„Pwn2Own Automotive 2024“ Hackathon 24.-26.01.24
VicOne, Experte für Cybersecurity-Lösungen im Automobilbereich, ist Mitveranstalter des „Pwn2Own Automotive 2024“ Hackathon , eines Pwn2Own-Hacking-Wettbewerbs, der sich ausschließlich auf den Automobilsektor konzentriert.
Damit will das Unternehmen die weltweit besten White Hat Hacker für diesen Sektor anziehen. Das neugeschaffene Event findet vom 24. bis 26. Januar 2024 im Rahmen der Automotive World in Tokio statt.
Der multinationale Hacking-Wettbewerb trägt dazu bei, die Zukunft der vernetzten Automobilmobilität zu sichern. Er konzentriert sich auf die Entdeckung und Behebung digitaler Sicherheitslücken von vernetzten Autos und damit auf die Cybersicherheit von Fahrzeugen. Die Zuschauer werden die allerneuesten Enthüllungen („Zero-Day Discovery“) im Bereich automobiler Cybersicherheit erleben.
Tesla stellt mit den Modellen 3 und S erneut zwei seiner modernsten Fahrzeuge für diesen ultimativen Praxistest zur Verfügung. Das Unternehmen ist bereits seit 2019 einer der Sponsoren der „Connected Car“-Kategorie des halbjährlich stattfindenden ursprünglichen Pwn2Own Wettbewerbs. Das neugeschaffene Pwn2Own Automotive Event findet vom 24. bis 26. Januar 2024 im Rahmen der Automotive World in Tokio statt und wird von dem Sicherheitsanbieter TrendMicro im Rahmen seiner Zero Day Initiative mit ausgerichtet. Die teilnehmenden Hacker werden um Bargeld im Gesamtwert von mehr als 1 Million US-Dollar und weitere Sachpreise konkurrieren. Die teilnehmenden Unternehmen können durch das Aufdecken von Schwachstellen in ihren eigenen Produkten Erkenntnisse darüber gewinnen, wie sie sicherere und zuverlässigere Produkte entwickeln können.
Vernetze Fahrzeuge, mehr Gefahren
Mit der weltweiten Verbreitung von vernetzten Fahrzeugen nimmt die Bedrohung der Cybersicherheit in der Automobilindustrie derzeit zu. Es ist davon auszugehen, dass es zukünftig vernetzte Fahrzeuge nicht nur im Privatbereich, sondern auch bei öffentlichen Verkehrsmitteln geben wird. Der Zweck des „Pwn2Own Automotive 2024“ Hackathon ist es erstens, durch diesen Wettbewerb das Bewusstsein dafür zu schärfen, wie wichtig es ist, Risiken im Zusammenhang mit vernetzten Fahrzeugen zu erkennen und zu bekämpfen. Der zweite Grund ist die Schaffung einer Bewegung zur Verhinderung neuer Risiken in der gesamten Automobilbranche. Das Event dient deshalb auch dazu, die Automobilindustrie mit der Cybersecurity-Branche in Verbindung und ins Gespräch zu bringen. Aktivitäten wie dieses Hacking-Event sind entscheidend, um die globale Automobilindustrie auf die sich entwickelnde Bedrohungslandschaft vorzubereiten.
Einer der Grundsätze zur Aufrechterhaltung der Cybersicherheit in der Automobilindustrie besteht darin, digitale Bedrohungen und bisher unbekannte sogenannte „Zero-Day“- Schwachstellen zu erkennen und zu beseitigen, bevor ein Fahrzeug auf den Markt kommt. VicOne verfügt als Tochtergesellschaft von Trend Micro über ein umfangreiches Wissen über diese Bedrohungen, und die Zero Day Initiative hat als Organisation zahlreiche Untersuchungen zu digitalen Sicherheitslücken durchgeführt. Nach Angaben von VicOne sind mehr als 60 Prozent der neu hergestellten Automobile anfällig für Cyberangriffe.
Im vergangenen Jahr wurden etwa 350 Sicherheitslücken entdeckt, in der ersten Hälfte dieses Jahres waren es bereits 220, und die Zahl steigt weiter. Vor diesem Hintergrund verfolgen Cyberkriminelle, Exploit Broker, Industrieorganisationen wie AutoISAC, staatliche Regulierungsstellen und nicht zuletzt deutsche Automobilhersteller sehr aufmerksam den Pwn2Own Automotive 2024 Hacking-Wettbewerb und seine Ergebnisse.
Die Veranstaltung bietet die allerneuesten Sicherheitsforschungs- und Hacking-Ansätze und hat somit zumindest indirekt auch Relevanz für staatliche und industrieinterne Sicherheitsmaßnahme und Regulierungen. Die hier gewonnen Erkenntnisse sollen mittelfristig in EU-Richtlinien einfließen.
