VicOne & Partner veranstalten das erste “Pwn2Own Automotive” Hacking Event zur Aufdeckung von Cyber-Schwachstellen bei vernetzten Fahrzeugen
Der erste Automotive-Wettbewerb dieser Art klärt über Cyberrisiken in der Automobil-Industrie auf und lockt die Spitze der White Hat Hacking-Szene mit Gesamtpreisen von über 1 Million US-Dollar
VicOne, ein führender Anbieter für Cybersicherheitslösungen im Automobilbereich, ist Mitveranstalter des ” Pwn2Own Automotive 2024“, dem ersten Pwn2Own-Hacking-Event, das sich ausschließlich auf den Automobilsektor konzentriert und die weltweit besten White Hat Hacker für diesen Sektor anzieht. Der multinationale Hacking-Wettbewerb trägt dazu bei, die Zukunft der vernetzten Automobilmobilität zu sichern. Er konzentriert sich auf die Entdeckung und Behebung digitaler Sicherheitslücken von vernetzten Autos und damit auf die Cybersicherheit von Fahrzeugen. Die Zuschauer werden die allerneuesten Enthüllungen (“Zero-Day Discovery”) im Bereich automobiler Cybersicherheit erleben.
Tesla stellt mit den Modellen 3 und S erneut zwei seiner modernsten Fahrzeuge für diesen ultimativen Praxistest zur Verfügung. Das Unternehmen ist bereits seit 2019 einer der Sponsoren der “Connected Car”-Kategorie des halbjährlich stattfindenden ursprünglichen Pwn2Own Wettbewerbs. Das neugeschaffene Pwn2Own Automotive Event findet vom 24. bis 26. Januar 2024 im Rahmen der Automotive World in Tokio statt und wird von dem Sicherheitsanbieter TrendMicro im Rahmen seiner Zero Day Initiative, dem weltweit größten herstellerunabhängigen Bug-Bounty-Programm, mit ausgerichtet. Die teilnehmenden Hacker werden um Bargeld im Gesamtwert von mehr als 1 Million US-Dollar und weitere Sachpreise konkurrieren. Die teilnehmenden Unternehmen können durch das Aufdecken von Schwachstellen in ihren eigenen Produkten Erkenntnisse darüber gewinnen, wie sie sicherere und zuverlässigere Produkte entwickeln können.
Mit der weltweiten Verbreitung von vernetzten Fahrzeugen nimmt die Bedrohung der Cybersicherheit in der Automobilindustrie derzeit zu. Es ist davon auszugehen, dass es zukünftig vernetzte Fahrzeuge nicht nur im Privatbereich, sondern auch bei öffentlichen Verkehrsmitteln geben wird. Der Zweck von Pwn2Own Automotive 2024 ist es erstens, durch diesen Wettbewerb das Bewusstsein dafür zu schärfen, wie wichtig es ist, Risiken im Zusammenhang mit vernetzten Fahrzeugen zu erkennen und zu bekämpfen. Der zweite Grund ist die Schaffung einer Bewegung zur Verhinderung neuer Risiken in der gesamten Automobilbranche. Das Event dient deshalb auch dazu, die Automobilindustrie mit der Cybersecurity-Branche in Verbindung und ins Gespräch zu bringen. Aktivitäten wie dieses Hacking-Event sind entscheidend, um die globale Automobilindustrie auf die sich entwickelnde Bedrohungslandschaft vorzubereiten.
