In seinem Vortrag spielte Ghali auf den Hack eines Jeep Cherokee aus dem Jahr 2015 an, ohne ihn ausdrücklich zu benennen. Die Forscher Charlie Miller und Chris Valasek hatten damals aus der Ferne die Kontrolle über das Infotainmentsystem des Fahrzeugs übernommen, sich mit dem Kommunikationssystem verbunden und am Ende Zugriff auf nahezu alles erlangt – von der Klimaanlage bis zu Lenkung und Getriebe. Daraufhin rief Chrysler, damals Muttergesellschaft von Jeep, 1,4 Millionen Fahrzeuge zurück. Für die gesamte Automobilbranche war dies ein Weckruf.
Ghali verwies auf die fahrerlosen Waymo-Robotaxis, die unmittelbar vor der Konferenz durch die Straßen von San Francisco und weiterer Städte fahren. „Wir haben Autos, den Computern in diesen Autos, die Fähigkeit gegeben, zu entscheiden, wohin sie fahren, wie schnell sie fahren, wo sie abbiegen, wo sie bremsen", sagte er. „Das ist sehr praktisch, bringt aber auch eine große Verantwortung mit sich."
Gleichzeitig würden Fahrzeuge und ihre Komponenten immer komplexer. Hinter jeder Fahrzeugmarke stehe ein riesiges Netz von Zulieferern, die jeweils eigenen Code schreiben; in Summe komme man auf mehrere Millionen Codezeilen pro Auto oder Lastwagen, so Ghali. Hinzu kommt die drahtlose Anbindung an Apps und die Sammlung von Daten für Analysezwecke. Vieles davon sei historisch von Menschen umgesetzt worden, die nicht auf Cybersicherheit spezialisiert seien. Fahrzeugtechnik und Cybersicherheit seien beide hochtechnische Felder, und Experten für beides zugleich seien selten.
Regierungen weltweit haben in den vergangenen Jahren begonnen, die Fahrzeugsicherheit zu regulieren. Ghali nannte die 2021 verabschiedete UN-Regelung Nr. 155, der 63 Staaten beigetreten sind, darunter die gesamte Europäische Union, das Vereinigte Königreich, Japan und Südkorea. Sie verpflichtet Hersteller, nachzuweisen, dass ihre Fahrzeuge Cybersicherheitsbewertungen durchlaufen haben und über die erwarteten zehn bis fünfzehn Jahre Lebensdauer sicher entwickelt und gewartet werden können.
Die Forschungsgemeinde bleibt unterdessen aktiv: Während die Branche den Jeep-Hack von 2015 kaum vergessen werde, erschienen weiterhin hochwertige Arbeiten zu Fahrzeugschwachstellen, sagte Ghali. Seine eigene Organisation tritt jährlich auf mehreren Sicherheitskonferenzen auf und veranstaltet die Car Hacking Village auf der DEF CON in Las Vegas. Künstliche Intelligenz verändere die Bedrohungslage bereits, und Schutzmechanismen für die Post-Quanten-Verschlüsselung würden bald unverzichtbar.
Padilha sieht autonome Fahrzeuge als Zukunft der Branche; sein Unternehmen investiere stark in die Sicherheit dieser Fahrzeuge und der sie steuernden Systeme. „Wir sind derzeit gut aufgestellt, um Fahrzeuge zu schützen, aber es ist wichtig zu sehen, was wir besser machen können", sagte er. „Und man muss im Hinterkopf behalten, dass das keine leichte Arbeit ist. Fahrzeuge zu schützen ist keine leichte Aufgabe. Es ist eine Herausforderung, der wir uns stellen müssen."
