IT-Sicherheit für Automotive Ethernet Hacker müssen draußen bleiben!

Ethernet-basierte Kommunikation im Fahrzeug birgt Gefahren
Neue Lösungen für den Schutz vor Hackern.

Die zunehmende Ethernet-basierte Kommunikation im Fahrzeug birgt auch Gefahren. Mit der Einführung eines geeigneten Ethernet-Security-Ansatzes besteht jedoch die große Chance, eine ganzheitliche ­Sicherheitslösung für das gesamte Fahrzeugnetzwerk zu etablieren.

Die in der PC-Welt schon lange bekannten Ethernet-Netzwerke werden schrittweise auch die heutigen Bussysteme im Fahrzeug wie MOST, FlexRay und mittelfristig auch CAN ersetzen. Die Vorteile liegen einfach auf der Hand: Ethernet reduziert nicht nur die Komplexität, das Gewicht und die Kosten, sondern erhöht gleichzeitig auch die Effizienz und Geschwindigkeit.

Der Einsatz Ethernet-basierter Fahrzeugnetzwerke birgt aber auch einige Risiken, insbesondere durch unbefugte Eingriffe, da der Ethernet-Standard selbst und die meisten darauf basierenden Protokolle wie IP (Internet Protocol), AVB (Audio Video Bridging) oder TSN (Time-Sensitive Networking) kaum Schutzmaßnahmen gegen böswillige Angriffe durch Schad-Software oder Hacker enthalten. Und bereits existierende Security-Erweiterungen aus der klassischen Netzwerksicherheit lassen sich leider nur selten direkt in den Automobilbereich übertragen. Der folgende Artikel gibt einen kurzen Einblick in mögliche Gefahren für die IT-Sicherheit durch die Einführung Ethernet-basierter Netzwerke im Fahrzeug, stellt einige automobilgerechte Schutzmaßnahmen vor und gibt einen Ausblick auf die Zukunft der automobilen Ethernet Security.

Von der analogen Maschine zum rollenden Computer

Die analogen Fahrzeuge von einst sind heute längst zu rollenden Computern mit hunderten Mikroprozessoren, drahtlosen Schnittstellen zur Außenwelt (Bild 1) und Gigabytes an Software geworden. Und dieser automobile Trend zur Digitalisierung und Vernetzung ist weiter ungebrochen. Umfangreiches In-Car Infotainment, Einparkkameras, Breitband-Internetanbindungen sowie komplexe Ferndiagnose- und Fernwartungsdienste lassen die notwendige Bandbreite, den Vernetzungsgrad und die Geschwindigkeitsanforderungen für die Kommunikation im und außerhalb des Fahrzeugs exponentiell ansteigen.

Um der enormen Datenflut Herr zu bleiben, werden die heute noch vielfach verbreiteten und über ein zentrales Gateway verwalteten verschiedenen automobilen Bussysteme wie MOST, FlexRay und mittelfristig auch CAN schrittweise durch Ethernet-basierte Netzwerke ersetzt werden. Die Vorteile eines Ethernet-basierten Fahrzeugnetzwerks unter anderem bezüglich Flexibilität, Geschwindigkeit, Gewicht und Kosten sind so gewichtig, dass schon heute viele Serienfahrzeuge Ethernet und IP unter anderem zur Fahrzeugdiagnose oder zum Software-Download (z.B. via Diagnostics over IP nach ISO 13400-2) benutzen. Insbesondere neue mehrkamerabasierte Fahrassistenten, leistungsfähige Infotainment-Systeme (z.B. via Audio Video Bridging via IEEE 1722), verschiedene Echtzeitanwendungen (z.B. Time-Sensitive Networking via IEEE 1733) sowie die Zukunftstechnologie des autonomen Fahrens setzen nahezu exklusive auf schnelle und kostengünstig Ethernet-basierte Verbindungen.

