So machen Hacker Ihren Tesla, GM und Chrysler weniger anfällig für Angriffe.

Das für die Aufdeckung der Schwachstelle verantwortliche Duo griff auf den Webbrowser des Fahrzeugs zu, führte Code auf der Firmware aus und zeigte eine Nachricht auf dem Infotainmentsystem an, bevor es sich mit dem Modell 3 und 375.000 Dollar davonmachte.

Die Hacker übernahmen nicht im Entferntesten die volle Kontrolle über das Auto oder richteten Chaos an seinen Türschlössern oder Bremsen an, während ein unschuldiger Fahrer drin saß. Tatsächlich waren sie nicht in der Lage, in andere Systeme im Elektrofahrzeug einzudringen, und das Geld, das sie sammelten, kam in Form eines Schecks von Tesla.

Es war alles Teil eines dreitägigen Cybersicherheitswettbewerbs namens Pwn2Own, einem Ereignis, bei dem Tesla jedem, der meisterhaft genug ist, bisher unbekannte Bugs zu finden, einen Höchstpreis zahlt. Die Korrektur von Schwächen hilft dem Elektroautounternehmen, die Menschen zu schützen, die seine Fahrzeuge fahren, hofft es.

Da immer mehr Autos zu High-Tech-Computern auf Rädern werden, sagen Experten, dass Fahrzeuge – wie alles andere, was sich mit dem Internet verbindet – von Natur aus hackbar sind. Das bedeutet, dass jedes Smart Car theoretisch von versierten Hackern, Kriminellen oder Schlimmeren aufgebrochen und auf irgendeiner Ebene kontrolliert werden könnte.

Während es nicht realisierte Bedrohungen gibt, gehen die Bemühungen der Automobilhersteller zum Schutz der Autofahrer über die Einstellung erfahrener interner Sicherheitsteams hinaus.

Für Unternehmen wie Tesla bedeutet das, Autos in strenge Wettbewerbe von Drittanbietern einzutragen oder andere so genannte „Bug-Bounty-Programme“ einzuführen, um Sicherheitsforscher zu ermutigen, Hot Spots auf der Hardware des Unternehmens aktiv zu lokalisieren und zu melden.

Für bare Münze kann die Ermutigung von Außenstehenden, nach Fehlern zu suchen, kontraintuitiv erscheinen. Allerdings gibt der Schritt nicht nur qualifizierten Hackern die Möglichkeit, ihre Muskeln zu trainieren, sondern hilft auch Unternehmen wie Tesla, GM und anderen, die Fahrzeugsicherheit zu stärken.

„Wir glauben, dass Hersteller, um inhärent sichere Systeme zu entwerfen und zu bauen, eng mit der Sicherheitsforschungsgemeinschaft zusammenarbeiten müssen, um von ihrem gemeinsamen Fachwissen zu profitieren“, sagte Tesla in einer Erklärung gegenüber U.S. TODAY.

Tesla benutzte ein Software-Update, um die Schwachstelle zu beheben, die durch den „White Hat“ oder ethische Hacker gefunden wurde, was ein Vorteil ist, da Fahrer keine Werkstatt aufsuchen oder Gebühren zahlen müssen, um die Software eines Autos zu aktualisieren.

Teslas Ansatz zum Schließen von Zugangslöchern begann 2014 mit seinem Bug-Bounty-Programm, ist aber nicht der einzige Automobilhersteller, der Hacker zu Testsystemen einlädt.

Fiat Chrysler hat seit 2016 ein Bug-Bounty-Programm im Einsatz und zahlt Hackern jedes Mal bis zu 1.500 Dollar, wenn sie eine bisher unbekannte Schwachstelle entdecken. GM führte 2018 offiziell sein Bug-Bounty-Programm ein, nachdem es 2016 das so genannte Security Vulnerability Disclosure Program eingeführt hatte.

Mehr als 500 Forscher haben am Programm von GM teilgenommen, um mehr als 700 Schwachstellen zu identifizieren und zu beheben.

Ford kündigte im Januar an, dass es Spitzenforscher auswählt, die an zukünftigen speziellen Hacking-Projekten teilnehmen.

Um Hackern vorzubeugen, verfolgen die Automobilhersteller und ihre Zulieferer mehrere Ansätze, um Autos von allen Seiten zu schützen, so Asaf Ashkenazi, Chief Strategy Officer bei Verimatrix, einem Softwareunternehmen für Sicherheit und Analytik.

Er sagte, dass Autos heute am Anfang dessen stehen, was er einen dreigliedrigen Ansatz für die Sicherheit von Smart Cars nannte.

„Sie filtern die offensichtlichen Angriffe von außen heraus, indem sie versuchen, Firewalls zwischen Subsystemen zu erstellen“, sagte er. „Wenn einer kompromittiert ist, kann der Hacker nicht zu anderen Systemen wechseln.“

Dieser Ansatz zeigte sich während des Tesla-Hacks, als es dem in Palo Alto ansässigen Unternehmen gelang, den Schaden nur am Browser zu begrenzen und gleichzeitig alle anderen Fahrzeugfunktionen zu schützen.

