«Auto-Hacks werden so verbreitet sein wie Ransomware»

Paul Such ist nicht nur Gründer eines Security-Partners von Abraxas, sondern auch ein international renommierter Pionier des Auto-Hackens. Er erklärt, welche Security-Risiken Auto-Fahrer und Abraxas-Kunden verbindet und wie sein Security-Operations-Center arbeitet. Und warum seine Firma Hacknowledge nicht mit Angst vor Zero-Day-Lücken und 24/7-Support wirbt.

Von Marcel Gamma, Samuel Näf und Florian Brunner · 4. Oktober 2021

Paul Such, Auto-Fan, ethischer Hacker und Mitgründer der Security-Firma Hacknowledge, darf das Auto seiner Frau nicht anrühren. Der sehnige Romand lacht bei seinem Geständnis. Der Grund für das Verbot: Such hat in einer Pionier-Tat sein eigenes Privatauto gehackt und wurde dafür zu einer Präsentation an der DEFCON, eine der weltweit grössten Hacker-Veranstaltungen, eingeladen.

Wieso bei Paul Suchs Auto nach seinem Hack nur noch der Motor funktionierte, erzählt er im Video.

Kein Lob erhielt Such zuhause, weil der Auto-Hersteller drei Monate benötigte, um den nicht mehr fahrbaren Wagen zu reparieren. «Und auch danach funktionierten weder das Entertainment-System, noch die Heizung, noch die die Scheinwerfer. Es war nur ein Motor auf Rädern!» Er lacht erneut, während seine Frau bis heute allergisch auf die Anekdote reagiert.

Das Abraxas-SOC-as a Service: Abraxas hat das Westschweizer IT-Security-Unternehmen Hacknowledge als optimalen Partner evaluiert und kann nun Kunden anbieten, die Sicherheit ihrer Informatik komplett aus einer Hand überwachen, analysieren und managen zu lassen. Beim Abraxas SOC-Service schützen Swissness, eine überzeugende Firmenphilosophie, ausgeklügelte Sensorik und qualifizierte Security-Analysten vor erfolgreichen Cyberangriffen. (Foto: Florian Brunner)

Hack legte Auto lahm
Such hatte aus reiner Neugierde das Multimedia-System seines VW Touareg angegriffen und stiess von dort aus ins Software-Herz vor. Bis sein Auto kaputt war. Andere, ebenfalls von Neugierde und Freude an IT-Security getriebene ethische Hacker fanden weitere Angriffspunkte, um Autos, vom Jeep Cherokee bis zu diversen Tesla-Modellen zu manipulieren oder komplett zu übernehmen. Vor wenigen Wochen schafften es Geistesverwandte des Romands, einen Tesla mit einer Drohne und einem Wifi-Dongle in ihre Gewalt zu bringen.

Viele kleine Lücken ergeben grosse Probleme
Daraus kann jeder Autofahrer, aber auch jede Gemeinde oder Behörde einiges lernen. Die heutigen Autos sind fahrende Computer, die via Wifi und Bluetooth mit dem Internet verbunden sind und damit auch aus der Ferne angreifbar. Angriffsflächen gibt es unzählige, denn ein Auto basiert auf 100 bis 200 Millionen Zeilen Programmcode, der wiederum von unterschiedlichen Lieferanten geschrieben wurde. «In einem Auto stecken viel mehr Codezeilen als in Windows oder in einem F-35-Kampflugzeug», erklärt Such. «Und niemand kann die ganze Soft- und Hardware-Lieferkette und die gesamte Code-Basis kontrollieren».

Ethische Hacker finden in Auto-Software bis heute altbekannte und peinliche Programmierfehler fix einprogrammierte, nicht änderbare Passworte, so im genannten Tesla-Hack. Aber das Hauptproblem sind kleine, unproblematische Schwächen bei unterschiedlichen Herstellern, die sich summieren. «Seit 20 Jahren sehe ich in Penetrations-Tests oft, dass in normalen IT-Netzwerken kleine Lücken kombiniert ein grosses Problem ergeben», erklärt uns Such beim Besuch bei seiner Firma Hacknowledge.

