Sicher mobil

Car Security: Wie sich Hackerangriffe auf Autos abwehren lassen

Thomas Heinen

© Shutterstock / DRogatnev

Bis 2020 sind acht von zehn neuen Autos mit vernetzten Technologien ausgestattet und damit der Gefahr von Cyberattacken ausgesetzt. Auch die Google-Tochter Waymo agiert vorsichtig, testet ihre zukünftig autonom fahrenden Autos aus Furcht vor Hackern offline. Ein Überblick über den Status quo und die wichtigsten Maßnahmen, mit denen Hersteller ihre Fahrzeuge schützen können.

Längst ist die Branche alarmiert, zahlreiche Autokäufer sind verunsichert, viele aber auch noch immer ahnungslos: Laut einer Studie von BearingPoint und TNS aus dem Jahr 2016 sind sich 39 Prozent der befragten Autobesitzer nicht bewusst, dass vernetzte Funktionen in ihren Fahrzeugen vorhanden sind. Spektakuläre Angriffe von Hackern und gefährliche Manipulationen an Autos offenbaren signifikante Sicherheitslücken. Nur gut, dass es sich dabei um Scheinangriffe handelte. Bisher gehen die meisten Auto-Hacks auf das Konto so genannter White-Hat-Hacker oder Grey-Hat-Hacker. Das sind Angreifer, die Fahrzeuge und Insassen nicht wirklich gefährden, sondern Sicherheitslücken aufdecken oder sich mit ihren Angriffen öffentlich profilieren wollen.

Trotz der Gefahr aus dem Cyberspace: Die Nachfrage nach Fahrzeugen mit Navigations- und Fahrassistenzfunktionen sowie Entertainment-Apps steigt rapide. 20 Prozent der Umfrageteilnehmer einer McKinsey-Studie in Deutschland wären bereit, die Automarke zu wechseln, wenn sie auf diese Weise ein Fahrzeug mit besseren Connectivity-Angeboten erhalten könnten. Die Anzahl der Anwendungen nimmt rasant zu. Das Internet der Dinge auf Basis ausgereifterer Cloud-Technologien und immer leistungsfähigerer Netze macht es möglich. Bei einer jährlichen Zuwachsrate von 24,3 Prozent wird sich laut einer Studie von Strategy& und CAM (Center of Automotive Management) das Umsatzvolumen im Bereich der vernetzten Mobilität weltweit von 47,2 Milliarden Euro 2017 auf 140 Milliarden Euro bis 2022 erhöhen – eine Verdreifachung innerhalb von fünf Jahren.

Rechner auf Rädern

Gefragt sind unter anderem Spurhalteassistenten, Kollisionswarner oder die Anzeige über freien Parkraum. Der Grund: In modernen Autos sind bis zu hundert Steuergeräte – also Mikrocomputer – verbaut, die unter anderem Lenkung, Bremsen oder die Drehzahl steuern. So verfügt ein modernes Fahrzeug über rund 100 Millionen Zeilen Programmiercode. Immerhin siebenmal so viele wie eine Boeing 787. Ein Oberklassefahrzeug erzeugt während einer Stunde Fahrt mehrere Gigabyte an Daten.

Durch die zunehmende Vernetzung lassen sich Autos aus der Ferne hacken. Den Fuß in die Tür bekommen Hacker über Schnittstellen zur Außenwelt wie WLAN, Bluetooth, USB oder SD-Slots sowie Apps oder der Onlinekonfiguration über ein Portal – eine Fundgrube für potenzielle Hacker (Abb. 1). Das Risiko steigt, dass Viren und Trojaner Daten zur Fahrzeugposition abgreifen. Oder sie manipulieren die Fahrerassistenzsysteme oder andere Steuergeräte im Fahrzeug – mit unabsehbaren Folgen für die Insassen. Besonders lohnenswert: Geschäftsfahrzeuge. Denn hier könnten Angreifer nicht nur auf deren Elektronik, sondern über angeschlossene Smartphones auch auf Unternehmensnetzwerke zugreifen oder Telefongespräche überwachen.

