Produkte für PKW / Van / 4x4

„Nur wenige können, was ich kann“

Neuigkeiten

Print
 
05/12/2019
 

Ken Munro ist Hacker – aber einer von den guten. Im Auftrag der Automotive-Industrie greift der Gründer des renommierten britischen Security-Unternehmens PenTestPartners die IT-Systeme neuer Fahrzeugmodelle an – und macht die Mobilität der Zukunft damit sicherer.

Ken Munro ist professioneller Hacker und Mitbegründer des britischen Cyber-Sicherheits-Unternehmen PenTestPartners. Er hackt sich sowohl in Alltagsgegenstände als auch in Autos – und das zumeist im Auftrag der Hersteller. Foto: PenTestPartners.

 

Herr Munro, Sie testen, wie gut Unternehmen und deren Produkte gegen Hackerangriffe geschützt sind. Vor allem Autohersteller zählen zu Ihren Kunden. Sind Sie eigentlich schon mal selbst gehackt worden?

(Lacht) Nein, das ist mir bisher noch nicht passiert. Bei meiner Arbeit dreht sich alles um das Thema Sicherheit. Naturgemäß ist man da besonders sensibel und bietet potenziellen Hackern eine möglichst geringe Angriffsfläche. Dieses Bewusstsein ist aber eben in vielen Unternehmen nicht so ausgebildet. Dort entwickelt man Autos oder Telematik-Produkte, das Thema Sicherheit spielt oft nur eine untergeordnete Rolle. Aber für uns bei PenTestPartners bedeutet Sicherheit alles. Aber ich muss ehrlich sein: Auch ich kann mir nicht sicher sein, nie gehackt worden zu sein. Ich glaube allerdings, an mir ist dieser Kelch bisher vorübergegangen.

 

Dann verraten Sie uns: Was ist Ihr Geheimnis?

Es gibt kein Geheimnis für Cyber-Sicherheit. Man muss nur genügend Zeit in das Thema investieren. Sicherheit ist ein Phänomen, das viel mit der Unternehmenskultur zu tun hat. Es muss vorgelebt werden. Und das fängt ganz oben an. Wenn die Sicherheit in der Chefetage ernst genommen wird, dann wird sie überall als wichtig erachtet. Wenn aber das Management einer Firma das Thema für nicht besonders relevant hält, dann entwickelt sich das Ganze natürlich in die falsche Richtung.

 

Sie haben mal gesagt: „Manche Dinge müssen zerstört werden, um verbessert werden zu können.“ Ist diese Einstellung eine Voraussetzung, um Hacker zu werden?

In Fachkreisen werden wir „Penetration Hacker“ genannt. Und wie der Spitzname vermuten lässt, ist es unsere und auch meine feste Überzeugung, dass man Dinge zerstören muss, um sie zu verbessern. Dafür fragen uns Firmen, Unternehmen und Organisationen ja auch explizit an. Sie bitten uns, ihre Systeme zu hacken – aber eben auf kontrollierte Art und Weise. Dann können wir ihnen zeigen, wie wir ihre Systeme überlistet haben. Und die Fehler können behoben werden. So können die bad guys, die bösen Hacker nicht zuschlagen. Dafür müssen wir natürlich die wunden Punkte finden und durchbrechen. Viele Autohersteller fragen bei uns nach, ob wir einige Komponenten oder sogar das gesamte Fahrzeug für sie hacken können.

In modernen Autos steckt viel Technik. Aber ist jedes Teil, jedes System wirklich vor dem Angriff durch Hacker geschützt? Das testet Ken Munro mit seiner Firma PenTestPartners. Foto: PenTestPartners.

 

Also arbeiten Sie im Auftrag der Hersteller, wenn Sie hacken?

Genau, wir sind die good guys, die Guten. (lacht) Wir handeln aber durchaus auch aus eigenem Antrieb, um stets den gesamten Markt im Auge zu behalten. Diese unabhängigen Untersuchungen stellen wir dann auf unserem Blog online. Aber bevor wir das tun, wenden wir uns immer an die betroffenen Unternehmen.

 

Dinge zerstören, um sie besser zu machen – gehen so alle guten Hacker vor, oder ist das ihr persönlicher Stil: der Munro-Stil?