Einer der Grundsätze zur Aufrechterhaltung der Cybersicherheit in der Automobilindustrie besteht darin, digitale Bedrohungen und bisher unbekannte sogenannte “Zero-Day”- Schwachstellen zu erkennen und zu beseitigen, bevor ein Fahrzeug auf den Markt kommt. VicOne verfügt als Tochtergesellschaft von Trend Micro über ein umfangreiches Wissen über diese Bedrohungen, und die Zero Day Initiative hat als Organisation zahlreiche Untersuchungen zu digitalen Sicherheitslücken durchgeführt. Nach Angaben von VicOne sind mehr als 60 Prozent der neu hergestellten Automobile anfällig für Cyberangriffe. Im vergangenen Jahr wurden etwa 350 Sicherheitslücken entdeckt, in der ersten Hälfte dieses Jahres waren es bereits 220, und die Zahl steigt weiter. Vor diesem Hintergrund verfolgen Cyberkriminelle, Exploit Broker, Industrieorganisationen wie AutoISAC, staatliche Regulierungsstellen und nicht zuletzt deutsche Automobilhersteller sehr aufmerksam den Pwn2Own Automotive 2024 Hacking-Wettbewerb und seine Ergebnisse. Die Veranstaltung bietet die allerneuesten Sicherheitsforschungs- und Hacking-Ansätze und hat somit zumindest indirekt auch Relevanz für staatliche und industrieinterne Sicherheitsmaßnahme und Regulierungen. Die hier gewonnen Erkenntnisse sollen mittelfristig in EU-Richtlinien einfließen.
“Unser Hauptziel ist es, Cyberkriminellen zuvorzukommen und die automobile Welt etwas sicherer zu machen. Dazu möchten wir erreichen, dass nicht nur die IT- und Sicherheitsexperten in einem Unternehmen das Thema automobiler Cybersicherheit verstehen, sondern gerade auch die CEOs und CFOs, die am Ende neue Sicherheitsmaßnahmen befürworten und am besten nicht nur unternehmensweit, sondern branchenweit erführen und weiterentwickeln sollen. Dies erfordert unter anderem eine starke und innovative Gemeinschaft wie die ZDI, die aussagekräftige Forschungs- und Sicherheitsstudien durchführt. Pwn2Own, ein Wettbewerb der weltbesten Sicherheitsforscher, hat wesentlich zur Sicherheit von Produkten beigetragen, die wir jeden Tag sehen, und von Marken, die wir alle kennen. Die Veranstaltung ist eine eindrucksvolle Demonstration des Problemlösungspotenzials und der positiven Auswirkungen, die innovative Forschung zu Cyberbedrohungen auf Lösungen für vernetzte Fahrzeuge haben kann.”, so Max Cheng, CEO von VicOne.
Auch wenn VicOne und ZDI auf dem Hacking-Wettbewerb offiziell nur mit dem Automobilhersteller Tesla und dem Ladegeräteanbieter ChargePoint zusammenarbeiten, findet eine enge Zusammenarbeit mit weiteren namhaften Unternehmen aus der Automobil- und Zubehörbranche statt. Obwohl jede Änderung in der Produktion die Automobilhersteller und -zulieferer hohe Summen kostet, fallen für Änderungen an der Software und dank der Möglichkeit von “Over-the-air-patches” sehr viel geringere Kosten an. Auch hier setzt Pwn2Own mit seinem Aufklärungsansatz an, getreu dem Motto: “Lieber jetzt investieren, um Fehler rechtzeitig aufdecken und beheben zu können, als später Fehler sehr viel kostenaufwendiger und vor allem imageschädigender korrigieren zu müssen.” Zum Teil hätten die in der Vergangenheit bei Pwn2Own Events entdeckten Sicherheitslücken nicht nur schädlich für Automobilhersteller und Fahrzeuglenker sein können, sondern potenziell auch gefährlich für Leib und Leben der Fahrer und anderer Verkehrsteilnehmer, etwa im Bereich autonomer Fahrzeuge.
Für Automobilunternehmen stehen also neben der Sicherheit der Kunden und eigenen Mitarbeiter auch ganz handfeste wirtschaftliche Interessen und der Erhalt des guten Images im Vordergrund. Denn ein schwerwiegender weltweiter Sicherheitsvorfall, evtl. sogar mit Toten, kann für Unternehmen der Automobilbranche durchaus sehr ernsthafte finanzielle Nachteile nach sich ziehen. So gehen etwa Experten davon aus, dass seine letzte Rückruf-Aktion den Automobilhersteller Hyundai circa 900 Millionen US Dollar gekostet hat.