Das nächste Schutzniveau der Automobilhersteller ist die Möglichkeit, Probleme über die Ätherwellen zu aktualisieren und zu beheben, sagte Ashkenazi.

Legacy-Autofirmen hinken Teslas Fähigkeit hinterher, diese Smartphone-artigen Aktualisierungen an ihre Kunden zu senden. Das in Palo Alto ansässige Unternehmen nutzt die Funktion, um alles zu aktualisieren, von halbautonomen Fahrweisen über freche Ostereier bis hin zu versteckten Edelsteinen.

Bei der Reaktion auf Fehler hat das Unternehmen Probleme durch Software-Updates innerhalb weniger Tage nach der Entdeckung von Schwachstellen behoben.

Neben Tesla werden einige der Modelle 2020 von Ford und General Motor Over-the-Air-Updates ermöglichen, die ein Fahrzeug mit neuen Funktionen aufrüsten und problematische Software fernbedienen können. Der GM Cadillac CT5 2020 wird mit einem neuen „digitalen Nervensystem“ geliefert, das die Aktualisierung ermöglicht.

Im Mai kündigte GM an, dass die meisten seiner globalen Modelle bis 2023 in der Lage sein werden, Software-Upgrades über das Internet durchzuführen.

Die dritte Stufe des Schutzes von Verbraucherfahrzeugen besteht darin, dass die KI erkennt, dass sich ein Fahrzeug anders verhält. Das gibt den Autoherstellern eine bessere Chance, Angriffe frühzeitig zu erkennen, sagte Ashkenazi.

Drittanbieter-Softwareunternehmen wie Argus Cyber Security unterstützen Automobilunternehmen dabei, diese Art von Ferndiagnosefunktionen während des Produktionsprozesses zu entwickeln und einzubacken.

„Selbst wenn Sie einen Echtzeitschutz im Fahrzeug haben, müssen Sie immer noch wissen, dass eines Ihrer Autos im Visier ist“, sagte Monique Lance.

Hier setzt die Überwachungstechnologie an, die es Automobilunternehmen ermöglicht, datenübergreifende Analysen durchzuführen und verdächtiges Verhalten zu erkennen, das sonst übersehen werden könnte.

„Sie benötigen die Fähigkeit, die Sicht auf Ihre gesamte Flotte zu haben, da es andere betroffene Fahrzeuge geben kann“, sagte Lance. „Es ist von größter Bedeutung, dass Sie wissen, was im Netzwerk passiert. Es ist viel billiger für die Autohersteller, Angriffe zu verhindern, als auf sie zu reagieren, sobald sie geschehen sind, so dass der Service entscheidend ist.“

Worst-Case-Szenario

Lance sagte, ohne einen mehrschichtigen Ansatz für die Sicherheit, Katastrophen warten auf sie.

Ein Beispiel dafür, wie dies aussehen könnte, war 2015, als die Forscher der Datensicherheit erfolgreich die Fernsteuerung eines Jeep Cherokee übernahmen. Fiat Chrysler reagierte, indem er 1,4 Millionen Autos und Lastwagen zurückrief und UBS-Sticks mit Software-Patches an die Besitzer schickte.

Im selben Jahr enthüllte ein anderer Hacker, dass er eine kleine elektronische Box auf ein Auto stellte, um Informationen aus dem OnStar-System von GM zu stehlen, damit er Türen öffnen und das Fahrzeug starten konnte. GM sagte, dass der Hack zu einem Auto isoliert wurde und es hat seitdem die Lücken geschlossen.

Ein flottenweites Fahrzeug-Hacking, das zu Tod und Zerstörung führt, steht noch aus, aber wie Tesla CEO Elon Musk 2017 sagte, ist es „eines der größten Risiken für autonome Fahrzeuge“. Er fügte hinzu, dass ein flottenweiter Hack von Tesla „grundsätzlich unmöglich“ sei.

Die Automobilhersteller arbeiten zusammen, um zu verhindern, dass solche Szenarien entstehen.

Die im Jahr 2015 gegründete Informationsaustausch- und Analysegruppe Auto ISAC der Branche widmet sich der Forschung und der Entwicklung von Best Practices für Cybersicherheit. Mitsubishi Electric, PACCAR, Volvo Group North America und American Trucking Associations sind dem Pakt 2018 beigetreten.

Die Non-Profit-Organisation sagt, dass 98% der Fahrzeuge auf der Straße in den Vereinigten Staaten durch Mitgliedsunternehmen vertreten sind. Ein kooperativer Ansatz ist ein Schritt in die richtige Richtung, sagte Ashkenazi, der Cybersicherheitsexperte.

„Aber Gruppenbildung und die Erstellung von Richtlinien funktionieren nicht unbedingt in allen Situationen, für alle Autos. Es ist sehr schwierig, zu diesem Punkt zu gelangen, und es wird lange dauern.“

CMS Forum