Es gibt ja gar nicht so viele gute Hacker. Nur wenige Leute können, was ich tue. Nämlich die Mobilität auf ihre Sicherheit untersuchen. Ein Fahrzeug ist ein hochkomplexes Produkt. Da braucht man einige Tricks und Kniffe, um erfolgreich zu sein. Aber es wäre vermessen zu behaupten, dass nur ich das kann.

 

Moderne Fahrzeuge sind mit immer mehr Assistenzsystemen ausgestattet: Notbrems-Assistent, Spurhalte-Assistent, Reifendruck-Sensor – um nur einige zu nennen. Nimmt damit auch die Angriffsfläche für ungewollte Hackerangriffe zu?

Absolut, ja. Diese ganzen Innovationen stellen einen Wendepunkt in der Automobilgeschichte dar. Wir erleben gerade die Zeit, in der die Industrie auf das vollvernetzte Fahrzeug zusteuert. Das Problem ist dabei folgendes: In dem Moment, in dem das Auto vernetzt fährt, wird die Angriffsfläche für Hacker größer. Es wird dadurch einfacher, sich ins Auto zu hacken. Aber genau dafür sind wir ja da. Wir stellen sicher, dass Fahrzeuge gegen Angriffe geschützt sind, während Komplexität und Konnektivität der Autos weiter zunehmen.

 

Ein Auto ist umso einfacher zu hacken, je vernetzter und digitaler es ist?

Richtig. Je komplexer das Fahrzeug ist, desto mehr potenzielle Angriffsfläche es bietet, desto wahrscheinlicher ist es auch, dass der Autohersteller etwas übersieht und sich Fehler ins Sicherheitssystem des Autos einschleichen.

 

Wie reagieren die Autohersteller eigentlich, wenn sie von Ihnen auf Probleme mit dem Sicherheitssystem aufmerksam gemacht werden? Fehler zuzugeben ist ja nicht für jeden leicht…

Wenn wir auf eigene Faust Autos untersuchen, sagen wir das zuallererst den Herstellern. Es ist wichtig zu verstehen: Wir wollen niemandem eine Lehrstunde erteilen. Manchmal ist tatsächlich die größte Herausforderung, in einem so riesigen Unternehmen überhaupt die richtige Ansprechperson für mein Anliegen zu finden. Meistens finde ich sie aber. Ein großes Problem ist allerdings ein anderes: Je weiter man sich in der Zulieferer-Kette vom Hersteller entfernt, desto weniger werden Sicherheitsanliegen ernst genommen. Das gilt genauso für den Nachrüstmarkt. Da kann es echt schwierig werden, jemanden zu finden, der einem zuhört.

 

Es ist in der Vergangenheit also passiert, dass Sie die falsche Person am Apparat hatten und die Sie nicht für voll genommen haben?

Ja, das ist passiert. Viele Male. Ein Beispiel: Ein Alarmanlagen-Hersteller hat uns mal ignoriert, als wir sie auf Sicherheitslücken in deren Produkten aufmerksam gemacht haben. Da mussten wir dann an die Öffentlichkeit gehen. Nur so haben sie uns zugehört. Als sie dann endlich verstanden haben, dass wir die Guten sind und dass wir nicht wollen, dass sie blöd dastehen, haben sie auch schnell reagiert. Die Fehler wurden ausgebessert.

 

Sie haben sich mal nur durch den Einsatz von Bluetooth in ein Model S von Tesla gehackt und das Auto aus der Ferne lahmgelegt. Die Hersteller bringen jedoch mehr und mehr Autos mit Telematik-Service-Diensten auf den Markt, bei denen das Smartphone mit dem Auto verbunden wird. Müssen wir Angst vor der Zukunft der Mobilität haben?

Ganz klar: Nein. Wir sollten uns vielmehr bewusst machen, dass die meisten Hersteller einen echt guten Job machen, dazu gehört auch Tesla. Autos werden allgemein immer sicherer und sind immer besser geschützt. Das wird hoffentlich so weitergehen. Das Problem beim Tesla lag nicht beim Hersteller, sondern an einem kleinen Gerät vom Nachrüstmarkt, das die Schnittstelle zur Diagnostik der Fahrzeugperformance dargestellt hat. Viele Daten und Statistiken konnten mit dem Computer oder Handy eingesehen werden. Leider war die Schnittstelle nicht sicher. So konnten wir den Wagen lahmlegen.