Abb. 1: Rund um das vernetzte Fahrzeug gibt es viele technische Angriffspunkte (Quelle: Deutsche Telekom)

Noch herrscht Unwissenheit

Auch wenn die deutschen Autobauer nach Aussage des Verbands der Automobilindustrie (VDA) bereits heute als Patentweltmeister beim vernetzten und automatisierten Fahren gelten, fehlt das Wissen, sich gegen Hackerangriffe zu schützen, aber offenbar. Laut der McKinsey-Studie gaben 75 Prozent der Automobilführungskräfte an, keine Strategie für den Fall eines Auto-Hacks zu haben. Kaum verwunderlich erscheint deshalb, dass es bisher keine übergreifenden Standards für schnelle, automatisierte und vor allem Ende-zu-Ende-sichere Softwareupdates oder Patches in den Fahrzeugen gibt, um Sicherheitslücken zu schließen. Zudem lässt sich potenzieller Missbrauch direkt im Fahrzeug nicht erkennen und Sicherheitslücken in der Mobilfunkkommunikation und dem Backend des Herstellers unterbinden.

Erste Ansätze für die Standardisierung der IT-Sicherheit vernetzter Autos: das deutsche IT-Sicherheitsgesetz, das Anbieter dazu auffordert, IT-Missbrauch anzuzeigen und Lösungen aufzuzeigen. Automobilindustrie, IT-Experten und Wissenschaft haben sich zudem in den Initiativen AUTOSAR oder dem EU-Projekt EVITA zusammengeschlossen, um Standards für Steuergerätesoftware und für sichere Bordnetze zu entwickeln.

Besonders wichtig ist, zu welchem Zeitpunkt die Sicherheitsmaßnahmen ansetzen. Der Gegner ist schnell einen Schritt voraus: Denn während Angreifer sich auf einzelne Schwachstellen konzentrieren können, müssen OEMs ihre IT breitflächig und von Anfang an schützen. Sicherer fährt also derjenige, der frühzeitig – schon während der Planungsphase – Securityspezialisten einbezieht und dafür sorgt, dass die IT-Sicherheit der Fahrzeuge bereits in diesem frühen Entwicklungsstadium eines Automobils bedacht und entsprechende Lösungen integriert werden. Berücksichtigen die Fahrzeugentwickler IT-Sicherheit als relevantes Designkriterium, lassen sich Systemfehler von vornherein vermeiden. „Security und Privacy by Design“ muss also zum Credo der Entwicklung neuer Automobile werden – mit dem gleichen Stellenwert wie Kraftstoffeffizienz, Strömungswiderstand oder Motorleistung. „Dies muss natürlich auch für alle Hardware- und Softwarelieferanten gelten, mit denen Hersteller und Fahrzeug Daten austauschen“, sagt Thomas Fischer, Leiter Embedded Engineering und Process Solutions bei T-Systems. Die IT-Sicherheit des Fahrzeugs hängt künftig stark davon ab, dass Security über die gesamte Lieferkette und den gesamten Lebenszyklus des Autos gleich verstanden und umgesetzt wird.

Zusammenarbeit tut not

Sein Know-how für sich zu behalten, ist in der Automobilbranche immer noch üblich. Soll IT-Sicherheit funktionieren, müssen sich aber nicht nur alle Abteilungen innerhalb eines Herstellers von Forschung bis Produktion untereinander abstimmen. Hersteller und Zulieferer sollten unternehmensübergreifend zusammenarbeiten. „Hersteller und Zulieferer müssen umdenken“, sagt Mark Großer, Experte für Risk, Security und Compliance für die Automobilindustrie bei Detecon. Sprich, sich über Schutzbedarfe, Angriffsvektoren, Sicherheitslücken und funktionierende Maßnahmen so lückenlos wie möglich austauschen. Zudem kann es sich lohnen, mit White-Hat- und Grey-Hat-Hackern zu kooperieren, um Schwachstellen rechtzeitig und vor allem vor dem Angriff der destruktiven Black-Hat-Hacker zu identifizieren. Tesla und Fiat Chrysler sind – ebenso wie die Deutsche Telekom, Google und Facebook – dazu übergegangen, Prämien für gemeldete Bugs zu zahlen.

