Apps vor dem Sprung ins Auto

Moderne Infotainment- und Fahrassistenzsysteme werden für Kunden ein immer wichtigeres Kriterium beim Autokauf. Nun stehen die auf Smarphones und Tablets liebgewonnen Apps davor, auch die Bordcomputer der Automobile zu erobern. Apple hat seine CarPlay genannte Lösung erstmals im Juni 2013 auf seiner Entwicklerkonferenz in Kalifornien vorgestellt. Das System baut – pikanterweise – auf der Automobilversion des Betriebssystems QNX des Wettbewerbers Blackberry aufbaut, die als Middleware in den Boardcomputern der meisten aktuellen Autos läuft. Carplay arbeitet als zusätzliche Software-Schicht, die sich per Funk oder Kabel mit einem iPhone verbindet und auf dessen Mobilfunk- und GPS-Hardware zugreift.

Der Nutzer kann so ausgewählte Funktionen des Smartphones verwenden, ohne die Hände vom Lenkrad zu nehmen. Ein wichtiges Element ist hierbei der Sprachassistent Siri, der über einen Knopf am Lenkrad aktiviert werden kann. Über die Freisprechanlage des Autos kann der Fahrer so beispielsweise die Musikwiedergabe vom Smartphone steuern, SMS vorlesen lassen beziehungsweise diktieren, Anrufe entgegennehmen oder ein Navigationsziel auswählen. Die vom Handy berechnete Route wird dann auf dem Display des Boardcomputers dargestellt, die Sprachkommandos kommen aus den Lautsprechern des Fahrzeugs. Das Handy kann im Ablagefach oder in der Hosentasche bleiben.

Unterstützung für CarPlay haben bisher knapp 30 Automarken angekündigt. Mit an Bord sind beispielsweise Hersteller wie Audi, Mercedes-Benz, BMW und Volvo. Die ersten Neuwagen, sollen sich noch in diesem Jahr mit Apples Lösung ausrüsten lassen. Weitere Fahrzeugmodelle sollen in den kommenden ein bis zwei Jahren erscheinen. Zubehörhersteller wie Alpine und Pioneer haben zudem Nachrüstlösungen für bestehende Fahrzeuge angekündigt.

Der prominenteste fehlende Name in der Liste ist Volkswagen. Der Wolfsburger Konzern setzt im Gegensatz zu seiner Tochter Audi bisher ausschließlich auf den Konkurrenz-Standard „Android Auto“ der von Google angeführten Initiative „Open Automotive Alliance“. Dieser auf der diesjährigen Konferenz „Google I/O“ in San Francisco präsentierten Plattform haben sich bisher ebenfalls knapp 30 Automobilhersteller angeschlossen – die meisten unterstützen beide Standards. Dazu kommen zahlreiche Anbieter von Infotainment-Systemen wie Alpine, JVC Kenwood, Panasonic und Pioneer.

Die Funktionalität und Funktionsweise der Google- Lösung gleicht der von Apples System weitgehend. Während sich der CarPlay-Anbieter jedoch mit einem Software-Aufsatz für das vorhandene Betriebssystem des Boardcomputers zufrieden gibt, versucht Google jedoch, Android langfristig zum Herzstück eines jeden Autos zu machen und bestehende Bordcomputer-Betriebssysteme zu verdrängen. Dabei stehen vor allem die Fahrzeugdaten im Fokus von Google. Sowohl die meisten Automobilhersteller als auch Sicherheitsexperten bestehen jedoch auf eine strikte Trennung von Infotainment-Software und sicherheitsrelevanten Fahrzeugfunktionen.

Um diese sicherzustellen, arbeiten im Projekt „Dana“ Wissenschaftler des Fraunhofer-Instituts für Eingebettete Systeme und Kommunikationstechnik (ESK) in Zusammenarbeit mit Partnern wie BMW, Elektrobit Automotive und Itestra. Ziel ist es, eine offene und erweiterbare Werkzeugplattform für die durchgängige Absicherung von Infotainment- und Fahrerassistenzfunktionen im Automobil zu schaffen. Hierzu wird im Rahmen des Projektes eine Methodik entwickelt, mit der man Dienste im Automobil bezüglich des Kommunikationsverhaltens und der Applikationslogik modellieren kann.

