vorgenommen werden, einfach, um bekannt zu werden, um jemanden zu erpressen oder um ein Chaos zu veranstalten.
Und gegen wen werden sich solche Angriffe richten?
Ich sehe jetzt weniger die Gefahr, dass ich Angst haben muss, dass mein Nachbar mein Auto hackt, weil er ein Problem mit mir persönlich hat. Ich sehe die Gefahr eher darin, dass jemand eine Schwachstelle in einem System eines Herstellers entdeckt und dann diesen damit erpresst, so wie das heute kriminelle Organisationen mit sogenannter Ransomware machen, wo Schadsoftware auf einem System installiert wird, die erst gegen Lösegeldzahlung wieder entfernt wird. Wir arbeiten daran und unterstützen unsere Kunden dabei, sich vor solchen Angriffen zu schützen. Aber man muss abwägen, was Sinn macht, weil die Kosten dafür potenziell sehr hoch sind. Gegen alles kann man sich mit vertretbaren Kosten nicht schützen.
Wie gross schätzen Sie dieses Risiko eines solchen Hackerangriffes ein?
Das Risiko ist aus meiner Sicht sehr real. Wann und wie das kommen wird, das wissen wir nicht. Wenn ich aber sehe, was in den letzten Wochen und Monaten durch die Presse gegangen ist, Angriffe gegen Krankenhäuser in Deutschland oder Regierungseinrichtungen in den USA, dann denke ich, dass das auch für Automobilhersteller eine sehr reale Gefahr ist. Die Frage ist für mich eher, wann eine kritische Masse erreicht ist, wo sich der Aufwand für einen solchen Angriff lohnt. Wenn man sich die bekannten Hacks gegen Jeep oder Tesla anschaut, dann waren diese noch sehr aufwendig, die Vorbereitung der Angriffe benötigte technisches Wissen und vor allem einen physischen Zugang zu den Autos, die gehackt werden sollten. Das war alles nicht so trivial. In Zukunft, wo man immer mehr remote machen muss und machen kann, gibt es auch andere Einfallstore, die man schützen muss. Ich bin mir sehr sicher, dass Autos zukünftig ein beliebtes Angriffsziel sein werden. Dann wird sich zeigen, wer sich am besten geschützt hat und am wenigsten Schwachstellen in seinem System bietet. Aus meiner Sicht sind da die OEM (Ersthersteller – Red.) in einer kritischen Situation und müssen sich damit auseinandersetzen.
Sind sich die OEM bewusst, welches Risiko auf sie zukommt?
Ich denke schon, dass sie sich dessen bewusst sind. Aber das Thema ist komplex, und es gibt einiges zu berücksichtigen. Das beginnt bereits bei der Entwicklung, wo gewisse Dinge verschlüsselt werden müssen, oder bei der Herstellung, wo man sicher sein muss, dass nur diejenigen Komponenten auf den Steuergeräten sind, die auch drauf sein sollen. Und ja: Einen Teil wird man auch über Softwareupdates lösen müssen, weil sich neue Erkenntnisse ergeben und Risiken neu bewertet werden.
Wird das Risiko mit mehr autonomen Fahrfunktionen noch zunehmen? Wird es da in Zukunft noch mehr Angriffspunkte geben als heute?
Jein. Mehr Angriffspunkte wird es nicht zwangsläufig geben, denn das sind vor allem die Schnittstellen nach aussen, die ändern sich nicht markant, und die Schutzmechanismen bleiben ähnlich. Autonomes Fahren bedeutet aber vor allem mehr und komplexere Software und mehr Sensoren und Aktoren. Dann ist es auch so, dass autonome Fahrfunktionen die höchsten Anforderungen an die Ausfallsicherheit haben. Da muss man schon sicherstellen, dass man diese nicht hacken kann. Darüberhinaus sind natürlich auch die Auswirkungen ganz andere als bei einem Auto, das keine autonome Fahrfunktionen aufweist. Wenn ich mir vorstelle, dass das System eines bestimmten Herstellers gehackt wird und dann bei allen Autos die programmierten Zieladressen gelöscht und stattdessen alle diese Autos nach Zürich geschickt werden, dann gibt das ein riesiges Chaos. Insofern sind autonome Fahrzeuge noch einmal ein deutlich attraktiveres Ziel für Angriffe.
Mögliche Angriffspunkte für Hacker
Handsender Der einfachste Weg, um ein Auto anzugreifen, führt über die Fernbedienung. Das Signal kann mit wenig Aufwand abgefangen und ein Auto entriegelt und sogar gestartet werden. Viele Hersteller haben inzwischen nachgebessert. Die möglichen Auswirkungen sind gering, da jedes Auto einzeln angegriffen wird.
Apps Fast jeder Hersteller hat heute eine Smartphone-App, mit der das Auto aus der Ferne bedient werden kann. Auch Flottenbetreiber setzen sie ein, um ihre Fahrzeuge zu überwachen. Experten-berichte warnen, dass diese ein signifikantes Risiko darstellten, da sie oftmals unzureichend geschützt seien oder schwache Passwörter verwendeten.
Infrastruktur/Server Der Zugriff zum Server des Herstellers oder Flottenbetreibers stellt ein zerstörerisches Risiko dar. Hacker könnten nicht nur Daten wie Kreditkarteninformationen entwenden, sondern im Extremfall auch Zugang zu allen verbundenen Fahrzeugen erhalten, diese mit Schadsoftware infizieren oder deren Kontrolle übernehmen.