Wenn Hacker Autos angreifen – Sicherheit ungewiss

Über den Autoren: Helge Denker arbeitet als Journalist für Print, Online und TV, für Medien wie t-online.de, Süddeutsche Zeitung, Bild.de und ZDFinfo. Er ist spezialisiert auf mobile Kommunikation, IT-Sicherheit, Datenschutz-Themen und Start-Ups. English Version more below.


Autos sind heute rollende Computer mit vielen Schnittstellen, die von Hackern angegriffen werden können. Die Hersteller müssen bei der Entwicklung auf mehr IT-Sicherheit achten. Eine neue Norm soll helfen, Autofahrer vor Hackern zu schützen.

Es ist der Alptraum eines Autofahrers: Plötzlich reagiert sein Fahrzeug nicht mehr auf Bremse und Lenkung, ein Hacker hat während der Autobahnfahrt von außen die Kontrolle über Steuer, Gas und Bremse übernommen. Mitte 2015 gelang es US-Hackern zum ersten Mal in einem Test, die komplette Kontrolle über einen Jeep Cherokee zu übernehmen. Sie drangen mit Laptop und Funk-Internetverbindung über eine unsichere Schnittstelle des Entertainment-Systems in das Bordnetz des Jeeps ein und übernahmen Lenkung und Steuerung des Geländewagens. Darüber berichtete zuerst das US-Magazin “Wired”.


Seit diesem spektakulären ersten Hack sind fast fünf Jahre vergangen. Hat die Autobranche inzwischen nachgebessert und ihre “rollenden Computer” sicherer gemacht? Mit immer komplexeren Systemen zum vernetzten Fahren, neuen Assistenten und Autopiloten steigt die Anzahl der angreifbaren Schnittstellen im Auto rasant an. “Die Angriffe auf vernetzte Fahrzeuge haben spürbar zugenommen, immer mehr Schnittstellen bieten zahlreiche Einfallstore”, erklärt auch die Security Devision der ITK-Anbieters NTT Ltd.

Schon bei der Entwicklung eines Fahrzeuges müsse daher an die Sicherheit vor Hackern gedacht werden. Auch müsse die Frage geklärt werden, wer im Fall eines Hacker-Angriffs eingreifen darf. Der Hersteller? Ein Dienstleister? Oder der Fahrer selbst?


An einem Bordnetz hängen heute über 100 Steuergeräte

In einem modernen Auto stecken heute rund 130 Millionen Zeilen Programmiercode. An seinem Bordnetz hängen alle elektronischen Komponenten – und in der Regel über 100 Steuergeräte. “Jede Schnittstelle vom OBD-Port über Mobilfunk bis zu Firmware-Updates bietet Hackern ein potenzielles Einfallstor”, warnt NTT.

Mehr Sicherheit vor Auto-Hackern soll in Zukunft die ISO-Norm „Road vehicles – Cybersecurity engineering“ bringen, die erst im November 2020 komplett veröffentlicht wird. Darin sollen alle wichtigen Sicherheitsaspekte festgelegt werden.


Das Ziel: “Security by Design” in der Produktentwicklung und der kompletten Zulieferer-Kette. Bisher spielte Sicherheit vor Auto-Hackern noch keine zentrale Rolle. Und auch die neue Norm hat noch längst nicht alle Akteure auf dem Schirm, kritisiert René Bader, Leitender Berater für Secure Business Applications bei NTT Ltd. Security Division.


Wer darf die Internetverbindung im Auto kappen?

Immerhin: Autohersteller müssen laut der neuen Norm ein Cyber-Security Management-System einführen (CSMS). Das soll dabei helfen, zu erkennen, wo ein Angriff erfolgt und schnell zu reagieren. Auch schreibt es die Sicherheitsvorkehrungen für alle Systeme und Anwendungen im Auto vor. Außerdem soll ein zentrales Sicherheitscenter (SOC) “alle sicherheitskritischen Vorfälle erkennen und koordiniert bearbeiten”. Dazu müssen “relevante Daten aus dem Fahrzeugumfeld” zentral gesammelt und ausgewertet werden, so NTT.


Dabei bleiben einige Fragen unbeantwortet, betont Kai Grunwitz, Geschäftsführer der NTT Ltd. in Deutschland. „Wer darf bei einem Angriff die Internetverbindung kappen, um so vielleicht Schlimmeres zu verhindern? Wer setzt ein Fahrzeug nach einer Infizierung in seinen ursprünglichen Zustand zurück? Wer kümmert sich um das Patchen? Hier müssen rechtliche Rahmenbedingungen festgelegt werden, die allen Beteiligten die notwendige Sicherheit geben.“ Hier ist der Gesetzgeber gefordert. Auch juristisch gibt es noch offene Fragen, zum Beispiel, wer bei einem durch Hackern ausgelösten Unfall für Schäden haftet.