Ich weiss, dass mein Auto gehackt werden könnte. Aber … Paul Such

Sicherheit von Anfang an mitdenken
Die Autoindustrie, aufgeschreckt von Such und seinen Kollegen, nimmt inzwischen IT-Security ernst. Dennoch werden sie kriminelle Hacks nicht völlig verhindern können, im Gegenteil. «Autos hacken wird eines Tages so verbreitet sein wie Ransomware heute», ist Such überzeugt.

Daraus folgert der erfahrene Security-Experte, dass man bei jedem IT-Projekt von Anfang an die Sicherheit einbeziehen müsste. Doch selbst dann ist 100%-ige Sicherheit nicht möglich, bestmögliche hingegen sehr wohl.

Paul Such wäscht sein Auto (Foto: Florian Brunner)
Wir verkaufen kein magisches Produkt, sondern helfen Kunden, Probleme zu lösen, die er auch hat. Paul Such

SOC als Lösung
Und hier kommt seine Firma Hacknowledge, ein Abraxas-Partner, zum Zuge. In einem unauffälligen Gebäude in einer unauffälligen Gewerbezone nahe Morges arbeiten erfahrene Security-Experten im Security Operations Center (SOC) daran, Hacks bestmöglich zu verhindern und mit ihren Analyse-, Monitoring-und Consulting-Dienstleistungen die Sicherheit von Abraxas-Kunden zu verbessern.

«Wir bieten einen Überwachungsdienst an, der hilft, die Zeit zwischen Einbruch und Entdeckung zu verkürzen, mit dem Ziel, IT-Bedrohungen zu stoppen», sagt Such. Und rasche Reaktion wäre eigentlich zentral, doch es dauert laut Studien durchschnittlich mindestens 100 Tage, bis ein Angriff von einer Firma oder Gemeinde überhaupt entdeckt wird. Hacknowledge-Experten und ihr selbst entwickeltes Security Information and Event Management (SIEM) benötigten dazu noch wenige Stunden, verspricht die Firma.

Such und sein Geschäftspartner seit 21 Jahren haben ihre gesamte Erfahrung in das Angebot und die Philosophie ihrer Firma einfliessen lassen. Selbstverständlich gehört die seit Jahren vorhandene ISO 27001-Zertifizierung dazu, welche auch Abraxas einforderte und besitzt.

Security Swiss made
«Wir sind eine Schweizer Firma, die mir, meinem langjährigen Partner und einem Dritten gehört», erklärt Such weiter. Er weiss, diese Transparenz ist seit der Affäre um die «Schweizer» Crypto Group und Crypto AG relevant hierzulande. Hacknowledge ist auch in Luxemburg tätig, hat aber den Hauptmarkt in der Schweiz, betont er. «Alle unsere Mitarbeitenden für Schweizer Kunden wohnen in der Schweiz und wir haben das SIEM speziell für die Bedürfnisse kleiner und mittelgrosser staatlicher Organisationen und Firmen in der Schweiz entwickelt», sagt Such. Dies sei zentral, denn die Security-Probleme hierzulande seien teilweise anders als in den USA oder Deutschland.

Keine magischen Produkte …
Ein weiterer zentraler Faktor der Firmenphilosophie ist, dass Hacknowledge keine Produkte verkauft. Such begründet dies in klaren Worten. «Geld und skrupellose Anbieter haben die Sicherheitsbranche korrumpiert», sagt er. «Alle sechs Monate wird irgendein magisches Produkt lanciert, das alles regeln soll. Aber das ist nicht möglich! Oder warum entdecken denn die magischen Produkte ein Problem erst nach 100 Tagen?» Nun lacht Such nicht mehr, sondern argumentiert mit Überzeugung: «Wir verkaufen keine magischen Produkte und keine Träume von 100% Sicherheit. Wir helfen einem Kunden, die Probleme zu lösen, die er tatsächlich hat. Falls nötig empfehlen wir ein Produkt, aber oft benötigt der Kunde gar nichts Neues!»

