Sicherheitslücken durch Telematik und Car-to-X Risikofaktor Kfz-Elektronik

Ein Horrorszenario: Erst kürzlich gelang es Forschern, über den On-Board-Diagnose-Anschluss den Motor eines fahrenden Automobils zu stoppen und die Bremsen zu deaktivieren. Und damit der Beweis, dass die Sicherheit von Fahrzeugen vor Manipulationen heute schon eine Herausforderung darstellt - mit wachsender »Connectivity« der Fahrzeuge von Morgen dürfte sich diese Problematik noch verschärfen.

Einige US-amerikanische Fahrzeughersteller führten 2010 eine Funktion ein, mit deren Hilfe der Fahrer per Smartphone das Fahrzeug entriegeln und den Motor starten kann - von jedem Ort der Welt mit Mobilfunk-Netzabdeckung aus. Diese Art der Anbindung baut auf das Telematiksystem des Fahrzeugs auf und ist in manchen Modellen bereits Standard. Kurz zuvor hatte zudem ein universitäres Forschungsteam eine Studie veröffentlicht, die demonstriert, wie sich fahrzeugkritische Systeme (Bremsen, Motordrosselung etc.) von außen böswillig manipulieren lassen - durch Ausnutzen von Schwachstellen in den Embedded Systemen eines Fahrzeugs.

Die Forscher lernten, wie man mit »Fuzzing«-Techniken vom weniger sicheren Netzwerk innerhalb eines Autos auf kritische Systeme zugreifen kann. Es gelang ihnen, die Bremsen und den Motor zu deaktivieren, während sich das Auto in Bewegung befand. Dies zeigt deutlich, dass solche Attacken die Fahrzeuginsassen tatsächlich gefährden können. Dabei führt genau die Vernetzung des Fahrzeugs mit »Wide-Area-Netzwerken« (WANs) zu einer Bedrohung seitens raffinierter Hacker. Ein einziger Fehler, und ein entfernter Hacker kann Schäden bei einer ganzen Flotte von Fahrzeugen verursachen.

In dem für die Tests verwendeten Fahrzeug fanden die Forscher nicht weniger als fünf Arten digitaler Funkschnittstellen vor, die Eingaben von außen akzeptieren - einige nur über kurze Strecken, andere über unbestimmte Distanzen. Durch die Verbindung von durchgehend digitaler Steuerung, verteilter interner Datenanbindung und Telematikschnittstellen werde das Fahrzeug zu einer Applikationssoftwareplattform mit externem Netzwerkzugriff.

Welch Ironie: Ausgerechnet die Fern-Telematik - an sich ein Sicherheitssystem - wird nun zum Ansatzpunkt für Attacken aus der Ferne. Die Forscher erwähnen leider nicht, wie wir die Embedded-Automotive-Sicherheit heute verbessern können. Kleine Veränderungen könnten dabei zu einer besseren Isolierung der Netzwerk-Subsys-teme führen. Für alle Netzwerkverbindungen ist leistungsfähige Verschlüsselung unverzichtbar.

Mittels »Trusted platforms« und Fern-Bestätigung ist die Installation von Schadsoftware zu verhindern, die das Auto-Netzwerk für Angreifer zugänglich macht. Steuergeräte (Electronic Control Units, ECUs) mit gemischten, kritischen Funktionen müssen eine Sicherheitspartitionierung und Zugangskontrolle bieten: die Rückfahrkamera darf nicht durch iTunes beeinflusst werden.

Bild 1 zeigt eine Auswahl elektronischer Komponenten im modernen Fahrzeug. Fahrzeuge der Oberklasse enthalten bis zu 200 Mikroprozessoren in über 100 Systemen bzw. ECUs, die über mehrere Netzwerke unterschiedlicher Art - wie CAN, FlexRay, LIN und MOST - verbunden sind. Der Fahrzeughersteller integriert die ECUs und Software von Dutzenden von Tier-1- und Tier-2-Zulieferern. Er definiert zwar Anforderungen für diese ECUs, kontrolliert aber nicht rigoros deren tatsächliche Inhalte oder den Entwicklungsprozess.

Es sollte nicht überraschen, dass diese Situation unhaltbar geworden ist. Fahrzeughersteller haben ein Hauptproblem: eine einzige ECU, die zu spät geliefert wird oder ernsthafte Probleme in Sachen Zuverlässigkeit aufweist, genügt, um Lieferverzögerungen oder für den Kunden sichtbare Ausfälle zu verursachen, die später zu Rückrufaktionen und einer Ruf-schädigung führen. Hinzu kommt die neue Herausforderung in Sachen Sicherheit: eine einzige Schwachstelle in einer entscheidenden Komponente, z.B. dem Gateway zu sicherheitskritischen Netzwerken und Funktionen, kann Attacken aus der Ferne ermöglichen.

Bedrohungen den -Schrecken nehmen

Bedrohungen für die Fahrzeugsicherheit lassen sich grob in drei Bereiche unterteilen: lokal-mechanisch, aus der Ferne und intern-elektronisch. Um einen Schaden zu verursachen, ist meist eine Kombination erforderlich.

Lokal mechanisch

Beispiele lokal-mechanischer Anfälligkeit sind das physikalische Eindringen in das CAN-Netzwerk eines Antriebsstrangs mit Unterbrechung der Kommunikation und das Beschädigen einer ECU mittels Überspannung oder übermäßiger Hitzezufuhr. Eine solche invasive Attacke kann wichtige Fahrzeugfunktionen schnell außer Kraft setzen. Allerdings kann ein lokaler Angreifer, beispielsweise ein verärgerter Mechaniker oder auch der Ehepartner, nur ein einzelnes Fahrzeug beschädigen und kommt daher eher nicht ins Visier von Sicherheitsteams.

