Grundsätzlich sicher Security in komplexen Automotive-Systemen

Maßnahmen in vernetzten Fahrzeugen wie Security und Sicherheit sind von Beginn an berücksichtigt.
Maßnahmen in vernetzten Fahrzeugen wie Security und Sicherheit sind von Beginn an berücksichtigt.

Damit auf vernetzte Fahrzeuge nicht böswillig von außen zugegriffen werden kann, ist Security von Beginn an zu berücksichtigen. Dieser Beitrag zeigt, wie sich Maßnahmen zur Sicherung von Fahrzeugen im Laufe der Zeit weiterentwickelt haben und welche Angriffsszenarien heute vorherrschen.

Schon von Beginn an haben sich Automobilhersteller darum gekümmert, Missbrauch oder Diebstahl ihrer Produkte zu verhindern oder zumindest einzuschränken. Die dabei genutzten Technologien und Methoden – von einfachen mechanischen Schlössern über Alarmanlagen bis hin zu elektronischen Wegfahrsperren – wurden im Laufe der Zeit immer sicherer. In mindestens gleichem Maße nahmen leider auch die Kompetenz und die kriminelle Energie auf der Gegenseite zu: Einschlagen der Seitenscheibe, Kurzschließen des Anlassers und letztendlich der Austausch eines »schützenden« Steuergeräts – der Einfallsreichtum von Autodieben scheint keine Grenze zu kennen.

Heutzutage, im Zeitalter des vollständig vernetzten Fahrzeugs, erreichen diese Aktivitäten ein neues Niveau, weil hierbei nicht nur ein einzelnes Fahrzeug betroffen sein muss, sondern ein hochentwickelter Angreifer durchaus in der Läge wäre, eine komplette Fahrzeugflotte unter seine Kontrolle zu bringen. Die nachfolgende Liste zeigt verschiedene Personengruppen potenzieller Angreifer und ihre mögliche Motivation für den Angriff auf vernetzte Fahrzeuge:

  • Auto-Tuner: Freischalten verschiedener oder versteckter Fahrzeugfunktionen, Leistungssteigerung/-optimierung
  • Hacker: Öffentlichkeitswirksamer Angriff, meist um Anerkennung innerhalb der Community zu erlangen
  • Konkurrenz: Industrie-Spionage, um einen technischen Vorteil zu erreichen oder einen technischen Nachteil auszugleichen, Rufschädigung ebenfalls möglich
  • Terrorist: Terroristischer Anschlag auf Personen oder Einrichtungen mit Hilfe einzelner Fahrzeuge oder im Extremfall einer Fahrzeugflotte.

 

 

Wie definiert sich ein vernetztes Fahrzeug?

Um zu verstehen, wie ein möglicher Angreifer versuchen würde, Zugang zu einem vernetzten Fahrzeug zu erlangen, ist es wichtig, darüber nachzudenken, mit wem oder was ein Fahrzeug vernetzt ist. Natürlich existieren offensichtliche Verbindungen, beispielsweise zu den Endgeräten der Passagiere mittels Bluetooth oder WLAN, den Navigationssatelliten von GPS/GNSS/Galileo, die 3G-, 4G- und vielleicht bald 5G-Verbindung ins Internet oder die Cloud sowie etwaige Funkverbindungen zu anderen Fahrzeugen und Road-Side-Units im Rahmen der V2X-Konnektivität.
Darüber hinaus gibt es aber noch andere Verbindungen zur Umwelt, die ebenfalls betrachtet werden sollten. Zum Beispiel liefern alle Fahrzeugsensoren – Radar, Lidar, Kameras, … – Informationen, die genutzt werden, um verschiedene Aktionen auszulösen wie die Notbremsung. Der zugrundeliegende Entscheidungsprozess kann, was bereits bei mehreren Gelegenheiten eindeutig belegt wurde, durch Modifizierung der Sensordaten manipuliert werden und zu unerwünschtem und gefährlichem Verhalten führen.

Es gibt aber noch weitere Verbindungen, die teilweise nur unregelmäßig und kurzzeitig im Laufe des Fahrzeuglebenszyklus aufgebaut werden, aber dennoch eine potenziell gefährliche Angriffsfläche bieten, zum Beispiel die Verbindung zwischen Fahrzeug und Werkstatt-Tester im Rahmen eines Werkstattbesuches oder zu den Produktionseinrichtungen in der Fabrik, wo am Ende der Produktion sämtliche Steuergeräte ihre finale Konfiguration erhalten.

Bei der Diskussion verschiedener Angriffsflächen und -szenarien sollte zunächst der grundsätzliche Unterschied zwischen Security und (Functional) Safety erörtert werden, weil diese beiden Ausprägungen von »Sicherheit« zwar eng verwandt, aber trotzdem komplett unterschiedlicher Natur sind. Das Ziel von Safety ist es sicherzustellen, dass jedes System zu jeder Zeit gemäß seinen Anforderungen funktioniert – wobei diese Anforderungen mögliche Bedrohungen in Hinsicht auf Safety und gegebenenfalls Antworten enthalten. Um den höchsten Safety-Anforderungen zu genügen, kommen verschiedene Werkzeuge und Methoden zum Einsatz: Anforderungsanalyse/-verfolgung, Design/Code Reviews, Test und Verifikation, System-Redundanz.

Security dagegen geht noch einen Schritt weiter: Neben den bestehenden Safety-Anforderungen will Security sicherstellen, dass ein System nichts tut, was es nicht machen soll. Es reicht also nicht nur, die Einhaltung der Anforderungen zu garantieren, es muss gleichzeitig auch nicht-definiertes Verhalten unterbunden werden. Zur Liste von Safety-Aktivitäten müssen demzufolge noch weitere Punkte hinzugefügt werden, wie etwa die Definition und Durchsetzung von Security-Grundsätzen, Penetrationstests oder die Analyse verdeckter Kanäle (Covert Channel Analysis).

Security aufrechterhalten

Um die Security in einem System zu gewährleisten oder aufrecht zu erhalten, sollten einige grundsätzliche Mechanismen vorhanden sein und genutzt werden:

  • Authentifizierung (Authentication): Informationen können nur zwischen bekannten und vertrauenswürdigen Personen ausgetauscht werden.
  • Verschlüsselung (Encryption): Gespeicherte oder übertragene Informationen werden immer verschlüsselt.
  • Device Lifecycle Management: Sowohl Schlüssel, die in Steuergeräten genutzt werden, als auch solche, die in Infrastrukturprozessen (Back Office) zum Einsatz kommen, lassen sich im Bedarfsfall zurückziehen und ersetzen.
  • Separierung (Separation): Um die Zahl von Geräten oder Funktionen, die gesichert werden müssen, möglichst klein zu halten, werden sicherheitskritische und nicht-sicherheitskritische Geräte und Funktionen so weit wie möglich getrennt.

Obige Liste beschreibt die Grundprinzipien, die angewendet werden sollten, um ein im Sinne von Security sicheres System zu entwickeln. Allerdings ist es nicht minder wichtig, dass diese Security-Konzepte bereits von Beginn der Entwicklungsphase mit in die Planungsphase für jede Systemebene aufgenommen werden. Nur mit diesem Security in-Depth-Ansatz kann ein robustes Gerät oder System entwickelt werden, das entweder einem Angriff standhält oder sich zumindest schnellstmöglich von einer Sicherheitsverletzung erholt.