Suchen

McAfee-Studie Computerviren nehmen Autos ins Visier

| Autor / Redakteur: Peter Koller / Bernd Otterbach

Eines der nächsten großen Angriffsziele für Computerschädlinge sind Autos. Zu diesem Ergebnis kommt das Thesenpapier „Caution: Malware Ahead“ des Security-Experten McAfee und des Embedded-Spezialisten Wind River.

Firmen zum Thema

Am Ende dieses Jahrzehnts wird es laut einer Schätzung des Netzwerk-Herstellers Ericsson rund 50 Milliarden auf Basis des Internet-Protokolls miteinander vernetzte Geräte geben. Die weit überwiegende Zahl davon sind Embedded Systeme und etliche davon stecken in den Autos, mit denen wir fahren.

„Mehr und mehr Funktionen eines Autos werden digital in Form von Embedded Systemen abgebildet und damit steigt das Risiko von Angriffen und bösartigen Manipulationen dieser Systeme“, so Stuart McClure, General Manager von McAfee, einem Tochterunternehmen des Chip-Giganten Intel.

Dazu trägt bei, dass solche Embedded Systeme in Autos nicht mehr wie früher nur zu Diagnosezwecken in einer Richtung kommunizieren, sondern über Technologien wie Bluetooth, GPS-Navigation, Mobilfunk oder Online-Hilfssysteme stark mit ihrer Umwelt vernetzt sind.

Das entscheidende Problem dabei, so die McAfee-Experten in ihrem Report „Caution: Malware Ahead“: Die Vergangenheit habe gezeigt, dass praktisch immer zunächst neue Funktionen implementiert wurden, die nötigen Sicherheitsaspekte aber erst im Nachgang berücksichtigt wurden.

Videosystem im Polizeiauto geknackt

Ein Beispiel dafür seien die ersten Fernsteuerungen für die Türschlösser gewesen. Da ihre Kommunikation zunächst unverschlüsselt war, konnten sie anfangs leicht mit Hilfe von lernfähigen Universalfernbedienungen für Fernseher ausgehebelt werden.

Mit der schnellen Ausbreitung von Embedded Systemen in nahezu alle Bereiche des Automobils würden sich zahlreiche neuen Angriffsmöglichkeiten ergeben, so die McAfee-Forscher. Sie nennen in dem Report „Caution: Malware Ahead“ dafür eine Reihe beunruhigender Beispiele:

Forschern der Universitäten von San Diego und Washington ist es mit einer selbstgestrickten Software namens CarShark gelungen, kritische Komponenten eines Autos wie Lenkund und Bremse zu kontrollieren, sofern sie über eine physische Schnittstelle im Wageninneren Zugriff auf das interne Netzwerk bekamen. Das Gleiche ist ihrer Meinung nach auch via Bluetooth möglich, wenn die lediglich vierstellige Bluetooth-PIN erraten wird.

Die RFID-Chips zur Reifendruckkontrolle benutzten Forscher von Univerity of South Carolina und Rutgers University, um heimlich ein Bewegungsprofil eines Fahrzeugs zu ermitteln.

Der Anbieter eines GPS-Navigationssystems kam kürzlich heftig in die Kritik, weil er die Bewegungsdaten seiner Kunden an die holländische Polizei verkauft, die damit Temposünder überführen wollte.

Einem US-Sicherheitsexperten gelang es via Internet-Suche, die hart verdrahteten Passwörter eines Embedded Systems herauszufinden, die in US-Polizeifahrzeugen für die Videoüberwachung und Aufzeichnung verwendet werden. Via FTP und Telnet bekam er Zugriff und Kontrolle über die Videoaufzeichnungen der Polizeiautos.

Welche Punkt Entwickler beachten müssen

Ein weiteres Problem sehen die McAfee-Experten in der zunehmenden Komplexität der Software. Laut den Marktforschern von Frost and Sullivan wird die Software in Autos in naher Zukunft einen Umfang von 200 bis 300 Millionen Zeilen Code umfassen.

„Autohersteller müssen den Konflikt lösen, stärkere Sicherheitsmechanismen zu implementieren, ohne die Akzeptanz der Benutzer zu verlieren,“ zitiert der Report den Experten Stefan Goß, Professor für Fahrezugtechnik an der Ostfalia Hochschule für angewandte Wissenschaften.

McAfee empfiehlt Entwicklern in Bereich von Automotive Systems folgende Punkte zu beachten:

Welche Systeme sind mit dem Internet oder Mobilfunk-Netzwerken verbunden, und wie sind sie abgesichert?

Gibt es Verbindungen zwischen dem Navigationssystem und kritischen Systemen wie Lenkung und Bremse?

Wie ist das Bluetooth-System konfiguriert?

Welche Daten werden in das Navigationssystem hochgeladen und wo sind sie gespeichert?

Lässt sich über eine Diagnosefunktion herausfinden, ob Systeme manipuliert wurden?

Werden Daten von verbundenen Smart Systems wie etwa Smartphones im Auto lokal gespeichert?

Können gespeicherte Daten und Einstellungen beim Verkauf des Autos leicht auf den Werkszustand zurückgesetzt werden?

Sicherheit als Wettbewerbsvorteil

Experten sehen in der Entwicklung hin zu einem größeren Sicherheitsbewusstsein bei Automotive Software aber nicht nur eine Belastung für die Hersteller, sondern auch eine große Chance: „Sicherheit wird bald die treibende Kraft für fast alle Innovationen im Auto sein. Über eine starke Sicherheitstechnologie können sich Hersteller also einen Wettbewerbsvorteil verschaffen, denn keiner möchte einen Virus in seinem Bremssystem haben“, zitiert der McAfee-Report Prof. Christoph Paar von der Universität Bochum.

(ID:383508)