Zudem ist es nahezu unmöglich, das gesamte, äußerst komplexe, verteile Elektroniksystem eines Autos vor mechanischer Beschädigung zu schützen, daher ist diese Art der Bedrohung hier zu vernachlässigen. Es gibt jedoch eine wichtige Ausnahme: Irgendwo in einer oder mehreren ECUs sind kryptografische Schlüssel für geschützte Kommunikationskanäle und lokalen Datenschutz gespeichert. Dabei kann das Fahrzeug mit vielen Stellen kommunizieren: Mit der Werkstatt oder anderen Infrastruktureinrichtungen des Autoherstellers, mit dem Multimedia-Anbieter, mit anderen Fahrzeugen, dem Stromnetz (Elektrofahrzeuge), dem Smartphone oder sogar mit der Bank.

Bild 2 zeigt einige Beispiele für mögliche Langstrecken-Funkverbindungen bei Fahrzeugen der nächsten Generation. Neben der Kommunikations-Absicherung ist zudem der Schutz von »ruhenden« Daten erforderlich, zum Beispiel für Automotive-Algorithmen, Multimedia-Inhalte und Kryptografiematerial. Der Speicherort privater Schlüssel muss invasiven und nicht-invasiven mechanischen Attacken standhalten, denn selbst der Verlust eines einzigen Schlüssels kann es einem Hacker ermöglichen, eine Verbindung mit entfernen Infrastrukturen aufzubauen und dort flächendeckend noch größeren Schaden anzurichten.

Autohersteller müssen daher hohe Sicherheit beim Schutz der Verschlüsselung über den gesamten Lebenszyklus gewährleisten - von der Entwicklung über die Integration in ECUs, deren Zulieferung und Montage im Fahrzeug bis zum Feldeinsatz. Verschlüsselungsexperten für Embedded-Systeme, wie Green Hills Software, Mocana oder Certicom können Fahrzeughersteller und deren Zulieferer bei dieser Thematik unterstützen.

Aus der Ferne

Die klassische Angriffsvariante: Ein Hacker versucht, die Langstrecken-Funkschnittstellen eines Fahrzeugs anzuzapfen, um Schwachstellen in Netzwerksicherheitsprotokollen, Web-Diensten und Anwendungen zu finden und so einen Weg in die interne Elektronik zu finden. Im Gegensatz zu Highend-Datenzentren ist ein Auto nicht mit einem Komplettpaket an IDS, IPS, Firewalls und UTMs ausgestattet. Unabhängig davon haben kürzliche Hacker-Angriffe bei Sony, Citigroup, Amazon, Google und RSA gezeigt, dass selbst solche Sicherungsmechanismen nicht vor ausgeklügelten Angriffen schützen.

Als der »Stuxnet«-Angriff im Jahr 2010 bekannt wurde, schlug der Chef des »Cybercom«-Kommandos im US-Verteidigungsministerium, General Keith Alexander, vor, dass die kritische Infrastruktur der USA in einem eigenen sicheren Netzwerk isoliert werden sollte, das vom Internet abgekoppelt ist. So aufwändig dieser Ansatz auch erscheinen mag - genau diese Denkweise ist erforderlich: Die kritischen Sys-teme eines Autos müssen streng von ECUs und Netzwerken getrennt werden, die für den sicheren Betrieb unkritisch sind.

Interne Elektronik

Eine Isolierung des physikalischen Netzwerks ist zwar wünschenswert, es wird aber weiterhin unvermeidliche Berührungspunkte geben. So muss beispielsweise in einigen Ländern die Bedienung des Fahrzeug-Navigationssystems deaktiviert sein, während das Auto in Bewegung ist. Hierfür ist eine Kommunikation zwischen Systemen mit sehr unterschiedlichen Sicherheitskriterien erforderlich.

Der Trend zur Steuergeräte-Konsolidierung bringt es mit sich, dass immer leistungsfähigere Multicore-Mikroprozessoren verschiedene Systeme voneinander trennen. Damit werden viele ECUs zu virtuellen ECUs, wodurch das Risiko software-basierter Bedrohungen wie unerlaubte Rechtevergabe durch Schwachstellen im Betriebssystem, Side-Channel-Attacken auf die Verschlüsselung oder Denial-of-Service-Attacken steigt. Die interne Elektronik-Architektur eines Fahrzeugs ist daher von Grund auf für Sicherheit auszulegen.

Berührungspunkte zwischen kritischen und nicht-kritischen Systemen und Netzwerken müssen auf höchster Managementebene gerechtfertigt sein. Zudem müssen diese elektronischen Berührungspunkte analysiert und gemäß höchster Sicherheitsstandards wie ISO 15408 (Common Criteria) EAL 6+ (Evaluated Assurance Level) nachweisbar frei von Schwachstellen sein. PHASE - Principles of High Assurance Software/Security Engineering - vertritt die Aspekte geringere Komplexität, Softwarekomponenten-Architektur, das Prinzip der geringsten Berechtigung, sichere Software- und Systementwicklungsprozesse sowie unabhängige Sicherheitsüberprüfungen durch Experten.

All dies muss von den Fahrzeugherstellern mit übernommen und an die ECU-Zulieferer vermittelt werden. Insgesamt muss die Messlatte für sicherheitsgetriebene Entwicklung und Softwareentwicklung höher gelegt werden. Die Automobilelektronik-Industrie benötigt dringend eine unabhängige Normungsorganisation zur Definition und Durchsetzung hochsicherer Zertifizierungsprogramme für die Fahrzeugelektronik.

Über den Autor:

David Kleidermacher ist CTO bei Green Hills Software.