Denken wie ein Hacker

So lässt sich die Sicherheit bei OTA-Updates steigern

27. Februar 2023, 13:54 Uhr | Irina Hübner

Smartphones lassen sich per Funk updaten, PCs sowieso. Was also ist bei Autos das Problem? Ein Over-the-Air-Update im Auto mit seinen vielen Komponenten ist komplexer, als es auf den ersten Blick scheint. Und es bietet zahlreiche Angriffspunkte. Hersteller müssen daher Vorkehrungen treffen.

Ein modernes Fahrzeug besteht aus zahlreichen IT-Komponenten, die Sensoren abfragen, Geräte steuern, für die Kommunikation zuständig sind, das Fahrzeug navigieren, Daten austauschen und vieles mehr. Viele dieser Komponenten sind nur über interne Bussysteme zugänglich und nicht so robust und fehlertolerant ausgelegt wie beispielsweise Smartphones.

Der Hauptgrund dafür ist, dass Updates bisher immer in einer Werkstatt mit einem OBD-Stecker durchgeführt wurden. Diesem haben die Fahrzeuge vertraut, was bei Over-the-Air- (OTA-)Updates fahrlässig wäre. Zudem parken Fahrzeuge häufig im öffentlichen Raum, so dass es auch diverse physische Angriffsmöglichkeiten gibt, um in das komplexe IT-System einzudringen.
Die Kund:innen wünschen sich jedoch Updates per Funk, weil sie sich das aufwendige Werkstatt-Prozedere ersparen können.

(Häufige) Software-Updates sind aus folgenden Gründen sinnvoll

Weil Sicherheitslücken entdeckt wurden, die geschlossen werden müssen,
Weil Fehlfunktionen (wie das zu frühe Auslösen eines Airbags) korrigiert werden müssen,
Weil das Fahrzeug neue Funktionalitäten bekommen und Bedienprobleme behoben werden sollen,
Um das System für den Einbau neuer Hard- und Software vorzubereiten oder um Performance-Verbesserungen zu erzielen,
Um Daten beispielsweise für das Navigationssystem einzuspielen, damit das Fahrzeug auch ohne Internetverbindung navigieren kann.

Jedes OTA-Update ist ein potenzieller Angriffspunkt für Hacker

Für Automobilhersteller ist das Thema OTA aus Sicherheitsaspekten von besonderer Bedeutung. Das beginnt schon bei der Frage, wo die Update-Funktion im Auto angesiedelt sein sollte. Denn sie muss Zugriff auf alle Komponenten haben, die Updates verarbeiten können müssen. Entsprechend gut muss sie ausgestattet (Speicher für die Update-Daten) und abgesichert sein. Könnte sich ein Hacker hier einschleusen, könnte er alle Systeme kontrollieren.

Fünf Aspekte, um die Security bei OTA-Updates zu steigern

Autorisierung: Nur wer berechtigt ist, Updates einzuspielen, sollte dies auch tun können. Es gilt, diejenigen auszuschließen, die zwar technisch dazu in der Lage wären, Updates vorzunehmen, aber keine Berechtigung haben.

Authentifizierung: Sowohl das Back-End (also die Server des Herstellers, die das Update zur Verfügung stellen) als auch die Fahrzeuge müssen über Zertifikate oder andere Mechanismen sicherstellen, dass sich dahinter kein Hacker verbirgt. Würde das Back-End gehackt, könnte sonst eine ganze Fahrzeugflotte infiltriert werden. Fake-Cars könnten Betriebssystemdaten abgreifen.

Integrität: Sind Daten und vor allem auch Zertifikate und kryptografische Keys geschützt vor Zugriffen Dritter? Wie kann das Fahrzeug selbst feststellen, ob es gehackt wurde oder ein erfolgreicher Einbruchversuch stattgefunden hat? Und letztlich: Wie lassen sich auch Zertifikate und Keys sicher updaten?

Zuverlässigkeit: Ein Update muss sicher durchgeführt werden können. Dies kann durch Vorabtests wie »Hat der Benutzer zugestimmt?«, »Ist die Batterie voll geladen?«, »Steht das Fahrzeug?«, »Ist das Auto an das Stromnetz angeschlossen?« und »Benötigt der Benutzer das Fahrzeug in nächster Zeit?« überprüft werden. Nach dem Update muss sichergestellt sein, dass das Fahrzeug zu 100 Prozent betriebsbereit ist.

Regulierung & Compliance: Hersteller müssen sicherstellen, dass die Updates den rechtlichen Vorgaben der Zielmärkte entsprechen, weil sonst die Betriebserlaubnis erlischt. Zu diesen Vorgaben gehört unter anderem auch, dass die Software im Falle eines Abbruchs des Updates in der Lage sein muss, ein Rollback auf den letzten gültigen Software-Stand durchzuführen.

Denken, wie ein Hacker denkt

Vor allem bei den ersten drei Punkten müssen Software-Entwickler im Automobilbereich wie IT-Sicherheitsexperten denken und handeln. Sie dürfen keine »Abkürzungen« einbauen und müssen Prüfroutinen – unabhängig von der Eingabe – immer ein »Okay« zurückliefern lassen. Sie müssen absolut jedes Detail prüfen (also nicht nur, ob der Kommunikationspartner ein SSL-Zertifikat hat, sondern zum Beispiel auch, ob die Domain des Zertifikats und des Servers übereinstimmt) und jegliches Angriffsszenario durchspielen.

Dafür muss man wie ein Hacker denken. Ist beispielsweise die Integrität des Gesamtsystems nicht gewährleistet, kann der Inhalt einer Datei nach der positiven Prüfsummenberechnung verändert und eine gepatchte Variante als Update eingespielt werden. Daher sollte die Prüfung und das Einspielen mit den garantiert gleichen Daten erfolgen.

Don’t switch off your car

In dem Webinar »99% complete, don’t switch off your car« liefert der Sicherheitsexperte Benny Meisels von Cymotive weitere Beispiele, wo Automobilherstellern und Zulieferern typischerweise Fehler unterlaufen, die Hackern Angriffsflächen bieten, um ein Fahrzeug beim Update zu übernehmen. Interessierte können sich das Webinar kostenlos auf Youtube anschauen. Es macht deutlich, wie komplex die Anforderungen an die IT-Sicherheit in Fahrzeugen bei OTA-Updates sind und wie Security-Experten von Cymotive dabei unterstützen können.