Neue Security-Konzepte Sicher ab Werk

Sicherheit muss zu einem festen ­Bestandteil des Entwicklungsprozesses werden – das ist das Grundprinzip der „Security by Design“-Strategie. Noch stellen vor allem veraltete Bordnetzstrukturen ein Risiko dar, doch für die Neuentwicklung von Fahrzeugen sind umfassende Sicherheitslösungen verfügbar.

Kaum eine Branche hat die digitale Transformation mit einer solchen Wucht erfasst wie die Automobilindustrie. So wird beispielsweise der Fahrer zunehmend von modernen Assistenzsystemen (ADAS) unterstützt. Zudem soll der Markt für vernetzte Fahrzeuge laut einer Studie von BI Intelligence um 45 Prozent jährlich wachsen – zehnmal schneller als der weltweite Automobilmarkt. Doch die zunehmende Digitalisierung hat auch eine Schattenseite: Die neuen elektronischen Systeme im Fahrzeug können attraktive Ziele für Cyberkriminelle sein. So gab es mittlerweile eine Reihe von Proof-of-Concept Hacks, also erfolgreiche Angriffe, die von Sicherheitsunternehmen oder Forschern durchgeführt wurden, um entsprechende Schwachstellen aufzuzeigen.

Es erfordert beispielsweise nur einen Internet-Anschluss, eine Lücke im Keyless-Go-System auszunutzen. Sowohl der Diebstahl via geknacktem Funkschlüssel als auch Angriffe auf die Software-Komponenten eines Fahrzeugs zeigen, wie wichtig das Thema Security ist. Denn moderne Fahrzeuge bestehen nicht mehr nur aus Metall und Elektronikkomponenten, sondern auch aus Millionen von Code-Zeilen, die in teilweise über mehr als hundert ECUs ausgeführt werden.

Nachträgliche Aktualisierung kaum möglich

Ein besonderes Risiko sind Bordnetzstrukturen, die sich zwar in der Vergangenheit bewährt haben, aber teilweise schon seit zehn Jahren oder länger im Einsatz sind. Denn diese Komponenten wurden noch nicht nach Security-Gesichtspunkten entwickelt. Mögliche Angriffsstellen lassen sich bei ihnen meist nicht einfach durch Patches entfernen, zumal sie nicht nur die Software, sondern häufig auch fest programmierte (hard-coded) Bauteile betreffen. Bei diesen Komponenten sind zum Beispiel Konfigurationsdaten direkt in den Quellcode eingebettet und damit nicht veränderbar. Eine nachträgliche Aktualisierung ist somit nicht möglich bzw. erfordert u.U. einen Hardware-Austausch. Werden solche Bordnetz-Strukturen nun im Zuge einer Modellpflege um Vernetzungskomponenten mit entsprechenden Angriffsmöglichkeiten erweitert, besteht die Gefahr, dass ein Hacker Zugriff auch auf sicherheitsrelevante Fahrzeugkomponenten wie Lenkung oder Bremsen erhält.

Darüber hinaus haben Autohersteller lange Zeit bei Protokollen oder Schnittstellen auf Standards gesetzt, die nicht mit Fokus auf IT-Sicherheit entwickelt wurden und deswegen nachträglich gesichert werden müssen. Dazu gehört beispielsweise das Beseitigen von SSL-Lücken oder von fehlerhaften Krypto-Schlüsseln. Werden bereits am Markt vorhandene Verschlüsselungstechnologien unmittelbar übernommen, werden auch bestehende Schwachstellen mit übertragen, die Cyberkriminelle ausnutzen können.

Unterschiedlichste ­Angriffsszenarien

Angriffsszenarien auf die im Fahrzeug integrierte Software gibt es viele, allerdings werden sie grob in zwei Bereiche geteilt: Direkte, physische und Remote-Angriffe. Bei letzteren gehören etwa per Bluetooth oder USB verbundene internetfähige Devices, Apps oder Telematik-Geräte zu möglichen Zielen (Bild 1). Gerade mobile Geräte wie Smart­phones sind äußerst beliebte Ziele bzw. „Überträger“, über die sich Schadcode in das Infotainment-System einschleusen lässt. Das Ziel ist bei vielen Attacken das gleiche: Der CAN-Bus würde modifizierte Nachrichten erhalten.


Physische (direkte) Angriffe auf das Auto selbst sind deutlich schwieriger auszuführen. Hier müssen beispielsweise Code-Injection-Techniken direkt in den CAN-Bus oder ECUs eingesetzt werden, um den Schadcode einzuspielen. Damit würden die Angreifer Zugriff auf die ECUs und den CAN-Bus erhalten. Die ECUs kommen meistens von Zulieferern als eine Art „Black Box“, die auf Basis der Herstelleranforderungen für eine bestimmte Modellreihe zusammengestellt wurde. Hier ließe sich beispielsweise direkt bei der Entwicklung eine Security-Anwendung integrieren.

Schad-Software lässt sich außerdem direkt beim Hersteller platzieren. Diese wird dann, beispielsweise als neue Version getarnt, bequem mit den regulären Updates ausgeliefert. So ist etwa die Hacker-Gruppe „Dragonfly“ beim Angriff auf Kraftwerksleitstände und Steuerungszentralen von Stromnetzbetreibern vorgegangen. Aber auch die in Fahrzeugen integrierte Software besteht mittlerweile aus Millionen Zeilen Code. Daher wird kaum jemand die zusätzlichen, bösartigen Zeilen finden, bevor sie während eines Updates übertragen werden. Allerdings verarbeiten die ECUs des Fahrzeugs oft Tausende von Signalen parallel. Um einen komplexen Vorgang wie automatisches Einparken fehlerhaft zu initiieren, muss der Angreifer den CAN-Bus deshalb mit Signalen überschwemmen, um die legitimen Informationen der Autosensoren auszuschalten.