Autos auf einem Highway im Fadenkreuz

Datenschutz in Smart Cars: US-Senator will Antworten

Tracking und Hacking: US-Senator Edward Markey konfrontiert die Autoindustrie mit vielen Fragen

von Sarah Sauer am 21. Februar 2015

Auf der Suche nach einer aktuellen Meldung passend zum Smart Car Hub stieß ich heute immer wieder auf eine aktuelle und sehr selbstbewusste Pressemitteilung. So selbstbewusst, dass ich sie fast unverschämt finde. Sie trägt die Überschrift: TowerSec ECUSHIELD löst Herausforderungen der Automotive Cyber Security. Laut Mitteilung ist TowerSec ein globaler Anbieter für Automobil-Cyber-Sicherheit – und nach eigenen Angaben die einzige Firma (!), die Schutz vor Cyber-Bedrohungen und Hacker-Angriffen in Bezug auf Autos und LKWs bietet.

Das liest sich dann so: “ECUSHIELD ist die einzige erprobte und bewährte Software-Sicherheitslösung, die für den sofortigen Einsatz zur Verfügung steht”, sagte Saar Dickman, TowerSec CEO. “Wir investierten viele Jahre an Forschung und Ingenieursarbeit bei der Entwicklung dieses Produkts. Es erkennt und verhindert Cyber-Bedrohungen für Fahrzeuge in Echtzeit und kann ohne, dass das Fahrzeugdesign geändert werden muss, in bestehende und zukünftige Fahrzeuge integriert werden. Es ist für weniger als 10 Dollar pro Fahrzeug erhältlich.” Die Technologie kann demzufolge, indem es ohne erforderliches Redesign in ECU (Electronic Control Unit)- oder Telematik-Steuergeräte integriert wird, die Übertragung schädlicher Daten verhindern, sodass betriebsnotwendige Systeme im Fahrzeug nicht beeinträchtigt werden.

Ewiges Thema

Ob die Firma das nun wirklich kann oder nicht, kann ich nicht beurteilen und herausfinden. Aber das Thema, das dahintersteckt, ist ja nicht aus der Luft gegriffen. Dass die fortschreitende Vernetzung im automobilen Bereich Anlass gibt, auch das Thema Sicherheit vs. Trojaner vs. Hack-Angriffe zu betrachten, zeigen Berichte wie der über den BMW-Hack oder die “Kaskaden von connected devices”, mit denen wir uns mehr und mehr umgeben.

Ich war noch immer so verblüfft über das Selbstbewusstsein der Meldung, dass ich weiter recherchierte. Plötzlich schloss sich der Kreis auf eine ganz unerwartete Art und Weise. Grund für die Pressemitteilung von TowerSec heute sind die Briefe eines Senators in Massachusetts an diverse Autohersteller-Dependancen in den USA in 2013! Auf diese Briefe bezieht sich die Meldung sogar ganz konkret. Dann stieß ich auf aktuelle Artikel (19. Februar 2015) über ein Expertentreffen vor zwei Tagen in Detroit, die sich ebenfalls des Themas Cyber-Gefährdung der Automobile angenommen hatten. Und während ich mich durch die Präsentationen der Speaker klickte, wurde klar: auch hier spielte der Senator Edward Markey plötzlich eine Rolle. Was also war geschehen?

20 Briefe an die amerikanische Autoindustrie

Poträt von Senator Ed Markey

Senator Edward J. Markey hatte am 2. Dezember 2013 Briefe an 20 Autohersteller    geschickt: Volvo North America, Volkswagen Group of America, Toyota North American Region, Tesla, Subaru Motors America, Porsche Cars of North America, Nissan North America, Mitsubishi Motors North America, MercedesBenz USA, Mazda North American Operations, Automobili Lamborghini America, Jaguar Landrover LLC, Hyundai Motors North America, American Honda Motor Co. Inc., General Motors, Ford Motor Company, Chrysler Group LLC, BMW North America, Audi of America, and Aston Martin The Americas.

Darin verlangte er Informationen darüber, inwiefern Kunden vor Cyber-Attacken oder anderen Verletzungen ihrer Privatsphäre seitens der Automobilindustrie geschützt würden. Dieses Zitat kann sein Anliegen nicht besser ausdrücken:

Airbags and seat belts protect the safety of drivers, but we also need car companies to ensure the security and privacy of those in automobiles in this new wireless age.

