IT-Security im Internet of Things

Auto-Hack zeigt Risiken

13.10.2015 von Matthias Reinwarth
Der spektakuläre Hack eines fahrenden Wagens verdeutlicht die Dimension der Thematik Security im Internet of Things.

Ein Hack der in den vergangenen Wochen viele Medien - auch außerhalb der klassischen IT-Berichterstattung - bis hin zur Tagesschau beschäftigte, war der ausführlich dokumentierte exemplarische Einbruch in die Systeme eines fahrenden Jeep Cherokee. Die Möglichkeit der Einflussnahme auf vitale Funktionen des Wagens von der Scheibenwaschanlage bis hin zum Getriebe erweist sich auch für Laien als verstörend - auch wenn in diesem konkreten Fall laut Fiat Chrysler Automobiles (FCA) "nur" US-Fahrzeuge betroffen sind.

In den USA wurde ein Jeep Cherokee gehackt - bei voller Fahrt wohl gemerkt. Obwohl die System-Schwachstelle laut Fiat Chrysler Automobiles ausschließlich bei US-Fahrzeugen besteht - der Auto-Hack sorgte für medialen Wirbel und verdeutlicht, wie bedeutend die Rolle der IT-Security für das boomende Internet of Things ist.
Foto: Fiat Chrysler Automobiles

Connected-Car-Hack via Entertainmentsystem

Der Angriff auf den Jeep-SUV wurde dabei aus der Ferne vorgenommen, als Einfallstor diente das Entertainment-System des Wagens. Der Spielraum für die Einflussnahme auf den Wagen war in diesem Fall eines ausgenutzten Zero-day exploits extrem groß. Selbst Bremsen und Lenkung waren betroffen. Die Gefahren eines bösartig durchgeführten Angriffs für Fahrer, Passagiere, Fahrzeug und Umwelt sind erheblich.

Der erste notwendige Schritt ist natürlich die schnelle Behebung dieser Sicherheitslücke im betroffenen System. Schließlich wird das betroffene System in einer Vielzahl von Modellreihen des FCA-Konzerns eingesetzt. Die reine programmseitige Behebung scheint für den Hersteller auch eine lösbare Aufgabe gewesen zu sein: Schon nach kurzer Zeit stand ein Patch zur Verfügung.

IoT-Security: Softwaredistribution und Skalierbarkeit

Doch hier beginnen die Probleme: War der Cyberangriff auf den fahrenden Jeep Cherokee "over the air", also drahtlos und ohne physikalischen Kontakt möglich, so ist das ausgerechnet für das nun dringend notwendig werdende Update nicht möglich. Stattdessen schlug der Hersteller zuerst ein Update jedes einzelnen Wagens durch einen beauftragten Techniker über ein USB-Medium vor.

Mittlerweile sind alle 1,4 Millionen (!) betroffenen Fahrzeuge im Rahmen einer gigantischen Rückrufaktion in die Werkstätten beordert. Der entstehende Aufwand und die Kosten für den Autohersteller, die Servicepartner und insbesondere die Fahrzeughalter sind nur schwer zu ermitteln. Wie viele US-Halter diesen Aufwand scheuen und nun mit einer dokumentierten IT-Security-Schwachstelle unterwegs sind, lässt sich ebenfalls nur unzureichend abschätzen.

Über den konkreten Fall hinaus ist offensichtlich: Die bislang häufig praktizierte Methode, erst eine Lösung zu entwerfen und Sicherheitskonzepte dann "irgendwie dazu" zu implementieren ist von Grund auf unangemessen. Das Internet of Things (IoT) stellt durch die Anzahl der möglicherweise betroffenen Devices, deren Distribution und Zugänglichkeit sowie die notwendigen Reaktionszeiten völlig andere Anforderungen an die IT-Security. Die Vorstellung, dass ein Kunde am Patchday seines Kühlschrankes zur Korrektur der Kühltemperaturermittlung mit dem Gerät zum Service seines Elektro-Marktes fährt, ist im besten Falle zynisch. Für die Halter der 1,4 Millionen betroffenen FCA-Fahrzeuge ist das allerdings Realität.

