BSI weist Automobilindustrie auf Sicherheitsprobleme hin

Mit der weiteren Digitalisierung und Vernetzung von Autos ist zu erwarten, dass Schwachstellen auftreten und behoben werden können. Davon geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem dritten "Branchenbild Automotive" zur Cyber-Sicherheit in der Automobilbranche aus. Darin behandelt das BSI neben der Sicherheit im Fahrzeug selbst auch Aspekte in der Produktion, in Lieferketten und der Infrastruktur wie Ladestationen.

In Fahrzeugen eingebaute Hardware und Software werde umfangreicher und komplexer, schildert das BSI. Dadurch könne die Kundschaft beispielsweise kostenpflichtige Software-Updates beziehen, über die zusätzliche Funktionen aktiviert werden, daher würden Bezahlfunktionen in das Fahrzeug integriert. Zusätzliche Apps könnten auch von Drittanbietern stammen, dementsprechend könnten die Software-Lieferketten verzweigt sein, was wiederum das Management von Software-Schwachstellen schwierig mache.

Ein Problem sieht das BSI auch darin, dass im Transportsektor viel Open-Source-Code eingesetzt werde, der häufig von den ursprünglichen Entwicklern nicht fortlaufend gewartet oder weiterentwickelt werde. Die Zahl der "Hochrisiko-Schwachstellen" in diesem Bereich sei in den vergangenen Jahren stark angestiegen. Auch wenn mangels Angriffsvektor nicht jede Schwachstelle von Angreifern ausgenutzt werden könne, seien die Hersteller dafür verantwortlich, den Software-Bestand einschließlich der Open-Source-Komponenten auf Schwachstellen zu prüfen.

Regelmäßige Sicherheitsupdates wie in der klassischen IT

Wie in der klassischen IT würden regelmäßige Sicherheitsupdates zur Normalität, meint das BSI. Dabei sei die Frage offen, über welchen Zeitraum nach dem Fahrzeugkauf Sicherheitspatches angeboten werden, bisher gebe es dafür keine gesetzlichen Fristen. Das BSI weist dabei auf das Beispiel Volkswagen hin. Der Hersteller hatte in diesem Frühjahr bekannt gegeben, nach Ende der Produktion freiwillig über 15 Jahre lang Software-Support bieten zu wollen.

Derlei und andere Sicherheitsaspekte, die auch die Automobilindustrie betreffen, würden zunehmend auf EU-Ebene reguliert. Dabei zählt das BSI den EU AI Act, den EU Data Act, das Cloud-Service-Schema der ENISA und die Ladesäulenverordnung auf sowie den Cyber Resilience Act (CRA). Anhand des CRA, mit dem die EU-Kommission Cyber-Sicherheit von Produkten gewährleisten will, wird ein komplexes Regulierungsgefüge deutlich. Er betreffe nach Definition auch Produkte, die im Kontext des Straßenverkehrs eingesetzt werden. Einige Produktkategorien, für die bereits andere EU-weite Regelungen gelten, seien davon aber explizit ausgenommen, unter anderem Kfz, die unter das Typgenehmigungsrecht nach (EU) 2019/2144 und damit die UN-Regelung 155 fallen.

Frühere Warnungen

Vor Cyber-Angriffen auf vernetzte Autos und die Produktionsanlagen hatte das BSI bereits vor zwei Jahren in seinem ersten "Branchenlagebild" gewarnt. Die Hersteller selbst und auch die Zulieferer waren schon damals von Ransomware-Angriffen betroffen. Auf diese Gefahren weist das BSI auch im aktuellen Bericht hin, insbesondere auf Ransomware-as-a-Services (RaaS) LockBit 3.0, Alphv, Black Basta und Royal. Seit Ende 2021 kümmert sich das Bundesamt in mehreren Projekten um Anforderungen für Technik im Bereich des automatisierten Fahrens, dazu zählt auch das Thema Künstliche Intelligenz.

Ein weiteres, unvermindert bestehendes Problem sei Fahrzeugdiebstahl, bei dem Sicherheitslücken ausgenutzt werden. Der Schutz durch Rollcodes von Funkschlüsseln könne beispielsweise durch den RollJam-Angriff umgangen werden. Dabei werden zwei aufeinanderfolgende Signale des Funkschlüssels aufgezeichnet, wo bei gleichzeitig die Übertragung an das Fahrzeug per Funkstörung geblockt wird, sodass diese Signale später als noch "nicht verbraucht" gelten. Bei den im Juli und August 2022 veröffentlichten RollingPwn- und RollBack-Angriffen könne durch Wiedereinspielen vorher aufgezeichneter Schlüsselsignale in manchen Implementierungen der Zustandszähler im Fahrzeug wieder zurückgesetzt werden. So könne im Gegensatz zum RollJam-Angriff das Fahrzeug beliebig oft zu beliebigen Zeiten geöffnet werden.

(anw)