 

Was sind denn die verwundbarsten Schnittstellen in einem Auto?

Das Problem ist, es gibt zu viele. Da kann man nicht sagen, die eine ist verwundbarer als die andere. Die Hacker-Attacke auf einen Jeep Cherokee vor einigen Jahren hat allerdings gezeigt, dass der CAN-Bus, also das Vernetzungssystem für Sensoren und Steuergeräte, gut geschützt sein muss. Damals war es den Hackern nach ihrer Attacke auf den CAN-Bus möglich, Zugriff auf die Bremsen des Jeeps zu bekommen.

Die Puppe „My friend Cayla“ war einer der ersten Aufträge von Ken Munro. Durch sie konnten Hacker Kinder belauschen und sogar mit ihnen sprechen. In Deutschland wurde die Puppe nach Munros Enthüllungen verboten. Foto: PenTestPartners.

 

Ist es überhaupt möglich ein Auto bauen, das für Hacker nicht anzugreifen ist?

Hundertprozentige Sicherheit gibt es nicht. Die gibt es nie. Wir können nur die Risiken reduzieren. Das können wir nur tun, indem wir Schutzmauern um bestimmte Systeme errichten, die die Systeme schützen – etwa den CAN-Bus. Wir müssen aber sicherstellen, dass wir diese Schutzmauern überhaupt bauen. Die Funktionen der Systeme müssen so exakt wie möglich definiert werden, die Angriffsflächen müssen so klein wie möglich gehalten werden und sie müssen im Fall einer Attacke richtig reagieren. Es muss vor allem sichergestellt werden, dass ein Hacker-Angriff auf ein Auto kein Angriff auf die ganze Fahrzeugflotte zur Folge haben kann. Das Worst-Case-Szenario muss ein Angriff auf nur einen Wagen bleiben. Das konnten wir zum Beispiel auch bei dem vorhin erwähnten Beispiel der Alarmanlagen sicherstellen. Eine ganze Flotte war mit ihnen ausgestattet. Weil der Fehler behoben wurde, konnte ein Angriff auf mehr als drei Millionen Autos verhindert werden.

 

Auch wenn Donald Trump das nur ungern hört, eine ausländische Macht mischte sich in die US-Präsidentschaftswahlen ein. Wenn selbst Wahlen in westlichen Industrienationen gehackt und beeinflusst werden können: Wie kann man sich dann im eigenen Auto noch sicher fühlen?

Das kommt ganz darauf an, wie man „sich sicher fühlen“ definiert. Ein Beispiel: Wir haben vor kurzem einen Weg gefunden, wie man Mikrofone in Millionen von Fahrzeugen aus der Ferne aktivieren kann. Hacker könnten also, wenn sie denn wollten, bei Konversationen im Auto mithören. Ein massiver Eingriff in die Privatsphäre, oder? Und man sieht: Es geht nicht unbedingt darum, dass Hacker aus der Ferne die Kontrolle über das Lenkrad übernehmen oder die Bremsen außer Kraft setzen. Es sind die subtileren Dinge: Sammeln von Daten darüber, wo wir leben, wie wir fahren, was wir sagen. Es ist diese massive Verletzung der Privatsphäre, die uns am meisten Sorgen macht. Wer sich einen Auto-Hacker vorstellt, hat meist einen Menschen vor Augen, der Unfälle herbeiführen will. Aber es ist tatsächlich vor allem die Privatsphäre, die in Gefahr ist.

 

Also ist unsere Privatsphäre das größte Ziel von Hackerangriffen?

Ja. Denken Sie mal darüber nach, was man mit diesen Daten machen kann. Eine Versicherungsgesellschaft könnte so an Daten kommen, die zeigen, wie Sie gefahren sind. Sie könnten davon ausgehend zum Beispiel die Kosten der Versicherung erhöhen. Oder sie könnten es ablehnen, Sie überhaupt zu versichern, wenn Ihre Fahrweise ihnen nicht gefällt. Das ist durchaus eine Form von Diskriminierung. Und darüber mache ich mir Sorgen, ähnlich wie sonst nur bei den großen Suchmaschinen, die haufenweise Daten über uns sammeln.