Den Überblick nicht verlieren

Es gilt, die gesamte IT- und Telekommunikationsinfrastruktur entlang des gesamten Datenstroms im und rund um das Fahrzeug zu berücksichtigen. „Bislang beziehen Automobilbauer IT-Sicherheit meist nur auf die Systeme im Fahrzeug wie Bordnetze und die Steuergeräte. Aber die Bedrohung geht weit über die Dashboardoberfläche hinaus“, sagt das Beratungsunternehmen Strategy&. Neben dem Bordnetz müssen Experten auch die Funkkommunikation sowie das Backend des Herstellers mit seinen Schnittstellen schützen, die Hacker als Einfallstor nutzen könnten. Wichtig sind Systeme, die kontinuierlich die Datenkommunikation im, vom und zum Fahrzeug analysieren und bei Auffälligkeiten Alarm schlagen. „Es empfiehlt sich, diese Sicherheitssysteme in einem Big-Data-Analysetool zusammenzuführen“, sagt Fischer. Auch die Bauteile von Lieferanten müssten Teil des Sicherheitskonzepts sein. „Wenn im Backend und Bordnetz gleichzeitig Anomalien auftreten, ist ein Hackerangriff sehr wahrscheinlich. Je früher dies erkannt wird, desto besser.“

Bordnetze müssen sicherer werden

Heutige Bordnetze bestehen aus verschiedenen Feldbussen. Über einen Antriebs-CAN-Bus kommunizieren in der Regel die Steuergeräte, die für das Fahren zuständig sind, z. B. die Motor-, Getriebe- und Airbagsteuergeräte. Am Komfort-CAN hängen weniger sicherheitskritische Systeme wie Fensterheber und Lichtanlage. Das Infotainmentsystem arbeitet bisher mit dem Multimediabus MOST, künftig aber immer häufiger mit Automotive-Ethernet. Als sicherheitskritischer Bus sollte der Antriebs-CAN physikalisch und logisch von weniger kritischen Bussen getrennt sein. Diese Rolle übernimmt meist ein zentrales Gateway inklusive Firewall, das z. B. ein MOST-Steuergerät daran hindert, ungerechtfertigte Befehle an einen CAN-Bus-Teilnehmer zu schicken, um die Bremsen zu betätigen.

Wie Hacker die Tür öffnen

Wie verschafft sich ein Angreifer überhaupt Zutritt zum Bordnetz? Ein Weg führt über physische Schnittstellen wie USB oder die gesetzlich vorgeschriebene Diagnoseschnittstelle OBD-2, über die auf fast alle Steuergeräte zugegriffen werden kann. Der Zugang zur OBD-2-Schnittstelle ist auch über einen bluetoothfähigen Adapter möglich, womit sich die Daten an ein Smartphone übermitteln lassen. Verzichten günstige Adaptervarianten beim Pairing der Geräte auf eine manuelle Bestätigung, ist der Hacker drin. Ein Spaziergang über einen Supermarktparkplatz könnte genügen, um per Smartphone nachzusehen, welches Fahrzeug über einen offenen Bluetooth- oder WLAN-Zugang verfügt. Auch integrierte Luftschnittstellen wie eine SIM-Karte taugen als Einfallstor.

Als sicherheitskritischster Fahrzeugbus erfordert der Antriebsbus auch die höchste IT-Sicherheit. Allerdings sieht das meist eingesetzte CAN-Bus-Protokoll aus den 80er-Jahren keine Securitymaßnahmen vor. Die Steuergeräte müssen sich noch nicht einmal authentifizieren, um miteinander zu kommunizieren. Das bedeutet: Sobald ein Angreifer Zugriff auf das Bordnetz erlangt hat, gilt er als vertrauenswürdig. Unerlässlich ist deshalb, dass sich Steuergeräte bei jeder Kommunikation authentifizieren – entweder als berechtigter Sender oder Empfänger von Daten.