IT-Security als Teil einer Gesamtarchitektur verstehen

Das Internet der Dinge benötigt angemessene Konzepte in allen Bereichen, inbesondere der Sicherheit, dem Datenschutz, der Verfügbarkeit und der Wartung. Das Connected Car ist ein drastisches Beispiel aber eben nur ein Beispiel von vielen für weitere kritische Systeme. Diese sind zunehmend Internet-connected, oder sind per Funk, Mobilfunktechnologie oder NFC zugänglich. Wenn lebensnotwendige High-Tech-Instrumente wie ferngesteuerte chirurgische Systeme oder Luftfahrt-Technologien durch unzureichende Absicherung bedroht sind, wird klar, dass IT-Security und eine Härtung dieser Systeme auf jeder möglichen Ebene gerade kein notwendiges Detail, sondern Bestandteil einer Gesamtarchitektur sein müssen. Das gilt überall. Und insbesondere im Internet of Things - wozu natürlich auch das Connected Car zählt.

Das Connected Car des Jahres 2015 & die besten Car-IT-Lösungen
"Auto Connect Trophy 2015"
Rund 12.500 Leser der Fachzeitschriften "Auto Zeitung" und "Connect" haben die besten Car-IT- und Connectivity-Lösungen gewählt - und das Connected Car des Jahres 2015. Hier kommen die Gewinner!
Bestes Bedien- und Anzeigekonzept
In dieser Kategorie siegt Audi mit seinem "MMI Touch"-Interface im gerade ganz frischen Luxus-SUV Q7. Die Möglichkeit zur Bedienung mittels Sprachsteuerung und das große Touchpad, das auf Tippen und auf handschriftliche Zeichen reagiert, haben knapp 39 Prozent der Leser von "Auto Zeitung" und "Connect" überzeugt. Auf den Plätzen folgen die Lösungen von BMW und Mercedes.
Beste Sprachsteuerung
Auch in der Kategorie Sprachsteuerung heißt der Sieger Audi. Die - beispielsweise im aktuellen Audi TT Coupé erhältliche - "MMI"-Sprachsteuerung erkennt und verarbeitet natürlich gesprochene Sätze. Das hat 38 Prozent der Leser überzeugt. Auf den Plätzen zwei und drei folgen die Lösungen von BMW und Mercedes.
Beste Business-Lösung / Infodienst
Geht es um die beste Business-Lösung, beziehungsweise den besten Infodienst, hat BMW die Nase vorn. Der "Concierge-Service" des Münchner Autobauers überzeugt mit Features wie Hotelbuchung, Übersetzungshilfe und Sekretariats-Dienst stolze 55 Prozent der Leser. Volvos Cloud-Dienste und Opels "OnStar"-Lösung belegen die Plätze zwei und drei.
Bestes Audio-Soundsystem
Fast 49 Prozent der "Auto Connect Trophy"-Teilnehmer entschieden sich für das "3D"-Soundsystem aus dem Hause Bang & Olufsen, das zum Beispiel für den aktuellen Audi Q7 erhältlich ist. Die Klangqualität und eine leichte Bedienung sind für die Teilnehmer die Qualitätsmerkmale des B&O-Soundsystems. Platz zwei belegt das Bose-Soundsystem, das in Fahrzeugen von Mazda zu finden ist, Rang drei belegen die Audio-Lösungen von Burmeister, die in Mercedes-Fahrzeugen zu finden sind.
Bestes Nachrüst-Radio
Klingt analog, ist es aber nicht: das Blaupunkt DAB+-System "Cape Town 945" auf Android-Basis ist für 25 Prozent der Leser das beste Digitalradio zum Nachrüsten. Damit kann Blaupunkt die Konkurrenzprodukte von Pioneer und Becker auf die Plätze verweisen.
Beste Smartphone-Integrationslösung
Audis "Phone Box" und ihre Möglichkeit zum induktiven Laden und kabelloser Datenübertragung ist die beste Smartphone-Integrationslösung 2015 - meinen 37 Prozent der Umfrageteilnehmer. Die Mercedes "Komfort-Telefonie" und die Volkswagen "Koppelbox" belegen die Plätze zwei und drei.
Bestes Funknetz
"Erdrutsch"-Sieg für die Deutsche Telekom in der Kategorie "Bestes Funknetz": 57 Prozent der Teilnehmer sind der Ansicht, dass das Netz der Telekom dank LTE-Ausbau und stabiler Verbindungsqualität nicht zu schlagen ist. Die Wettbewerber Vodafone und O2 belegen die Plätze zwei und drei.
Bester In-Car-Hotspot