Wireless-Technologien in Fahrzeugen sind keine Seltenheit mehr. Damit steigt laut Markey die Gefahr der Bedrohungen und die Notwendigkeit, Sicherheit und Privatsphäre aller Autofahrer zu gewährleisten. Sehen das die Hersteller genauso? Um das herauszufinden stellte er ihnen viele Fragen. Hier ein Auszug:

  • Does the company utilize independent thirdparties to test for vulnerabilities to wireless entry points?
  • Do any vehicles include technology that detects or monitors for anomalous activity or unauthorized intrusion through wireless entry points or wireless control units? And how are reports or unauthorized intrusion or remote attack responded to?
  • What types of driving history information can be collected by navigation technology or other technologies, and is this information recorded, stored, or sold?
  • Has the company received any request for data related to the driving history of drivers, and what were the reasons and final disposition of the requests?
  • Which vehicles include technologies that can enable the remote shutdown of a vehicle, and are consumers made aware of this capability before purchase, lease ore rental of the vehicle?

Die Antworten der Autoindustrie

Jetzt im Februar dieses Jahres erstellte Edward Markey eine Zusammenfassung seiner Untersuchung Tracking & Hacking: Security & Privacy Gaps Put American Drivers at Risk. Sie basiert auf den Antworten der Hersteller, NICHT zurückgemeldet haben sich laut Report Aston Martin, Lamborghini und – ausgerechnet – Tesla. Das Ergebnis ist, wie nicht anders zu erwarten, negativ. Es gibt einen eklatanten Mangel in Form von Maßnahmen und Richtlinien, wie Hack-Angriffe vermieden werden können und wie der Umgang mit all den gesammelten Daten vonstatten gehen soll. In acht Punkten fasst der Senator zusammen, was wir eigentlich nicht wissen möchten, aber wissen müssen:

  • Beinahe 100 Prozent der Autos auf dem Markt bieten aufgrund ihrer Wireless-Technologien die Möglichkeit für unerwünschte Angriffe.
  • Die meisten der befragten Hersteller waren entweder nicht in der Lage (unable to report on past hacking incidents), über Hack-Angriffe zu berichten, oder wussten davon nichts.
  • Sicherheitsmaßnahmen, um ferngesteuerten Zugriff auf die Fahrzeugelektronik zu verhindern, sind inkonsistent – oder aber die Hersteller haben Markeys Frage danach nicht verstanden. (Ja, das steht da wirklich so).
  • Nur zwei Hersteller waren konkret in der Lage, ihre Echtzeit-Handlungsmöglichkeiten im Falle einer Infiltration zu benennen, die anderen gaben zu, da noch nicht über die richtigen Technologien zu verfügen,
  • Die Hersteller sammeln Daten. Viele.
  • Ein Großteil der Hersteller bietet zudem Technologien an, mit deren Hilfe “driving history data” zu Datenzentren geleitet werden, und zwar wireless. Wie diese Informationen gesichert werden, haben die wenigsten Befragten beantwortet.
  • Die Hersteller benutzen so genannte “personal vehicle data” auf verschiedene Arten und Weisen, nach eigenen Angaben aber vor allem dazu, um die “Kundenzufriedenheit” zu verbessern. Wie lang diese Infos über die Autofahrer gespeichert werden, variiert ebenfalls.
  •  Zuguterletzt werden wir, die Kunden, nicht explizit auf diese Sammeln von Daten hingewiesen. Und wenn doch, dann finden sie sich in einem Dilemma wieder: Wer keine Lust hat, Daten zu liefern, müsste zum Beispiel auf Systeme wie das Navi verzichten.

Der Wunsch nach Klarheit

Ja, nicht viel Neues dabei, oder? Dennoch finde ich es spannend, all dies noch mal schwarz auf weiß zu sehen. Ich mag den Gedanken, dass sich der Herr Senator dahingesetzt hat und die (amerikanische) Industrie dazu aufforderte, Tacheles zu reden. Seine Studie enthält noch den kurzen Hinweis, dass sich die Autoindustrie im November 2014 dazu bereit erklärt hat, freiwillig Richtlinien einzuhalten, die einen Versuch darstellen, wenigstens einige dieser Themen in Sachen Datenschutz anzugehen. Ja, genauso schwurbelig ist es im englischen Original verfasst.

Im Deutschen geht es aber ähnlich schwammig zu. Hier kam im Dezember die Meldung, dass der VDA (Verband der Automobilindustrie) ergänzend zu den bestehenden gesetzlichen Regelungen in Deutschland, gemeinsame Datenschutz-Prinzipien für vernetzte Fahrzeuge erarbeitet hat. Diese umfassen die drei Kernpunkte Transparenz, Selbstbestimmung und Datensicherheit, in denen nun Veränderungen zugunsten der Kunden “angestrebt” werden. Natürlich, das Festlegen von Richtlinien und auch ihre Einhaltung braucht Zeit. Es gibt unzählige Faktoren und Interessen, die berücksichtigt werden wollen und müssen. Wenn ich mir etwas wünschen dürfte, dann wären das genauso klare Ansagen wie in jener selbstbewussten Pressemitteilung. Allerdings mit mehr Glaubwürdigkeit.

Wer den vollständigen Report lesen möchte, findet ihn hier.

Fotos: Fotolia, Government Ed Markey