… sondern konkrete Use Cases
Auch in der Arbeitsweise unterscheidet sich Hacknowledge von diversen Security-Anbietern und Produktverkäufern. Die Experten fahnden nicht in Terabytes von Logfiles nach möglichen Angreifern. «Das funktioniert nicht! Denn wenn man nicht weiss, wonach man sucht, wird man es auch nicht finden.»

Stattdessen kommen Use Cases zum Einsatz. «Wir diskutieren mit Kunden, was wir finden sollen und finden werden. Das kann ein Computer sein, der sich aus einem fremden Land einwählt, ein neuer Admin-Account und andere Auffälligkeiten.» Dank den Uses Cases wissen die Hacknowledge-Systeme und Experten, wonach sie fahnden müssen. Aber auch vermeintliche Banalitäten, doch häufige Einfallstore für Hacker – fehlende Patches – kontrolliert man im SOC systematisch.

Neben weiteren Sensoren gehören «Honigtöpfe» und «Canaries» (Kanarienvögel) seit langem zu den simplen, aber wirksamen Security-Mechanismen. Dabei bietet man Angreifern attraktiv wirkende Scheinziele und falsche Türen an, und schnappt dieser den Köder, so bemerken und isolieren ihn das SIEM und die Mitarbeitenden sofort.

Schwamm und Schaum - statt Computer und Scripts (Foto: Florian Brunner)
Will man beim SOC kein Geld verschwenden, so müssen zwei Bedingungen erfüllt sein Paul Such

Pragmatismus statt Schlagworte
Statt «innovative nextgen 3.0»-Produkte und Schlagworte zu verkaufen, bietet der Abraxas-Partner Swissness, Erfahrung, Praxiskenntnisse und Pragmatismus. Entsprechend setzt das Marketing auch nicht auf die Angst vor berüchtigten Zero-Day-Lücken (dem Hersteller unbekannte Schwachstellen) oder den viel verlangten 24/7-Service. «Oft resultieren die Security-Probleme aus einem fehlenden Patch oder einem Konfigurationsfehler. Zero-Day-Attacken sind im richtigen Leben von Hacknowledge-Kunden selten und es wird teuer, wenn man diese abdecken will», sagt Such. Das gelte auch für kleine und mittelgrosse Ämter oder Gemeinden.

Ein 24/7-Service klinge zwar gut, sei oft aber unnötig und reine Geldverschwendung. Acht Stunden an fünf Tagen sei optimal, falls beim Kunden sowieso niemand rund um die Uhr mit Alerts umgehen könne. «Ein paar Stunden Reaktionszeit ist doch viel schneller als 100 Tage!»

Wann macht ein SOC Sinn?
Was benötigen Interessenten, damit ein SOC as a Service von Abraxas-Hacknowledge überhaupt sinnvoll ist? Auch hier überrascht Suchs Antwort. «Will man beim SOC kein Geld verschwenden, so müssen zwei Bedingungen erfüllt sein. Erstens ist Management-Support zwingend und zweitens muss der Kunde einen IT-Security-Verantwortlichen beschäftigen.»

100% Sicherheit wird es dann keine geben, denn Menschen machten Fehler und die komplexe Soft- und Hardware-Lieferkette sei nicht kontrollierbar. «Wir bieten keine Träume», wiederholt Such, aber Angst sollte auch nicht der Treiber sein. Er fährt deshalb nach wie vor Auto und nicht nur mit dem Velo. «Ich weiss, dass mein Auto gehackt werden könnte. Aber die Annehmlichkeiten sind viel grösser als das Risiko.»

Lesen Sie auch

0 / 0