Dass eine strikte Trennung von Fahrzeugfunktionen und Infotainment-Software notwendig ist, zeigen zahlreiche mit dem Internet verbundene Fahrzeuge, die bereits auf den Straßen unterwegs sind: Eine spanische Studie von Kaspersky in Zusammenarbeit mit IAB hat die Sicherheit des aktuell stark fragmentierten Software-Ecosystems von vernetzten Fahrzeugen diverser Hersteller unter die Lupe genommen. Dabei zeigten sich vor allem vier Security-Schwachpunkte: Der Umgang der Fahrer mit ihren Zugangsdaten, mobile Apps, Updates der Software und die Datenverbindung im Fahrzeug.

Die Studie wurde von IAB Spain durchgeführt, einem Zusammenschluss führender Agenturen für Marketing und digitale Medien in Spanien. Partner waren neben Kaspersky Lab auch Applicantes und Motor.com. Die Studie ist die erste ihrer Art und gibt einen umfassenden Überblick des spanischen Markts für vernetzte Fahrzeuge. 21 Modelle von 15 verschiedenen Herstellern wurden im Hinblick auf Geschäftsmodelle, führende Apps und zukünftige Trends wie Konnektivität und IT-Sicherheit untersucht. Vicente Diaz, Principal Senior Researcher bei Kaspersky Lab, hat im Rahmen der Studie am Beispiel der Fahrerassistenzsysteme von ConnectedDrive von BMW mögliche Sicherheitslücken untersucht. „Vernetzte Fahrzeuge können die Türen zu jenen Cybergefahren öffnen, die schon lange von PCs und Smartphones bekannt sind“, bilanziert Diaz. „Wird etwa einem Besitzer das Zugangspasswort zum Assistenzsystem gestohlen, kann damit der Standort des Fahrzeugs ermittelt werden, und auch die Türen lassen sich ferngesteuert öffnen. Ein sorgsamer Umgang mit diesen Daten ist also entscheidend und Besitzer vernetzter Fahrzeuge sollten sich darüber im Klaren sein, dass neue Risiken auf sie warten.“

Kaspersky konnte im Rahmen der Analyse von ConnectedDrive unterschiedliche potenzielle Angriffsvektoren von vernetzten Fahrzeugen ermitteln. Mit bekannten Methoden wie Phishing, Keylogging und Social Engineering könnten Cyberkriminelle die Zugangsdaten zur BMW-Webseite stehlen und damit unautorisiert auf Anwenderinformationen zugreifen. So lassen sich zum Beispiel weitere mobile Apps für den Zugriff auf das Fahrzeug einrichten, etwa um es zu öffnen und einfach loszufahren. ConnectedDrive kann über Bluetooth aktualisiert werden. Der Besitzer kopiert dazu einfach die aktuelle Version von der BMW-Website auf einen USB-Stick. Die Daten auf dem Stick sind weder signiert noch verschlüsselt, und enthalten zudem zahlreiche Angaben über die im Fahrzeug laufenden Systeme. Mögliche Angreifer könnten hier über entsprechende Manipulationen auch Schadprogramme einschleusen. Einige Funktionen lassen sich mit Hilfe von SMS-Nachrichten an die im Fahrzeug befindliche SIM-Karte steuern. Abhängig vom gewählten Grad der Verschlüsselung könnten so Cyberkriminelle auch unautorisiert Befehle erteilen und im schlimmsten Fall die Steuerung des Fahrzeugs komplett übernehmen.

Die Smartphone-Integration ins Auto verspricht, die Autofahrt komfortabler und unterhaltsamer zu machen. Damit dabei aber die Sicherheit nicht auf der Strecke bleibt, sind also die Entwickler von Audi, BMW und Co. gefragt, entsprechende Security-Vorkehrungen zu treffen und die Infotainment-Systeme von sicherheitsrelevanten Funktionen des Bordcomputers zu trennen. •