Zudem werden eingehende Nachrichten im Bordnetz in der Regel nicht validiert, sondern auch dann verarbeitet, wenn sie keinen Sinn ergeben. Auf diese Weise kann ein Signal durchkommen, das bei voller Fahrt den Airbag auslöst. Dagegen schützt wirksam eine Input Validation, die alle eingehenden Nachrichten auf Plausibilität überprüft.

Kontinuierliche Updates

Ohne regelmäßige Updates funktioniert für vernetzte Autos keine IT-Sicherheit. Sie beheben Sicherheitslücken in der Fahrzeugsoftware und passen diese an die neuen Angriffsmuster an. Für die Automobilbranche bedeutet dieser Umstand ein Umdenken, denn bisher hat sie Updates bei Bedarf aufgespielt – viel Zeit für Hacker, um Schwachstellen auszunutzen. Besonders die Updateprozesse und zugehörigen Use Cases z. B. zum Zertifikatemanagement selbst müssen gesichert werden, damit Hacker darüber keine Schadsoftware einspielen können. Eine Lösung: Sicherheitskritische Updates in der Werkstatt per Kabel einspielen. Die Daten sind verschlüsselt. Sender und Empfänger müssen sich authentifizieren und autorisieren. Weniger kritische Updates lassen sich Over the Air, also über eine Funkschnittstelle, oder über Speichermedien des Autobesitzers aufspielen.

Softwaredetektive im Einsatz

Wie jeder Standardrechner benötigen auch Fahrzeuge ein ständiges Sicherheitsmonitoring, das alle Erkenntnisse zentral auswertet – z. B. in einem Security Operations Center (SOC). Die Basis: eine Detektionslösung im Fahrzeug, wie etwa das Intrusion-Detection-System von T-Systems. Dieses setzt direkt im zentralen Gateway an und prüft die Nachrichten auf Auffälligkeiten. Wie sie auf eine solche Anomalie reagieren, legen Dienstleister und Automobilhersteller vorher fest, z. B. ob der Fahrer nur eine Warnung bekommt oder das Fahrzeug manipulierte Funktionen abschaltet. Informationen zu auffälligem Verhalten landen in einem Backend, das die Daten mittels Machine-Learning-Algorithmen untersucht. Die Erkenntnisse fließen danach in alle Fahrzeuge zurück.

Mobilfunkstrecken absichern

Die wichtigste Funktechnologie für das vernetzte Auto ist der Mobilfunk. Er ermöglicht den direkten Austausch von Informationen über weite Entfernungen zwischen Fahrzeugen, der Verkehrsinfrastruktur oder dem Backend. Den Zugang zum Mobilfunknetz erhält das vernetzte Fahrzeug über eine SIM-Karte oder neuerdings auch über einen festverbauten SIM-Chip (eSIM). Das Auto verwandelt sich also zum mobilen Endgerät – mit denselben Konsequenzen für die IT-Sicherheit wie bei Smartphones und Tablets. Damit Angreifer nicht bequem von Zuhause auf eine Vielzahl vernetzter Fahrzeuge zugreifen können, verdient die IT-Sicherheit der Mobilfunkstrecken und ihrer Endpunkte besondere Aufmerksamkeit.

Die Risiken liegen auf der Hand. So könnten Kriminelle die SIM-Karte eines Fahrzeugs nutzen, um Rufnummern anzurufen, die dafür nicht vorgesehen sind. Ein solcher Vorfall ist immer ein starkes Indiz für einen Cyberangriff, denn das Auto besitzt keine Wähltastatur. Somit muss es jemand technisch manipuliert haben. Auch durch Phishing könnten Angreifer zugreifen, also über gefälschte E-Mails oder Webseiten Passwörter abfragen. Das Ziel: die auf eSIMs gespeicherten SIM-Profile entwenden und auf anderen eSIMs aktivieren.