„Unser Hauptziel ist es, Cyberkriminellen zuvorzukommen und die automobile Welt etwas sicherer zu machen. Dazu möchten wir erreichen, dass nicht nur die IT- und Sicherheitsexperten in einem Unternehmen das Thema automobiler Cybersicherheit verstehen, sondern gerade auch die CEOs und CFOs, die am Ende neue Sicherheitsmaßnahmen befürworten und am besten nicht nur unternehmensweit, sondern branchenweit erführen und weiterentwickeln sollen. Dies erfordert unter anderem eine starke und innovative Gemeinschaft wie die ZDI, die aussagekräftige Forschungs- und Sicherheitsstudien durchführt. Pwn2Own, ein Wettbewerb der weltbesten Sicherheitsforscher, hat wesentlich zur Sicherheit von Produkten beigetragen, die wir jeden Tag sehen, und von Marken, die wir alle kennen. Die Veranstaltung ist eine eindrucksvolle Demonstration des Problemlösungspotenzials und der positiven Auswirkungen, die innovative Forschung zu Cyberbedrohungen auf Lösungen für vernetzte Fahrzeuge haben kann.“, so Max Cheng, CEO von VicOne.
Auch wenn VicOne und ZDI auf dem Hacking-Wettbewerb offiziell nur mit dem Automobilhersteller Tesla und dem Ladegeräteanbieter ChargePoint zusammenarbeiten, findet eine enge Zusammenarbeit mit weiteren namhaften Unternehmen aus der Automobil- und Zubehörbranche statt. Obwohl jede Änderung in der Produktion die Automobilhersteller und -zulieferer hohe Summen kostet, fallen für Änderungen an der Software und dank der Möglichkeit von „Over-the-air-patches“ sehr viel geringere Kosten an. Auch hier setzt Pwn2Own mit seinem Aufklärungsansatz an, getreu dem Motto: „Lieber jetzt investieren, um Fehler rechtzeitig aufdecken und beheben zu können, als später Fehler sehr viel kostenaufwendiger und vor allem imageschädigender korrigieren zu müssen.“ Zum Teil hätten die in der Vergangenheit bei Pwn2Own Events entdeckten Sicherheitslücken nicht nur schädlich für Automobilhersteller und Fahrzeuglenker sein können, sondern potenziell auch gefährlich für Leib und Leben der Fahrer und anderer Verkehrsteilnehmer, etwa im Bereich autonomer Fahrzeuge.
„Pwn2Own Automotive 2024“ Hackathon: Für den Erhalt eines gutes Images
Für Automobilunternehmen stehen also neben der Sicherheit der Kunden und eigenen Mitarbeiter auch ganz handfeste wirtschaftliche Interessen und der Erhalt des guten Images im Vordergrund. Denn ein schwerwiegender weltweiter Sicherheitsvorfall, evtl. sogar mit Toten, kann für Unternehmen der Automobilbranche durchaus sehr ernsthafte finanzielle Nachteile nach sich ziehen. So gehen etwa Experten davon aus, dass seine letzte Rückruf-Aktion den Automobilhersteller Hyundai circa 900 Millionen US Dollar gekostet hat.
Natürlich nehmen die Hersteller auch eigene Pen-Tests und Sicherheitsüberprüfungen vor. Allerdings bietet ihnen Pwn2Own eine reale Testmöglichkeit außerhalb ihrer Komfort-Zone, aber in einem geschützten Bereich. Die gewonnen Erkenntnisse dürften das ursprüngliche Investment auf jeden Fall rechtfertigen, denn sie erlauben es den Automobilherstellern, ihre eigenen Sicherheitsmaßnahmen in Echtzeit von Könnern ihres Fachs unabhängig überprüfen zu lassen und wertvolles Fachwissen abzuschöpfen.
„Ziel der teilnehmenden Sicherheitsforscher ist neben den finanziellen Anreizen vor allem der Wettbewerbsgedanke. Das Renommee eines erfolgreich durchgeführten Hacks kann ihnen zudem sehr gute Berufschancen in der legalen Wirtschaft eröffnen. Somit stellt Pwn2Own für alle Beteiligten eine Win-Win-Situation dar –abgesehen von den Cyberkriminellen.“, erklärt Brian Gorenc, VP of Threat Research bei der VicOne-Muttergesellschaft Trend Micro Incorporated und verantwortlich für das ZDI-Programm.
Die Teilnehmer von Pwn2Own Automotive werden in folgenden vier Kategorien antreten: Tesla, In-Vehicle Infotainment (IVI), Ladegeräte für Elektrofahrzeuge und Betriebssysteme. Ein erfolgreicher „Cyberangriff“ muss eine neu entdeckte Schwachstelle ausnutzen, um den standardmäßigen Pfad eines Programms oder Prozesses in einem vernetzten Fahrzeug so zu verändern, dass beliebige schadhafte Anweisungen ausgeführt werden können. Die für den Angriff genutzten Schwachstellen müssen bisher unbekannt, unveröffentlicht und/oder ungemeldet sein. Ingenieure von VicOne werden bein „Pwn2Own Automotive 2024“ Hackathon vor Ort arbeiten, um bei der Vorbereitung der Zielvorgaben zu helfen, die Wettbewerber zu bewerten und die Ergebnisse der Hacks offenzulegen, sodass die Fehlerbehebungen schnell beginnen und auf reale Produkte bzw. Fahrzeuge angewendet werden können.
Die Anmeldung zum Wettbewerb ist bis zum 18. Januar 2024 möglich und erfordert die Einreichung eines Whitepapers, in dem die Exploit-Kette („Exploit Chain“) und die Ausführungsanweisungen für den eingereichten Wettbewerbsbeitrag beschrieben werden. Eine Online-Teilnahme ist möglich. Die vollständigen Regeln von Pwn2Own Automotive sind unter www.zerodayinitiative.com/Pwn2OwnAuto2024Rules.html verfügbar. Zur Anmeldung.