Klingt prächtig: Vernetzte Autos, die untereinander und mit der Infrastruktur kommunizieren und uns Menschen so vor Gefahren schützen und Komfort bieten. Nach Schätzungen der Beratungsfirma Capgemini werden schon in zwei Jahren rund 110 Millionen vernetzte Fahrzeuge europaweit unterwegs sein.
Natürlich bringen solche IT-Hightech-Vehikel ein Plus an Sicherheit. Sie können aber auch zu einem Sicherheitsrisiko werden. Erinnern wir uns, als vor sechs Jahren zwei Hacker über das mit dem Internet verbundene Unterhaltungssystem eines Jeep Cherokee Lenkung und Bremsen «fernsteuerten». 1,4 Millionen Fahrzeuge mussten daraufhin in die Werkstätten, um das Sicherheitsleck zu schliessen.
Neues Regelwerk zur Cybersicherheit
Solche Vorfälle zeigen: Wie beim Heimcomputer ist auch jede Schnittstelle im Auto eine mögliche Pforte für Hackerangriffe. Sei es physisch über den OBD-Port im Fahrzeug, virtuell bei Software-Updates, die «over the air» aufgespielt werden, oder bei als Autoschlüssel dienenden Smartphones. Deshalb ist klar: Cybersicherheit klettert auf der Agenda der Autobauer ganz weit nach oben. Das World Forum for Harmonization of Vehicle Regulations (UNECE) hat Tatsachen geschaffen und bereits im letzten Jahr neue Uno-Regelwerke zu Cybersicherheit und Software-Updates von vernetzten Fahrzeugen verabschiedet.
Die EU macht nun Nägel mit Köpfen: Ab Sommer 2022 gelten diese Vorschriften für alle neuen Fahrzeugtypen und zwei Jahre später für alle Neufahrzeuge. Betroffen sind PWs, Kleintransporter, LKWs und Busse. «Aufgrund der neuen Regulierung muss nun ein ganzheitlicher Ansatz geformt werden, der den kompletten Lebenszyklus eines Fahrzeuges erfasst», erklärt Sebastian Rist, Projektleiter und Security Consultant bei Escrypt, einem Unternehmen, das sich auf Sicherheitslösungen spezialisiert hat.
Zentrale Stelle muss koordinieren
Doch ein solches «Cybersecurity Management System» auf die Beine zu stellen, ist eine komplexe Sache. Viele Faktoren müssen berücksichtigt werden – und die Zeit drängt, wollen wir nicht bald eine Armada von gehackten Zombie-Autos auf unseren Strassen haben. «Wir haben es mit einer Bedrohung zu tun, die weder an Unternehmens- noch an Landesgrenzen halt macht. Wir sind überzeugt, dass eine zentrale Stelle Daten und Kompetenzen verschiedener Institutionen zusammenführen muss. Unter anderem von Regierungsbehörden, Fahrzeugherstellern, Automobilzulieferern, Telekommunikationsbetreibern, Forschungseinrichtungen, Reparaturbetrieben und Versicherern», sagt Klaus-Peter Röhler, Vorstandsvorsitzender der Allianz Deutschland.
Autohersteller halten sich bedeckt
Doch bei den Autoherstellern zeigt man sich zum Thema zurückhaltend: «Die höchsten Sicherheitsansprüche unserer Kunden gelten in gleicher Weise für die Datensicherheit des vernetzten Fahrzeugs als auch unserer Kundendaten», heisst es zum Beispiel von Daimler nichtssagend. Oder: «Mit Blick auf den IT-technischen Fortschritt entwickeln wir die Datensicherheit ständig weiter», von einem anderen Hersteller. Diese Verschwiegenheit ist nachvollziehbar, macht die Aufgabe, das Automobil in eine IT-Trutzburg zu verwandeln, aber nicht einfacher.
«Die Autoindustrie muss nun Lösungen finden, die bereits während der aktuell stattfindenden Fahrzeugentwicklung berücksichtigt werden. Was natürlich eine der grössten Herausforderungen darstellt», ordnet Sebastian Rist die anstehenden Aufgaben ein. Dazu wird eine umfassende Analyse der Cybersicherheit der Fahrzeuge und der Produktionskette über den gesamten Lebenszyklus nötig. Das ist mit enormem Aufwand verbunden. Dazu müssen die Autobauer auch Neuland betreten und Technologien einsetzen, die bei anderen Unternehmen schon länger gang und gäbe sind. «Etwa sogenannte Intrusion Detection Systeme, die potenzielle Cyberangriffe automatisiert erkennen und warnen. So können Spezialisten reagieren und geeignete Gegenmassnahmen ergreifen», erklärt Sebastian Rist.