2015 war unter anderem das Jahr der Auto-Hacks, weiß Thomas Hemker, Sicherheitsstratege bei Symantec. Und auch wenn diese kontrolliert durchgeführt wurden und nicht von realen Hackern, zeigten sich erhebliche Sicherheitslecks. Was das bedeutet, erklärt er in seinem neuen Blog für silicon.de.
2015 war auch das Jahr der Auto-Hacks. Auch wenn diese kontrolliert durchgeführt wurden und nicht von realen Hackern, so zeigten sich doch in verschiedensten Modellen unterschiedlicher Hersteller signifikante Sicherheitslücken. Und auch wenn die Technologie, die solche Sicherheitsprobleme aus der Welt schaffen könnte, bereits verfügbar ist: Die Herausforderungen, sie in Fahrzeuge zu integrieren sind deutlich komplexer, als sie in einer traditionellen IT-Umgebung zu implementieren. In IT-Systemen lassen sich Probleme häufig mit der Installation einer neuen (Sicherheits-)Anwendung, einem Update, Patch oder Konfigurationswechsel lösen. Schlimmstenfalls wird ein Backup gefahren oder bei sehr ausgeklügelten Sicherheitsangriffen ein Expertenteam zur Lösung hinzugezogen.
Fahrzeuge funktionieren aber nicht wie die IT-Infrastruktur eines Unternehmens. Ihre Systeme werden auf Jahre im Voraus auf ihre Verkehrstauglichkeit zertifiziert. Wöchentliche, monatliche oder selbst nur jährliche Sicherheits-Updates sind dabei nicht vorgesehen. Daher muss die gesamte Industrie umdenken und “Security by Design” für sich zum Standard machen, denn es gibt eine Reihe möglicher Angriffsszenarien: Dass Hacker das Lenkrad oder die Bremsen kontrollieren oder sich Lücken im Steuerungsgerät zu Nutze machen, sind nur einige, sehr realistische Beispiele.
Die meisten Autohersteller setzen außerdem bei Protokollen oder Schnittstellen auf Standards, bei deren Entwicklung kein Fokus auf IT-Sicherheit gelegt wurde. Zur nachträglichen Sicherung gehört beispielsweise das Beseitigen von Lücken in Verschlüsselungs- und Authentifizierungssystemen beziehungsweise deren Verwaltung. Denn die bereits am Markt vorhandene Verschlüsselungstechnologie wird unmittelbar übernommen – und damit auch bestehende Schwachstellen, die Cyberkriminelle ausnutzen können. Zu guter Letzt ist bei diesem Thema natürlich auch die sichere Verwaltung der Krypto-Schlüssel wichtig.
Angriffsszenarien auf die im Fahrzeug integrierte Software werden grob in zwei Bereiche geteilt: Remote-Angriffe und direkte, physikalische Angriffe. Remote-Angriffe sind für Cyberkriminelle einfacher zu initiieren: Eine solche Attacke sendet keinen Schadcode oder modifiziert das Auto-Netzwerk (zum Beispiel CAN-Bus). Vielmehr werden die verschiedenen Computer-basierten Systeme (Electronic Control Units/ ECUs) ins Visier genommen. Das reicht vom Angriff des Diebstahlschutzes oder der Reifendruckanzeige über das Navigationssystem, per Bluetooth oder USB verbundene internetfähige Geräte bis hin zu Apps oder Telematik-Geräten. So kann beispielsweise Schadcode über das Mobiltelefon oder über Bluetooth in das Telematik-System eingeschleust werden. Bei diesen Angriffen wird ein Gerät als “Überträger” des Schadcodes genutzt – das Ziel ist jedoch das gleiche: Der CAN-Bus erhält modifizierte Nachrichten, zum Beispiel, die Bremsen zu betätigen.
Das Auto direkt anzugreifen, ist bedeutend schwieriger. Hierbei wird kein Schadcode über andere Geräte eingeschleust, sondern es werden beispielsweise Code-Injection-Techniken eingesetzt, die direkt auf den CAN-Bus oder die ECUs abzielen und dort den Schadcode einspielen. Zu solchen ECUs gehören zum Beispiel automatische Abstandsregler, elektronische Einparkhilfen, Antikollisionssysteme oder Spurhalte-Assistenten. Eine weitere Möglichkeit ist, Schadsoftware direkt beim Hersteller zu platzieren und als Update getarnt auszuliefern. Das kann die Weitergabe falscher Messwerte zur Folge haben, wenn der Angreifer in das “elektronische Herz” des Autos (das Steuergerät) vordringt.
Um diese Szenarien zu verhindern, führt kein Weg daran vorbei, Sicherheitsfunktionen in jede Ebene der Auto-Technologie einzubauen. Security muss zu Beginn der Modellentwicklung als wichtiges Element eingeplant werden. Nur so lassen sich die verschiedenen Layer bestmöglich schützen – vom Single-Board-Computer (SBC), Bordnetzsteuergerät (Body Control Module, BCM) über kleinere Sensor-Module bis hin zu den Bus-Protokollen, die alle Komponenten verbinden. Diesen gesamten “Stack” zu schützen wird aufgrund des komplexen Zusammenspiels zwischen Automotive-Unternehmen und ihren Lieferanten einige Zeit in Anspruch nehmen. Schreckensszenarien zu zeichnen, wie anfällig Fahrzeuge schon heute sind, helfen dabei nicht weiter. Es ist vielmehr eine enge Zusammenarbeit zwischen den Entwicklern von Security-Lösungen, Automobilherstellern und Lieferanten notwendig, um Fahrzeuge und Autofahrer vor Angriffen von außen zu schützen und die Herausforderungen gemeinsam anzugehen.