Wachsende Gefahren durch Hacker und Schad-Software

Trotz der zahlreichen Vorteile birgt der Umstieg auf Ethernet-basierte Fahrzeugnetzwerke und Protokolle aber auch gewisse Risiken – insbesondere für die IT-Sicherheit im Fahrzeug. Ohne dezidierte Schutzmaßnahmen könnte in Zukunft ein jeder leicht mit einem Standard-Laptop über die Ethernet-Schnittstelle Nachrichten im Fahrzeug abhören, verändern, einspielen oder unterdrücken.

Die ohnehin kaum geschützte Kommunikation im und mit dem Fahrzeug wird durch Automotive Ethernet – ohne weitere Schutzmaßnahmen – nicht sicherer. Solche unbefugten Eingriffe sind heute relativ leicht möglich, da der Ethernet-Standard und praktisch alle darauf basierenden und heute in der Automobilwelt verwendeten Protokolle (z.B. IP, AVB, TNS) von Haus aus praktisch keine besonderen IT-Schutzmaßnahmen besitzen (vgl. Tabelle 1).

Viele bekannte Angriffe auf der weitgehend ungesicherten Protokollebene (z.B. fälschbare Absenderadresse, vorhersehbare Sequenznummern, keine statische Routen) und vor allem auf der Implementierungsebene (z.B. Fragmentierungsangriffe wie der „Ping of Death“, ARP-Anfrageverfälschung, Poodle-Sicherheitslücke) haben dies eindringlich verdeutlicht. Wie in Tabelle 1 aufgeführt, kann ein Angreifer mit einfachsten Mitteln den Ethernet-basierten Datenverkehr abhören und so zum Beispiel die Daten des GPS-Sensors nutzen, um Bewegungsprofile des Fahrzeughalters zu erstellen. Außerdem ist es mit Hilfe abgehörter Nachrichten leicht möglich, die verwendeten Protokolle und Abläufe zu analysieren und somit die Implementierung neuer innovativer Fahrzeugfunktionen (Stichwort: Sensor-Fusion) nachzuvollziehen und eventuell unautorisiert zu kopieren. Ebenso kann ein Angreifer gezielt Nachrichten modifizieren, um so beispielsweise Einfluss auf die Ein- und Ausgangsparameter der verbauten Fahrzeugsteuergeräte (Electronic Control Unit – ECU) zu nehmen und dadurch etwa die Abgasregelung zu verändern oder dem Tachografen eine gefälschte Geschwindigkeit vorzutäuschen. Auch ist das Einbringen oder Absenden von Nachrichten mit gefälschten Absendern leicht möglich, ohne dass diese vom System erkannt werden können. Dass solche Angriffe nicht nur theoretische Auswirkungen haben, wurde durch verschiedene praktische Angriffe auf aktuelle Serienfahrzeuge bereits mehrfach eindrucksvoll bewiesen [1]. Das Angriffsspektrum reicht von Eingriffen in die Privatsphäre (z.B. akustische Innenraumüberwachung oder Fahrzeugverfolgung über das Internet) über Umgehung des Komponenten- oder Diebstahlschutzes (z.B. gefälschte Ersatzteile oder Tachometermanipulation) bis hin zu aktiven Eingriffen ins Fahrgeschehen (z.B. Lenkung stören oder Bremsen deaktivieren). Durch den Einsatz ungeschützter Ethernet-Netzwerke wird das Problem sogar weiter verschärft, da im Gegensatz zu den aktuellen, fahrzeugspezifischen Bussystemen kein spezielles Equipment, wie zum Beispiel CAN-Adapter, mehr notwendig ist. Faktisch ist heute jeder Standard-Laptop mit einer Ethernet-Schnittstelle ausgestattet, mit der sich der Zugriff auf das Fahrzeugnetz realisieren lassen könnte. Dazu kommt, dass es aus der PC-Welt bereits eine Vielzahl fertiger Software Tools gibt, die dann ohne Anpassung auch im Fahrzeug genutzt werden könnten. Damit kann man auch ohne spezielles Wissen oder Vorarbeit die Datenkommunikation leicht aufzeichnen, analysieren oder manipulieren (z.B. mit vollautomatischen Portscannern, Ethernet-Paketgeneratoren oder Angriffswerkzeugen wie dsniff, nessus, nmap oder wireshark).