Immunsystem fürs Fahrzeug Intrusion Detection und Prevention in vernetzten Fahrzeugen

Erkennung von Hackerangriffen und die Abwehrstrategie.
Erkennung von Hackerangriffen und die Abwehrstrategie.

Ein vernetztes Fahrzeug bietet für Hackerangriffe diverse Einfallstore. Die aktuelle Beitragsreihe (nachfolgend Teil 2) beschreibt eine Strategie, die – neben Maßnahmen zur Reduzierung möglicher Schwachstellen und somit möglichst einer Verhinderung von Security-Vorfällen erläutert.

Spätestens der erste, durch Security-Schwachstellen begründete Rückruf der National Highway Traffic Safety Administration (NHTSA) im Jahr 2015 [1] hat die hohe Bedeutung der Fahrzeug-IT-Sicherheit für moderne, vernetzte Fahrzeuge demonstriert. Sicherheitsforschern war es im Vorfeld des Rückrufes gelungen, sich aus der Ferne über die Mobilfunkschnittstelle des Telematiksteuergerätes Zugriff auf das fahrzeuginterne Netzwerk zu verschaffen und über diesen Kanal Kontrolle über diverse Fahrzeugfunktionen zu erlangen [2]. Moderne vernetzte Fahrzeuge benötigen im Hinblick auf die Automotive Security einen systematischen, ganzheitlichen Rundumschutz.

Bereits aus der klassischen IT ist bekannt, dass trotz aller sinnvollen und nötigen Maßnahmen im Bereich der Security ein hundertprozentiger Schutz und eine vollständige Verhinderung von Schwachstellen weder ökonomisch noch technisch möglich sind. In der klassischen IT hat diese Erkenntnis zu einem Paradigmenwechsel geführt: Neben der Verhinderung von Angriffen ist das Ziel hinzugekommen, Angriffe zu erkennen, um Gegenmaßnahmen einleiten zu können und aus den Angriffen sowie auch aus erfolglosen Angriffsversuchen zu lernen. Hier haben sich intelligente Angriffserkennungs- und Abwehrsysteme (Intrusion Detection and Prevention Systems, kurz IDPS) zum Schutz der IT-Infrastruktur bewährt. Die Übertragung dieses Konzeptes auf moderne, vernetzte Fahrzeuge und Fahrzeugflotten, die quasi verteilte IT-Systeme darstellen, ist daher nur folgerichtig.

Während allerdings das Ziel eines IDPS im Fahrzeug – Erkennung und Dokumentation von Anomalien in der Bordnetzkommunikation und gegebenenfalls Abwehr der Angriffe – weitestgehend dem Einsatzzweck klassischer IDPS-Systeme entspricht, erfordern Automotive IDPS eine auf die Spezifika der Fahrzeugelektronik und Fahrzeugvernetzung zugeschnittene Lösung. Zum Beispiel muss eine Onboard-IDPS-Komponente zum einen gängige Automotive-Netzwerke, insbesondere CAN, unterstützen und zum anderen für die Ausführung auf typischen, Ressourcen-beschränkten Controllern in Steuergeräten geeignet sein. Wichtig ist zudem eine sinnvolle Lokalisierung der IDPS-Komponente(n) innerhalb der E/E-Architektur des Fahrzeuges. Besonders geeignet sind hier beispielsweise Gateways und zentrale Steuergeräte innerhalb einer Fahrzeugdomäne (Bild 1).

 

Angriffssignaturen erkennen

Die primäre Aufgabe von IDPS-Komponenten im Fahrzeug ist also eine Erkennung von Anomalien in der Bordnetzkommunikation, die auf potenzielle Angriffe hindeuten. Es stellt sich die Frage, welche Charakteristiken solche angriffstypischen Anomalien aufweisen. Hierzu haben die Entwickler von IDSP-Komponenten und Sicherheitsforscher mögliche Angriffsszenarien auf Fahrzeuge analysiert und mit dem üblicherweise durch den OEM spezifizierten „Normalverhalten“ abgeglichen. Ergebnis dieser Analysen sind Module zur Erkennung typischer Angriffssignaturen, von denen zwei typische Erkennungsmechanismen für CAN im Folgenden betrachtet werden:

  • Anomalie-Erkennung für zyklische Botschaften
  • Missbrauchserkennung für Diagnoseanforderungen.

Anomalie-Erkennung für zyklische Botschaften

Die Mehrzahl der CAN-Botschaften werden aus funktionalen Gründen – beispielsweise zur Erkennung des Ausfalls von Steuergeräten – zyklisch übertragen. Ein Angreifer, der Kontrolle über eine Fahrzeugfunktion erhalten möchte, generiert ebenfalls entsprechende CAN-Botschaften und schleust diese in das Fahrzeugnetzwerk ein. Üblicherweise kann der Angreifer dabei nicht die Übertragung der originalen CAN-Botschaften verhindern, wodurch in der Folge mehr CAN-Botschaften mit dem oder den entsprechenden Identifier(n) pro Zeiteinheit übertragen werden. Diese Anomalie kann durch ein IDPS erkannt, als potenzieller Angriff klassifiziert und gemeldet werden (Bild 2).

Missbrauchserkennung für Diagnoseanforderungen

Einfache Angriffe auf zyklische CAN-Botschaften können nicht nur verhältnismäßig einfach detektiert werden, sondern bieten einem Angreifer typischerweise darüber hinaus nur begrenzte Kontrolle über die Fahrzeugfunktionen. Grund hierfür ist in vielen Fällen die Wechselwirkung von echten und durch den Angreifer eingeschleusten CAN-Botschaften bei der Auswertung in den empfangenden Steuergeräten. Diese führt oft zu Fehlerzuständen, welche die Steuergeräte zu einem Übergang in einen (im Sinne der funktionalen Sicherheit) sicheren Zustand veranlassen. Komplexere Angriffe erfolgen daher in mehreren Schritten. Ein erster Schritt ist hierbei typischerweise, das Steuergerät, das die originale CAN-Botschaft aussendet, an einer weiteren Aussendung von Botschaften zu hindern. Eine Möglichkeit, das zu erreichen, ist, das Steuergerät durch Diagnoseanforderungen in einen Zustand zu versetzen – zum Beispiel „Warten auf neue Firmware“ –, in dem das Steuergerät keine Botschaften generiert [3]. In diesem Falle werden somit gültige Diagnoseanforderungen missbräuchlich verwendet. IDPS-Komponenten analysieren daher Diagnoseanforderungen detailliert und im Zusammenhang mit dem aktuellen Fahrzeugzustand, wie „Fahrzeug bewegt sich“, und können so einen Missbrauch erkennen.