Mehr Computer und Sicherheitssystem im Auto der Zukunft

Auch ein technisches Problem muss noch gelöst werden: Denn die Daten aus dem Auto können nicht einfach aus dem Fahrzeug heraus übertragen und in einer Cloud ausgewertet werden. Die Analysesysteme müssen direkt in jedem Fahrzeug verbaut werden. Diese schicken dann die Daten von ungewöhnlichen Ereignisse zur Diagnose und Bewertung an ein zentrales Sicherheitscenter. Anonymisiert und verschlüsselt.

Das bedeutet: Noch mehr Computer und Sicherheitssysteme im Auto der Zukunft! Nur Fahrer von Oldtimern müssen sich da keine Sorgen machen: Denn wo kein Netzwerk verbaut ist kann auch keines angegriffen werden. Da kann nur einfach der Wagen ganz normal und schlicht kaputt gehen.

Helge Denker



English Version translated by AI.

About the author: Helge Denker works as a journalist for print, online and TV, for leading German media. He specializes in mobile communication, IT security, data protection issues and start-ups.


Security for connected cars – hacker are in place

Cars today are rolling computers with many interfaces that can be attacked by hackers. Manufacturers must pay attention to more IT security during development. A new standard should help protect drivers from hackers.

It’s a driver’s nightmare: Suddenly his car no longer reacts to the brakes and steering, a hacker has taken control of the steering, accelerator and brakes from outside while driving along the motorway. In mid-2015, US hackers succeeded for the first time in a test to take complete control of a Jeep Cherokee. Using a laptop and wireless Internet connection, they penetrated the Jeep’s onboard network via an insecure interface of the entertainment system and took over the steering and control of the off-road vehicle. This was first reported in the US magazine „Wired“.


Almost five years have passed since this spectacular first hack. Has the car industry meanwhile made improvements and made its „rolling computers“ safer? With increasingly complex systems for networked driving, new assistants and autopilots, the number of vulnerable interfaces in the car is growing rapidly. „Attacks on networked vehicles have increased noticeably, more and more interfaces offer numerous entry points,“ explains the Security Division of the ICT provider NTT Ltd.


Security against hackers must therefore be considered as early as the development of a vehicle. The question of who is allowed to intervene in the event of a hacker attack must also be clarified. The manufacturer? A service provider? Or the driver himself?

More than 100 control units are connected to an on-board network

A modern car today contains around 130 million lines of programming code. All electronic components – and usually more than 100 control units – are connected to the vehicle’s electrical system. „Every interface, from the OBD port to mobile communications and firmware updates, offers hackers a potential gateway,“ warns NTT.


In the future, the ISO standard „Road vehicles – Cybersecurity engineering„, which will not be published in full until November 2020, is expected to provide more security against car hackers. It is intended to define all important security aspects.

The goal: „Security by Design“ in product development and the complete supply chain. Until now, security from car hackers has not played a central role. And even the new standard is far from having all the players on the scene, criticises René Bader, Senior Consultant for Secure Business Applications at NTT Ltd. Security Division.


Who is allowed to cut the Internet connection in the car?

After all, according to the new standard, car manufacturers must introduce a Cyber Security Management System (CSMS). This should help to identify where an attack is taking place and to react quickly. It also prescribes the security precautions for all systems and applications in the car. In addition, a central security center (SOC) is to „recognize and process all security-critical incidents in a coordinated manner“. To do this, „relevant data from the vehicle environment“ must be collected and evaluated centrally, according to NTT.


Some questions remain unanswered, emphasizes Kai Grunwitz, Managing Director of NTT Ltd. in Germany. „In the event of an attack, who is allowed to cut the Internet connection in order to perhaps prevent worse things from happening? Who restores a vehicle to its original condition after an infection? Who takes care of patching? A legal framework must be established here to give all parties involved the necessary security.“ This is a matter for the legislator. There are also still open legal questions, such as who is liable for damages in the event of an accident caused by hackers.


More computer and safety systems in future cars

A technical problem also needs to be solved: This is because data from the car cannot simply be transferred out of the vehicle and evaluated in a cloud. The analysis systems must be installed directly in every vehicle. These then send the data of unusual events to a central security center for diagnosis and evaluation. Anonymized and encrypted.


This means: Even more computers and security systems in the car of the future! Only drivers of classic cars do not have to worry about this: Because where no network is installed, none can be attacked. The only thing that can happen is that the car simply breaks down normally.
Helge Denker