Digitale Personalausweise für das Fahrzeug

Eine der grundlegenden Sicherheitsmaßnahmen für die mobile Kommunikation sind virtuelle private Netzwerke (VPNs), die sämtlichen Datenverkehr verschlüsseln und nur bekannte Nutzer zulassen. Private APNs (Access Point Name) helfen, das Fahrzeug über eine private Verbindung sicher mit dem Automotive Backend zu verbinden. Um berechtigte Nutzer zu authentifizieren, arbeiten VPN-Lösungen jedoch meist mit statischen Passwörtern. Doch die lassen sich durch automatisches Ausprobieren knacken. „Wer dagegen eine skalierbare Public-Key-Infrastruktur aufbaut, vermeidet dieses Risiko“, sagt Großer. Die Public-Key-Infrastruktur stellt digitale Zertifikate aus, verteilt sie, prüft sie und ruft sie auch zurück. Über diese Zertifikate weisen sich alle Kommunikationsteilnehmer aus, wie Steuergeräte im Auto, Backend oder Ampeln.

Sollten Hacker trotz aller vorbeugender Maßnahmen die Mobilfunkverbindung angreifen, lassen sich Angriffe rasch erkennen: Beim Limitmonitoring geben Automobilhersteller über ein Onlineportal Grenzen für das Datenvolumen ihrer SIM-Karten an. Bei der Fraud Detection legen sie z. B. Rufnummernlisten fest, welche Rufnummern eine Fahrzeug-SIM anrufen darf, wie den Notruf. Kontaktiert die SIM eine Rufnummer, die nicht auf der Liste steht, wird die Anruf- oder die SMS-Verbindung zwar hergestellt, die Anomalie aber gleichzeitig an den Hersteller gemeldet. Dieser kann entsprechende Analysen und Gegenmaßnahmen einleiten.

Hintertüren dicht machen

Die Backends der Automobilhersteller erfüllen heute alle grundlegenden Anforderungen an die IT-Sicherheit von Rechenzentren. Dazu gehören die physikalische Absicherung der Server und Speicher, regelmäßige Schwachstellenscans (Vulnerability Scans), das Simulieren von Hacks (Penetrationstest), eine dauerhafte Sicherheitsüberwachung mit Alarmfunktion und regelmäßige Prüfungen (Audits). Allerdings eröffnet das vernetzte Auto auch im Backend neue Möglichkeiten für Hacker: nämlich über die Schnittstellen zum Fahrzeug und zu Zulieferern für vernetzte Dienste wie Infotainment-Apps. Deswegen gilt für das Backend wie für die Bordnetze: Wichtiges klar trennen (Abb. 2). Gemeint sind damit einzelne Dienste rund um das vernetzte Fahrzeug wie Infotainment, Verkehrsinformationen und Abrechnung. Die Rechen- und Speicherkapazitäten für diese Dienste müssen in fachlichen Backends virtuell voneinander getrennt sein. Dies sorgt dafür, dass ein Hacker, der einen Dienst adressiert, nicht auch auf alle anderen Dienste im Backend zugreifen kann.

Abb. 2: Im Rechenzentrum sollten alle Dienste virtuell voneinander getrennt sein. (Quelle: Deutsche Telekom)

Fazit

Wer als Automobilhersteller die Chancen der Digitalisierung ausschöpfen will, sollte also auch Antworten auf Fragen der IT-Sicherheit geben. „Autobauer, Zulieferer und ITK-Dienstleister müssen gemeinsam und rechtzeitig für umfassende IT-Sicherheit sorgen“, sagt Fischer. Wenn Hacker Fahrzeugdienste blockieren, SIM-Karten in Autos missbrauchen, Funkschlüssel oder Assistenzsysteme manipulieren, sind Daten- und Fahrsicherheit gefährdet. Ein Ende-zu-Ende-Ansatz für das gesamte Automotive-Ökosystem deckt die Systeme Fahrzeugbordnetz, Mobilfunkstrecke und Backend gleichermaßen ab.

 

Geschrieben von
Thomas Heinen
Thomas Heinen
Thomas Heinen schreibt seit vielen Jahren vorwiegend über automobile Themen. Der Redakteur lebt in Bonn und arbeitet für die in Köln ansässige Agentur Palmer Hargreaves.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.