Kein Connected Car ohne Hotspot. Den besten ins Auto integrierten WLAN-Hotspot bietet nach Meinung von 38 Prozent der Leser Audi - auch dank eines einfachen Zugangs für bis zu acht Personen gleichzeitig. BMW und Mercedes haben auch in dieser Kategorie das Nachsehen.
Bestes Navigationssystem
Audis "Virtual Cockpit" (zum Beispiel erhältlich im aktuellen Audi TT und Q7) überzeugt knapp 38 Prozent der Umfrageteilnehmer und ist damit das beste (werksseitig integrierte) Navigationssystem - noch vor BMWs "Navi Professional" und dem "Comand"-System von Mercedes.
Bestes Nachrüst-Navigationssystem
Bei den Navi-Lösungen zum Nachrüsten siegt Navigations-Urgestein TomTom mit dem "Go 5100". Verkehrsinfos in Echtzeit und eine integrierte SIM-Karte überzeugen 45 Prozent der Leser. Garmins "Nüvi 67 LMT" landet auf Rang zwei, das Becker "Professional.6 LMU" rangiert auf dem dritten Platz.
Beste Stauwarnung in Echtzeit
Google Maps bietet die beste Echtzeit-Stauwarnung - sagen 30 Prozent der "auto Zeitung"- und "Connect"-Leser. Die Lösungen HD Traffic und Staufunk TMC pro belegen Platz zwei und drei.
Beste App fürs Auto
Die "Clever-tanken"-App ist für 49 Prozent der Umfrageteilnehmer die beste Auto-Applikation des Jahres 2015. Sie hilft, die günstigste Tankgelegenheit in der Umgebung zu identifizieren. Die ADAC "Auslandshelfer-App" landet auf Platz zwei, die Fahrzeug-Such-App "Find My Car" auf dem dritten Rang.
Beste App der Autohersteller
Die beste Hersteller-App bietet nach Meinung von nahezu 32 Prozent der Leser Audi mit seiner "Konfigurator"-App, die Kunden auch unterwegs das Audi-Neufahrzeug der Wahl en detail zusammenstellen lässt. BMWs "MyRemote"-App, mit deren Hilfe sich Fahrzeugfunktion per Smartphone aus der Ferne steuern lassen, landet auf dem zweiten Rang. Die "Guides"-App von Mercedes bietet eine elektronische Bedienungsanleitung für so gut wie jedes Daimler-Fahrzeug, muss sich jedoch mit Rang drei begnügen.
Beste Musik-App
Geht es um Musik-Streaming im Auto, setzen knapp 47 Prozent der Teilnehmer auf den Streaming-Dienst von Spotify. Napster und Deezer sind dagegen nur zweite, beziehungsweise dritte Wahl.
Beste Navigations-App
Google Maps ist nach Ansicht der Umfrageteilnehmer auch bei den Navi-Apps Spitze. 32 Prozent setzen auf den Google-Dienst und geben ihm damit den Vorzug vor Lösungen von TomTom und Navigon.
Beste Carsharing-App
Der von Daimler und Europcar ins Leben gerufene Carsharing-Dienst "Car2go" ist für 41 Prozent der Leser die Nummer eins unter den Carsharing-Apps. BMWs "DriveNow" und die App des Carsharing-Verbunds Stadtmobil komplettieren das Podium dieser Kategorie.
Bester Sicherheitsassistent
Audis Abbiege-Assistent (ebenfalls für den neuen Q7 zu haben) überzeugt 25 Prozent der Leser. Das Sicherheits-Feature überwacht beim Linksabbiegen den Gegenverkehr und leitet - falls nötig - eine Bremsung ein. Audi sichert sich in dieser Kategorie den Sieg vor dem "Assist-Paket Plus" aus dem Hause Daimler und der "Multikollisionsverhinderung" der Konzern-Mutter Volkswagen.
Beste Fahrerunterstützung Stau
Sieg-Kategorie Nummer neun für Audi: Der "Stop&Go-Stauassistent", der den Fahrer durch Bremsen, Gas geben und Lenken unterstützt, ist die beste Stau-Lösung in den Augen von 46 Prozent der Teilnehmer. Mercedes ("Stop&Go-Pilot") und BMW ("Driving Assistent Plus") haben erneut das Nachsehen.
Connected Car des Jahres 2015
Dieser Sieg ist das Tüpfelchen auf dem I für den Audi-Triumph bei der "Auto Connect Trophy 2015": Der in diesem Jahr in zweiter Generation erschienene SUV Q7 ist das Connected Car des Jahres - zumindest meinen das 41 Prozent der Leser. Audis LTE-fähige Wuchtbrumme verweist damit die Mercedes S-Klasse und den BMW i3 auf die Ränge zwei und drei.

