Angriffe auf Fahrzeuge werden laut David Berg, VP bei Keyfree Technologies, immer raffinierter. Organisierte Banden nutzten elektronische Systeme, um Autoschlüssel zu klonen. „Sie wissen, wo sich die Leute aufhalten, und wenn der richtige Zeitpunkt gekommen ist, schicken sie jemanden, der das Auto aus der Einfahrt holt — ohne dass der Besitzer es merkt, weil es mit einem Schlüssel gestohlen wird", erklärt der in Toronto ansässige Berg. Kanadische Versicherer und Strafverfolgungsbehörden seien deshalb beunruhigt.
Da die Angriffe denen auf Computer ähneln — etwa Man-in-the-Middle oder Spoofing —, hält Berg 2FA für einen gangbaren Lösungsweg. Keyfree hat eine Technik entwickelt, die Hardware im Fahrzeug mit einer mobilen App kombiniert: Nutzer authentifizieren den Schlüsselanhänger über ein Einmalpasswort, um das Auto zu starten. Angegriffen werden bevorzugt ältere Fahrzeuge, weil sie leichter zu entwenden sind. Elektroautos seien weniger betroffen, da sie permanent mit dem Internet verbunden und damit ständig ortbar sind. Täter umgingen mittlerweile Lenkradkrallen und GPS-Tracker und setzten Relay-Angriffe sowie Schlüsselklonen ein, um eingebaute Sicherheitssysteme auszuhebeln.
Lisa Caldwell, bei Marsh für die Bereiche Fertigung und Automobil in den USA zuständig, beobachtet wachsendes Interesse an Multifaktor-Authentifizierung (MFA) für schlüssellose Fahrzeuge. Die Hersteller kennen die Schwachstelle zwar seit Längerem, doch Hürden bei Komfort, Zuverlässigkeit und Kosten hätten den Fortschritt gebremst. Statt eines Codes wie am Computer prüften die Unternehmen sichere digitale Schlüssel mit Ultrabreitband-Technik, die räumliche Nähe zum Fahrzeug erfordert, biometrische Verfahren wie Gesichts- oder Fingerabdruckerkennung sowie ein PIN-zum-Fahren-Modell ähnlich einem Geldautomaten. Erschwerend komme hinzu, dass es keine klaren Authentifizierungsstandards gebe; Verbände wie SAE International und die ISO hätten sich bislang stärker auf Ergebnisse zur Sicherheit konzentriert. Eine direkte regulatorische Pflicht zur Authentifizierung sei derzeit unwahrscheinlich, breitere Cybersicherheitsanforderungen für Fahrzeuge dagegen wahrscheinlicher.
Den Komfortaspekt betont auch Dr. Bastian Holderbaum, Global Director für funktionale Sicherheit und Cybersicherheit beim Software-Unternehmen FEV.io GmbH: 2FA biete ein hohes Sicherheitsniveau, eigne sich aber vor allem für gelegentliche Vorgänge. „Für häufige Interaktionen wie das Entriegeln oder Starten des Fahrzeugs ist eine verpflichtende 2FA für die Nutzer nicht komfortabel", so Holderbaum.
Auch das Gesundheitswesen treibt den Einsatz voran. Laut Arety werden Geräte wie Dialysemaschinen oder große Diagnosegeräte, die Patientendaten erfassen, mit 2FA oder MFA ausgestattet, um die Daten auf dem Gerät zu verschlüsseln und die Übertragung zur zentralen Steuerungsebene abzusichern. „Es ist alles richtliniengesteuert", sagt Arety. Shane Barney, CISO von Keeper Security, verweist auf netzverbundene und damit attraktive Ziele wie Infusionspumpen, Bildgebungssysteme und Terminals für elektronische Patientenakten. Manche Einrichtungen verlangten von Klinikern inzwischen sowohl einen physischen Berechtigungsnachweis als auch eine PIN.
„Wenn unbefugter Zugriff auf medizinische Infrastruktur reale Sicherheitsfolgen hat, muss die Messlatte für die Identitätssicherung höher liegen als ein einzelner Faktor", sagt Barney. Verfahren wie SMS-Codes blieben anfällig für Abfangen und SIM-Swapping. Entscheidend sei letztlich stets dieselbe Frage — ob jemand einen Serverraum aufschließt, auf ein Medizingerät zugreift oder eine Überweisung freigibt: Lässt sich die Identität über mindestens zwei unabhängige Kanäle nachweisen?