Natürlich nehmen die Hersteller auch eigene Pen-Tests und Sicherheitsüberprüfungen vor. Allerdings bietet ihnen Pwn2Own eine reale Testmöglichkeit außerhalb ihrer Komfort-Zone, aber in einem geschützten Bereich. Die gewonnen Erkenntnisse dürften das ursprüngliche Investment auf jeden Fall rechtfertigen, denn sie erlauben es den Automobilherstellern, ihre eigenen Sicherheitsmaßnahmen in Echtzeit von Könnern ihres Fachs unabhängig überprüfen zu lassen und wertvolles Fachwissen abzuschöpfen.
“Ziel der teilnehmenden Sicherheitsforscher ist neben den finanziellen Anreizen vor allem der Wettbewerbsgedanke. Das Renommee eines erfolgreich durchgeführten Hacks kann ihnen zudem sehr gute Berufschancen in der legalen Wirtschaft eröffnen. Somit stellt Pwn2Own für alle Beteiligten eine Win-Win-Situation dar -abgesehen von den Cyberkriminellen.”, erklärt Brian Gorenc, VP of Threat Research bei der VicOne-Muttergesellschaft Trend Micro Incorporated und verantwortlich für das ZDI-Programm.
Die Teilnehmer von Pwn2Own Automotive werden in folgenden vier Kategorien antreten: Tesla, In-Vehicle Infotainment (IVI), Ladegeräte für Elektrofahrzeuge und Betriebssysteme. Ein erfolgreicher “Cyberangriff” muss eine neu entdeckte Schwachstelle ausnutzen, um den standardmäßigen Pfad eines Programms oder Prozesses in einem vernetzten Fahrzeug so zu verändern, dass beliebige schadhafte Anweisungen ausgeführt werden können. Die für den Angriff genutzten Schwachstellen müssen bisher unbekannt, unveröffentlicht und/oder ungemeldet sein. Ingenieure von VicOne werden bei Pwn2Own Automotive vor Ort arbeiten, um bei der Vorbereitung der Zielvorgaben zu helfen, die Wettbewerber zu bewerten und die Ergebnisse der Hacks offenzulegen, sodass die Fehlerbehebungen schnell beginnen und auf reale Produkte bzw. Fahrzeuge angewendet werden können.
Die Anmeldung zum Wettbewerb ist bis zum 18. Januar 2024 möglich und erfordert die Einreichung eines Whitepapers, in dem die Exploit-Kette (“Exploit Chain”) und die Ausführungsanweisungen für den eingereichten Wettbewerbsbeitrag beschrieben werden. Eine Online-Teilnahme ist möglich. Die vollständigen Regeln von Pwn2Own Automotive sind unter www.zerodayinitiative.com/Pwn2OwnAuto2024Rules.html verfügbar.
Über VicOne:
Mit der Vision, die Fahrzeuge von morgen zu sichern, bietet VicOne ein breites Portfolio an Cybersicherheitssoftware und -dienstleistungen für die Automobilindustrie. Die Lösungen von VicOne wurden speziell für die strengen Anforderungen von Automobilherstellern entwickelt und sind so konzipiert, dass sie die speziellen Anforderungen moderner Fahrzeuge erfüllen. Als Tochterunternehmen von Trend Micro stützt sich VicOne auf eine solide Grundlage im Bereich der Cybersicherheit, die aus der über 30-jährigen Erfahrung von Trend Micro in der Branche resultiert. VicOne bietet beispiellosen Schutz für die Automobilindustrie und fundierte Kenntnisse in Sicherheitsbelangen, die es unseren Kunden ermöglichen, sichere und intelligente Fahrzeuge zu bauen. Weitere Informationen finden Sie unter vicone.com.
Pressekontakt:
VicOne in Europa:
GlobalCom PR-Network GmbH
Martin Uffmann / Slavena Radeva
martin@gcpr.net / slavena@gcpr.net
Tel.: +49 (0)89 360 363-41 / -50
Original-Content von: VicOne, Bildrechte: VicOne Fotograf: VicOne
