Schon heute sind die Fahrzeuge auf den Straßen keine in sich geschlossenen Systeme, sondern können als rollende Datenzentren beschrieben werden. Durch eine Vielzahl an digitalen Schnittstellen, wie Bluetooth, WLAN und LTE-Verbindungen, erfolgt die Kommunikation zur Außenwelt. In dieser vernetzten Welt liegen die Vorteile auf der Hand: Zum Beispiel kann das Auto im Falle eines Unfalls einen automatischen Notruf mit Angabe des Unfallortes absetzen und auch Software-Updates müssen nicht mehr in der Werkstatt aufgespielt werden, sondern werden „over the air“ geladen.
Diese Angriffsfläche für Cyberkriminalität wird sich mit dem zunehmenden Einsatz von Sensoren und Kameras noch vergrößern und ist auf dem Weg zu einer hoch automatisierten Mobilität von größter Bedeutung. Dabei kommuniziert das Fahrzeug mit anderen Verkehrsteilnehmern und der Infrastruktur mithilfe von bis zu 150 elektronischen Steuergeräten. Momentan besteht die Programmierung bei solchen Fahrzeugen aus 100 Millionen Codezeilen (das Vierfache eines Jagdflugzeuges), wobei man bis 2030 einen Anstieg auf 300 Millionen Zeilen prognostiziert.[1] Moderne Fahrerassistenzsysteme (Advanced Driver Assistance Systems, ADAS) müssen deswegen verlässlich gegen Attacken geschützt sein. Schon 2015 gelang es einen Jeep über die Internetverbindung zu manipulieren und Kontrolle über diverse Funktionen, darunter auch die Bremsen und die Geschwindigkeit des Fahrzeugs, zu übernehmen. Chrysler musste daraufhin 1,4 Millionen Fahrzeuge zurückrufen, um das Risiko eines externen Angriffs zu beheben.[2] Weltweit gibt es Anstrengungen die Cybersicherheit zu regulieren und einen einheitlichen Standard zu erreichen. Auf UN-Ebene hat eine UNECE-Arbeitsgruppe Cybersecurity-Regelungen entworfen, welche die EU ab Juni 2022 für neue Fahrzeugtypen und ab Juli 2024 für alle neu zugelassenen PKW, LKW und Busse verpflichtend macht.[1] (Download UN Proposal)
Während bei der zuvor genannten Regelung das gesamte Fahrzeug mit seinen Schnittstellen und dem elektronischen Aufbau im Vordergrund steht, wird mit der momentanen Entwicklung des Standardisierungsverfahrens ISO 21434 (finale Fassung Ende 2020) die gesamte Lieferkette betrachtet. Dabei wird das Thema der IT-Sicherheit über den gesamten Lebenszyklus des Fahrzeuges bedacht, was mit der ursprünglichen Entwicklung beginnt und erst mit der Außerbetriebnahme endet. [3],[4]
Um das zertifizierte Cybersecurity-Managementsystem (CSMS) der UN fristgerecht umzusetzen, müssen sich Hersteller sowie Zulieferer schon heute mit den Anforderungen auseinandersetzen und diese bei der Entwicklung zukünftiger Fahrzeuge berücksichtigen.[2]
„Wenn wir digitale Technologie nutzen wollen, um Autos autonom fahren zu lassen, die Verkehrssicherheit zu erhöhen, den Verkehrsfluss zu verbessern und den Energie- und Kraftstoffverbrauch zu reduzieren, dann darf diese Technologie nicht durch unbefugte Dritte manipulierbar sein“ [4]
Arne Schönbohm, BSI-Präsident
Quellen:
[1] United Nations Economic Commission for Europe Information Unit (25. Juni 2020): UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll out of connected vehicles. unec.org: https://www.unece.org/info/media/presscurrent-press-h/transport/2020/un-regulations-on-cybersecurity-and-software-updates-to-pave-the-way-for-mass-roll-out-of-connected-vehicles/doc.html
[2] escrypt GmbH, (02/2020): Cybersicherheit in voller Fahrt – Wie Digitalisierung und Automatisierung Automobilhersteller wie -zulieferer vor neue Security-Herausforderungen stellt.
[3] Krempl, S. (28. Mai 2020): Security by Design im Auto: Neue UN-Vorgaben für Cybersicherheit von Fahrzeugen. heise-online: https://www.heise.de/news/Security-by-Design-Neue-UN-Vorgaben-fuer-Cybersicherheit-im-Auto-4767180.html
[4] Pertschy, F. (2020): Fahrzeugvernetzung. BSI und VDA kooperieren bei Cyber-Security. car-it.com: https://www.car-it.com/technology/bsi-und-vda-kooperieren-bei-cyber-security-393.html
