Architektur für Embedded-Systeme Schwachpunkte ausmerzen

Sicherheits-Architektur in automobile Netzwerke, um Hacker abzuwehren.
Die Kraftfahrzeugnetzwerke müssen durch eine Sicherheits-Architektur vermeintliche Hacker abwehren.

Waren automobile Netzwerke früher geschlossen, verbinden sie heutzutage die Fahrzeugelektronik mit der Außenwelt, womit sie für Hacker angreifbar sind. Hierfür hat das Imec eine neue Sicherheits-Architektur entwickelt.

Die Elektroniksysteme heutiger Fahrzeuge werden von Prozessornetzwerken gesteuert, die auf der Basis von Sensoren die zugehörigen Aktuatoren treiben. Diese Prozessoren steuern einen Großteil des Fahrzeugverhaltens und dessen Sicherheitsfunktionen. Sie greifen ein, wenn nötig, um lenken, zu bremsen, die Scheinwerfer einzuschalten, die Airbags auszulösen, das Antriebssystem zu optimieren und vieles andere mehr. Seit einiger Zeit verbinden diese Netzwerke die Fahrzeugelektronik auch mit der Außenwelt. Das macht sie angreifbar gegenüber Hackern – eine Verwundbarkeit in Bezug auf die Sicherheit des Fahrzeugs und dessen Insassen, für die es bis heute keine effektive Abhilfe gibt.

Das Imec (DistriNet/KU Leuven) hat sich dieser Herausforderung angenommen und eine neue Sicherheitsarchitektur für vernetzte eingebettete Systeme vorgeschlagen, die so ausgelegt ist, dass sie sich in aktuelle Datenumgebungen einfügt. Diese „Sancus“ genannte Lösung lässt sich nicht nur zur Absicherung intelligenter Fahrzeuge einsetzen, sondern auch für andere kritische Infrastrukturen, wie medizinische Ausrüstung, Smart Buildings oder Stromverteilungsnetze.

Inseln mit smarter Elektronik

Komplexe Industrieanlagen werden heute von elektronischen Netzwerken mit Sensoren, Aktoren und Prozessoren überwacht und gesteuert, die permanent Informationen austauschen. Im Automobil geschieht diese Interaktion über den CAN-Bus – ein geschlossenes, verdrahtetes Netzwerk als Insellösung ohne erkennbare Zugangspunkte für Eindringlinge.

Die Spezifikation für den CAN-Bus, also für das gesamte Sensor- und Rechnersystem im Fahrzeug, ist bereits an die 30 Jahre alt. Davor wurden die Fahrzeuge mehr oder weniger mechanisch gesteuert. CAN ermöglicht für die wachsende Zahl von heterogenen Sensoren und Steuerprozessoren im Fahrzeug einen Weg zum zuverlässigen und zeitgerechten Senden und Empfangen von Messages, ohne den Einsatz eines zentralen Rechners. CAN verbindet die Drehwinkelmesser in den Achsen mit dem Antiblockiersystem der Bremsanlage (ABS) und mit dem Antriebssystem. Aus diesem Grund ist CAN als Stand-alone-Netzwerk ausgelegt – und für diesen Zweck arbeitet es hervorragend.
Vergleichbare Netzwerke findet man auch in industriellen Steuerungen und in Fertigungslinien mit Robotern. Sie sind alle sorgfältig ausgelegt und getestet, um alle denkbaren Ausnahme- und Fehlersituationen zu berücksichtigen. Das hat sie recht sicher gemacht – zumindest bis vor Kurzem.

Öffnung zur Umwelt

Premiumfahrzeuge verfügen heute über Infotainment- und Navigationssysteme, die sowohl mit dem CAN-Netzwerk als auch mit der Außenwelt verbunden sind. Über diese Netzwerke kommunizieren beispielsweise die Infotainment-Komponenten mit dem Mobiltelefon des Fahrers und erhalten auch Software Updates von ihren Herstellern. Mit der Information aus dem CAN-Netzwerk ist es möglich, die Lautstärke des Sound-Systems zu erhöhen, wenn schneller oder durch raues Gelände gefahren wird. Autonome Fahrzeuge werden dieses Konzept einen Schritt weiter entwickeln und untereinander sowie mit der Verkehrsinfrastruktur kommunizieren, um das Fahrzeug zu steuern.

Damit aber öffnet das CAN-Netzwerk potenzielle Eindringpunkte für Störer und Hacker. Die gesamte Kommunikation mit der Außenwelt geschieht per Bluetooth oder über IP-Netzwerke, von denen einige sogar mit dem Internet in Verbindung stehen. Und das Internet ist in jeder Hinsicht ein nicht vertrauenswürdiges Netzwerk. Der CAN-Bus und seine Hardware- und Software-Komponenten sind nicht für den Betrieb in einer derart unsicheren Umgebung ausgelegt (Bild 1). CAN hat beispielsweise keine echte Form von Authentifizierung oder Autorisierung. Solange eine im Bremssystem des Fahrzeugs eintreffende CAN-Message syntaktisch korrekt ist, nehmen die Bremsen einfach an, dass diese von einer vertrauenswürdigen Quelle stammt und nicht von einem Fremden.

Darüber hinaus sind die Prozessoren so ausgelegt, dass sie möglichst kompakt sind und gerade gut genug für ihren Zweck, außerdem billig und mit möglichst geringer Leistungsaufnahme. Sie laufen mit winzigen Betriebssystemen für spezifische Kommunikations- und Steuer-Applikationen. Im Gegensatz zu Laptop- oder Smartphone-Prozessoren haben sie keinen Speicherschutz oder eine isolierte Sandbox zum Ausführen ihrer Prozesse. Jede Applikation, die auf einem dieser Prozessoren läuft, sogar eine Applikation, die eigentlich nicht dort sein sollte, kann darauf zugreifen und die gesamte Speicher-Geschichte neu schreiben.
Was ist das Risiko aller dieser Konzepte? Kürzlich haben Forscher demonstriert, wie sie ein Fahrzeug fernsteuern können, indem sie dessen WiFi- oder Bluetooth Gateway hacken. Ein sehr kritischer Fall in der Ukraine hat gezeigt, dass auch Elektrizitätsversorgungsnetze nicht gegen Sabotage gefeit sind. Und Forscher bei Imec haben nachgewiesen, dass sie sogar Herzschrittmacher stören können, indem sie sich in deren Kommunikation einschleusen und potenziell tödliche Signale und Befehle einspeisen.

Das heißt nicht, dass derartige Angriffe leicht auszuführen sind: Sie erfordern ein hohes Maß an Fachkenntnis, Erfindungsreichtum und Geduld. Doch allein wegen der großen Zahl elektronisch identischer Fahrzeuge ist ein Angreifer, der einen Weg zum Eindringen in eines dieser Fahrzeuge gefunden hat, eine Bedrohung sehr vieler anderer dieser Systeme.

Bilder: 3

Die Bilder des Artikels im Überblick, Bilder 1-3

Sicherheitsarchitektur - Schwachpunkte ausmerzen