An das Internet angeschlossene Autos können zum Ziel von Hackern werden – mit möglichen schwer wiegenden Folgen. Sicherheitsexperten haben bereits gezeigt, wie sie bei einem Jeep das Brems- und Kraftübertragungssystem fernsteuern können. Chrysler reagierte sofort und lieferte nach wenigen Tagen ein Software-Fix für 1,4 Millionen Fahrzeuge aus. Anders Konkurrent GM.

Nachdem der Auto-Gigant GM 2010 auf eine Sicherheitslücke in seiner Kfz-Software hingewiesen wurde, passierte genau – nichts. Für nahezu ein halbes Jahrzehnt war der in Millionen Fahrzeugen verbaute »OnStar«-Bordcomputer angreifbar, monitert der Security-Spezialist LogRhythm. Hacker hätten das Fahrzeug verfolgen können, die Bremsen bei hoher Geschwindigkeit betätigen oder ganz abschalten können – eine echte Gefahr für den Straßenverkehr.

Anzeige

*** Gastkommentar von Roland Messmer, Director EMEA, Logrhythm***

Roland Messmer, Director EMEA, LogrhythmMit der zunehmenden Verbreitung von Internet-fähigen Geräten und Fahrzeugen, sogenannten Connected-Cars, rücken diese immer weiter in den Fokus professioneller Hacker, die hier einen lukrativen Markt wittern. Im Fall GM hätte der Autohersteller sicherstellen müssen, dass nach Bekanntwerden der Sicherheitslücke diese umgehend geschlossen wird – denn solche Schwachstellen können Menschenleben gefährden. Hier geht es schließlich nicht um den Diebstahl von Kreditkartennummern oder geistigem Eigentum!

Im Zuge des neuen IT-Sicherheitsgesetzes hätte GM diese Sicherheitslücke melden müssen – und das ist gut so. Andere Länder wie England haben es vorgemacht und durch ähnliche Vorschriften das Sicherheitsniveau in den Firmen massiv erhöht. Daher sehen wir mit der Einführung des IT-Sicherheitsgesetzes in Deutschland einer sehr positiven Entwicklung entgegen, hin zum schnellen Erkennen und Abwehren von Cyber-Angriffen.

Wegducken nützt nichts. Cyber-Angriffe sind tägliche Normalität!

Viele Firmen fürchten durch die Meldepflicht einen Reputationsverlust. Der tritt allerdings eher ein, wenn öffentlich wird, dass sie wie GM mehrere Jahre bekannte Sicherheitslücken aussitzen, nichts dagegen tun – und Kunden möglicherweise einer realen Gefahr aussetzen.

Unser Rat: Wegducken nützt nichts! Besser beraten sind Unternehmen, Cyber-Angriffe als tägliche Normalität anzuerkennen und rechtzeitig Werkzeuge zu implementieren, mit denen sie ein Eindringen in ihr Netzwerk frühzeitig erkennen und sofort gegensteuern können. Reaktive Abwehrsysteme wie Firewalls und IPS/IPD alleine können gegen moderne Angriffe nicht bestehen. Nur durch ein übergreifendes Security-Intelligence-System lassen sich sämtliche Sensordaten erfassen und auswerten, Angriffe schnell erkennen und sofort aktiv abwehren.