 

Das Auto als Rückzugsort, wo ich tun und lassen kann, was ich möchte, ist also ein Mythos der Vergangenheit?

Ganz genau.


Tesla sieht sich selbst als Softwareunternehmen und Autos als Smart-Devices auf Rädern. Das Model S der Amerikaner wurde von Ken Munro innerhalb weniger Sekunden komplett lahmgelegt. Durch den Einsatz von Bluetooth konnte Munro eine Sicherheitslücke im CAN-Bus des Fahrzeuges ausmachen und damit auf fast alle Systeme des Fahrzeugs zugreifen. Das Unternehmen reagierte aber schnell und behob die Schwachstelle. Foto: Tesla.

 

Und auch Ihre Arbeit kann dazu beitragen, die Sicherheit auf den Straßen zu erhöhen? 

Genau. Wir haben ja eben schon über den Eingriff in unsere Privatsphäre gesprochen. Dazu kommen die Sicherheitsaspekte, die bei zunehmend vernetzten und autonomen Fahrzeuge hinzukommen. Denn wenn ein vernetztes, autonomes Fahrzeug verwundbar ist, und es Hackern dadurch möglich ist, eine ganze Flotte gleichzeitig nach links steuern zu lassen, dann haben wir ein echtes Problem. Ich denke aber nicht, dass wir Angst haben müssen. Die Hersteller in der Autoindustrie und viele große Zulieferer machen einen guten Job. Sie nehmen Cyber-Sicherheit sehr ernst. Aber wir müssen eben sicherstellen, dass alle in der Lieferkette genau den gleichen Job machen. Das wird in der Zukunft der Schlüssel sein.

 

Was kann der Endkunde tun, um sein Auto vor Angriffen zu schützen?

Ehrlich gesagt: Viel können Sie selbst nicht tun. Klar, da sind schon ein paar Dinge, die jeder Autofahrer machen kann. Das wohl wichtigste: Bei einer Smartphone-App, die Handy und Wagen miteinander verbindet, sollte immer ein persönlicher Account mit einem sicheren Passwort eingerichtet werden. Und wenn es dann ein Software-Update gibt, dann sollte das auch unbedingt heruntergeladen werden. Updates beheben nämlich Fehler im Sicherheitssystem des Smartphones. Wenn diese Updates nicht heruntergeladen werden und dann das Handy gehackt wird, dann erwischt es das damit verbundene Auto genauso. Da hat dann auch nicht das Fahrzeug daran Schuld, und auch nicht der Hersteller. Wenn Ihr Auto gestohlen wird, weil es über eine Sicherheitslücke in Ihrem Smartphone möglich war, das Auto aufzuschließen: Ist das dann die Schuld vom OEM oder vom Zulieferer? Nein, ich denke nicht.

 

Es geht ja auch nicht nur ums Auto. Viele Alltagsgegenstände – Kinderspielzeuge und Kühlschränke – sind ebenso Ziele von Hackern. Auch die sind heute vielfach mit dem Internet verbunden. Sie beschäftigen sich mit Ihrer Firma auch mit solchen Dingen. Wo sind wir denn verwundbarer?

Meine Erfahrung zeigt, dass die Alltagsgegenstände – Kühlschränke genau wie Spielzeuge – deutlich schlechter geschützt sind als das Auto. Ich gebe Ihnen mal ein Beispiel. Mein erster Untersuchungsgegenstand war vor fünf Jahren eine sprechende Spielzeugpuppe, die hieß „My Friend Cayla“. Sie wurde damals in Deutschland verboten. Wir haben nämlich festgestellt, dass man mit dieser Puppe unsere Kinder ausspionieren konnte. Hacker konnten hören, was die Kinder sagen – und sie konnten mit ihnen durch diese Puppe sogar sprechen. Das war echt gruselig. Es gibt auch andere Gegenstände, mit denen zum Beispiel ganz einfach Ihr WIFI-Passwort gestohlen werden kann. Und sobald jemand Ihr WIFI-Passwort hat, kann derjenige Ihren gesamten Internet-Verlauf einsehen. Das Problem ist: Es gibt so viele vernetzte Gegenstände auf dem Markt, aber nur einige davon sind sicher. Die meisten sind es nicht. Viele Hersteller sehen gar nicht die Risiken, die ihr Produkt in sich birgt.