Sicherheit im Internet of Things

Abhilfe schaffen hier Architekturen, die von Grund auf auf Sicherheit ausgerichtet sind. Verlässliche, starke Authentifikation zwischen Geräten, Diensten und Anwendern, die Verschlüsselung von Daten im Transfer und in der Speicherung, die konzeptionell inhärente Wahrung der Privatsphäre durch Consent-orientierte Autorisierung, umfassende Softwaretests und Quellcode-Analyse, die Nutzung erprobter und verifizierter APIs und Microservices, die Nutzung starker Standards und nicht zuletzt signierte und authentifizierte Software-Updates over the air sind nur einige der Bausteine, die hier noch mehr als bislang notwendig werden.

Geschieht dies nicht, sind die Folgen unabsehbar. Dies gilt für den Kunden als Nutzer, dessen Sicherheit, Gesundheit und körperliche Unversehrtheit, Privatsphäre und dessen Umfeld. Das gilt aber auch für Hersteller und (Software-)Zulieferer. Denn die Thematik der Produkthaftung bekommt hier ebenfalls völlig neue Dimensionen, die in vielen Unternehmen vermutlich noch nicht voll bedacht ist. (fm)

Sechs Baustellen beim Internet of Things
Sechs Baustellen beim Internet of Things
Das Internet der Dinge beflügelt die Phantasien von Anwendern, Unternehmen und Technikanbietern. Bevor die schöne neue Welt des Internet of Things (IoT) Wirklichkeit wird, müssen zunächst einige Baustellen abgearbeitet werden.
Technik
Die meisten für das Internet der Dinge notwendigen Techniken gibt es bereits. Allerdings sind gerade im Umfeld von Analytics und Datenvisualisierungssoftware noch weitere Entwicklungen notwendig. Auch hinsichtlich der Energieversorgung beispielsweise von Sensoren in Containern, die über lange Perioden hinweg ohne ständige Wartungszyklen funktionieren sollten, gibt es noch einige Probleme zu lösen.
Interoperabilität
In vielen Fällen basiert der Mehrwert von IoT darauf, dass verschiedene Systeme zusammenarbeiten und Daten austauschen. Daher sind Standards und die darauf basierende Interoperabilität eine Grundvoraussetzung für das IoT.
Sicherheit
Im IoT geht es primär um Daten – oft um sensible Daten, die aus dem Privatbereich kommen oder geschäftskritisch für Unternehmen sind. Privacy und Security müssen daher gewährleistet sein. Darüber hinaus müssen die IoT-Systeme selbst abgesichert werden, gerade wenn es sich um kritische Infrastrukturen wie beispielsweise die Energieversorgung oder Verkehrsleitsysteme handelt.
Mitarbeiter müssen fit gemacht werden für das IoT.
Das reicht vom Verkaufspersonal, das mit smarten CRM-Systemen umgehen muss, über die Mitarbeiter im Büro bis hin zu den IT-Abteilungen. Mit dem IoT infiltriert IT ein deutlich breiteres Spektrum an Geräten.
Regeln und Gesetze
Für den IoT-Einsatz braucht es in einigen Bereichen neue Regeln. Das betrifft beispielsweise den Gesundheitsbereich, aber auch den Verkehr. Hier muss der Gesetzgeber aktiv werden und den Märkten einen neuen Rahmen geben. Gleichzeitig kann die öffentliche Hand dem IoT auch selbst zusätzliche Impulse geben, beispielsweise durch die Adaption der neuen Techniken.