Schutz des Elektro- und softwaredefinierten Autos

„Putin ist ein Vollidiot. Ehre sei der Ukraine.“

Das haben gehackte Ladegeräte für Elektrofahrzeuge kürzlich unter anderem an behindertengerechten Ladestationen in der Nähe von Moskau gelesen. Und so sehr es vielen auf der ganzen Welt ein Lächeln ins Gesicht zaubert, so unterstreicht es auch einen Standpunkt mehrerer Forscher und Entwickler, die letzte Woche zusammenkamen Eskar 2022 (eine Konferenz, die sich jedes Jahr auf tiefgreifende technische Entwicklungen in der Automobil-Cybersicherheit konzentriert): Automobil-Hacks sind auf dem Vormarsch. Tatsächlich pro Bericht von Upstream Automotive, die Häufigkeit von Cyberangriffen ist von 225 bis 2018 um satte 2021 % gestiegen, wobei 85 % aus der Ferne durchgeführt wurden und 54.1 % der Hacks im Jahr 2021 „Black Hat“-Angreifer (auch böswillig genannt) waren.

Beim Anhören verschiedener, realer Berichte auf dieser Konferenz wurden einige Dinge deutlich: Es gibt sowohl gute als auch schlechte Nachrichten, basierend auf der seit jeher erforderlichen Konzentration auf diesen kritischen Bereich.

Die schlechte Nachricht

Vereinfacht ausgedrückt besteht die schlechte Nachricht darin, dass der technologische Fortschritt die Wahrscheinlichkeit von Ereignissen am ersten Tag nur noch wahrscheinlicher macht. „Elektrofahrzeuge entwickeln mehr Technologie, was bedeutet, dass es mehr Bedrohungen und Bedrohungsoberflächen gibt“, sagte Jay Johnson, leitender Forschungsleiter der Sandia National Laboratories. „Im Jahr 46,500 sind bereits 2021 Ladegeräte verfügbar, und bis 2030 wird die Marktnachfrage auf etwa 600,000 geschätzt.“ Johnson beschrieb weiterhin die vier wichtigsten Schnittstellen von Interesse und eine vorläufige Teilmenge der identifizierten Schwachstellen sowie Empfehlungen, aber die Botschaft war klar: Es muss ein ständiger „Aufruf zu den Waffen“ erfolgen. Nur so könne man, so schlägt er vor, Dinge wie Denial-of-Service-Angriffe (DoS) in Moskau vermeiden. „Forscher identifizieren weiterhin neue Schwachstellen“, erklärt Johnson, „und wir brauchen wirklich einen umfassenden Ansatz zum Austausch von Informationen über Anomalien, Schwachstellen und Reaktionsstrategien, um koordinierte, weit verbreitete Angriffe auf die Infrastruktur zu verhindern.“

Elektroautos und die dazugehörigen Ladestationen sind nicht die einzigen neuen Technologien und Bedrohungen. Das „softwaredefinierte Fahrzeug“ ist eine halbneue Architekturplattform (*vermutlich vor mehr als 15 Jahren von General Motors eingesetzt).GM
und OnStar), die einige Hersteller bekämpfen wollen Milliarden von Dollar werden verschwendet darauf, jedes Fahrzeug kontinuierlich weiterzuentwickeln. Die Grundstruktur besteht darin, einen Großteil des Gehirns des Fahrzeugs außerhalb des Fahrzeugs zu hosten, was eine Wiederverwendung und Flexibilität innerhalb der Software ermöglicht, aber auch neue Bedrohungen mit sich bringt. Dem gleichen Upstream-Bericht zufolge zielten 40 % der Angriffe in den letzten Jahren auf Back-End-Server ab. „Machen wir uns nichts vor“, warnt Juan Webb, Geschäftsführer von Kugler Maag Cie, „es gibt viele Orte in der gesamten Automobilkette, an denen Angriffe stattfinden können, von der Fertigung über Händler bis hin zu Offboard-Servern.“ Überall dort, wo das schwächste Glied existiert, das am billigsten zu durchdringen ist und die größten finanziellen Auswirkungen hat, werden die Hacker angreifen.“

Darin war ein Teil dessen, was bei Escar besprochen wurde, die schlechten und guten Nachrichten (abhängig von Ihrer Perspektive) der UNECE-Regelung tritt diese Woche für alle neuen Fahrzeugtypen in Kraft: Hersteller müssen ein robustes Cybersecurity Management System (CSMS) und Software Update Management System (SUMS) vorweisen, damit Fahrzeuge für den Verkauf in Europa, Japan und schließlich Korea zertifiziert werden. „Die Vorbereitung auf diese Zertifizierungen ist kein geringer Aufwand“, sagt Thomas Liedtke, Cybersicherheitsspezialist ebenfalls bei Kugler Maag Cie.

Die Gute Nachricht

Zuallererst ist die beste Nachricht, dass die Unternehmen den Ruf vernommen haben und zumindest damit begonnen haben, die nötige Härte an den Tag zu legen, um die oben genannten Black-Hat-Feinde zu bekämpfen. „Im Zeitraum 2020–2022 haben wir eine Zunahme der Unternehmen beobachtet, die eine Bedrohungsanalyse und Risikobewertung (TAR) durchführen möchtenAR
A“, sagt Liedtke. „Im Rahmen dieser Analysen wurde empfohlen, sich auf ferngesteuerte Angriffsarten zu konzentrieren, da diese zu höheren Risikowerten führen.“

Und all diese Analyse und Strenge scheinen zunächst Wirkung zu zeigen. Laut einem Bericht von Samantha („Sam“) Isabelle Beaumont von IOActive wurden nur 12 % der in ihren Penetrationstests im Jahr 2022 gefundenen Schwachstellen als „kritische Auswirkung“ eingestuft, gegenüber 25 % im Jahr 2016 und nur 1 % als „kritische Wahrscheinlichkeit“. 7 % im Jahr 2016. „Wir sehen, dass sich die derzeitigen Risikominderungsstrategien auszuzahlen beginnen“, erklärt Beaumont. „Die Branche wird immer besser darin, besser zu bauen.“

Bedeutet das, dass die Branche am Ende ist? Sicherlich nicht. „All dies ist ein kontinuierlicher Prozess zur Absicherung der Designs gegen sich entwickelnde Cyberangriffe“, schlägt Johnson vor.

In der Zwischenzeit freue ich mich über die letzte gute Nachricht, die ich erfahren habe: Die russischen Hacker sind damit beschäftigt, russische Vermögenswerte zu hacken und nicht meinen Social-Media-Feed.