Infineon Technologies Security: Ein Muss, kein »Nice to have«

Automotive-Know-how trifft Chipkarten-Expertise: 
Martin Klimke, Björn Steurich, Hans Adlkofer (v.l.n.r). 
Die beiden Abteilungen arbeiten seit fast einem Jahrzehnt in der Entwicklung zusammen. Das in den Aurix-MCUs eingesetzte HSM wurde maßgeblich von der Chipkarten-Unit entwickelt.
Automotive-Know-how trifft Chipkarten-Expertise: Martin Klimke, Björn Steurich, Hans Adlkofer (v.l.n.r). Die beiden Abteilungen arbeiten seit fast einem Jahrzehnt in der Entwicklung zusammen. Das in den Aurix-MCUs eingesetzte HSM wurde maßgeblich von der Chipkarten-Unit entwickelt.

Im letzten Jahr gab es diverse Hacker-Angriffe auf Fahrzeuge verschiedener Hersteller. Bislang waren all diese Angriffe »gutartiger« Natur, denn es ging den Experten nur darum zu zeigen, was möglich ist. Aber jetzt muss reagiert werden, denn die Zeiten, in denen ein Fahrzeug ein in sich geschlossenes System war, sind definitiv vorbei.

Die im letzten Jahr gezeigten Angriffe hatten unterschiedliche Ziele, sie nutzten unterschiedliche Möglichkeiten, und auch das jeweilige Ausmaß des Angriffs war unterschiedlich. Bei BMW beispielsweise wurde das Connected Drive System gehackt. Damit war es möglich, das Fahrzeug aufzuschließen, auch ohne Berechtigung. BMW hatte Lücken bei der Verschlüsselung übersehen. Beim GM wiederum wurde das Infotainment-System OnStar gehackt. Dabei konnte aufgrund einer schlechten Authentifizierung die Kommunikation zwischen Remotelink-App und den Onstar-Servern von General Motors abgefangen werden (MITM-Angriff: Man-in-the-Middle-Attack), wodurch das Fahrzeug remote geöffnet und sogar gestartet werden konnte. Beim Tesla Model S saßen die Hacker noch im Fahrzeug, konnten sich dort aber in das Netz des Fahrzeugs einhacken und so die Kontrolle übernehmen. Björn Steurich, Senior Manager Powertrain Systems bei Infineon Technologies, kommentiert: »Auch wenn der Weg bis zu einem Remote-Angriff noch lang scheint, müssen bei der Datensicherheit noch höhere Schutzmaßnahmen eingerichtet werden. Zusätzlich zu den MCUs auch ICs, die Sicherheitsfunktionen bieten, wie wir sie von Chipkartenanwendungen kennen.«
Solch einen Angriff im Fahrzeug hatten Charlie Miller und Chris Valasek 2013 schon einmal durchgeführt. Dieser Vorfall wurde damals aber nicht wirklich ernst genommen, weil die Hacker eben noch im Fahrzeug sitzen mussten. In diesem Jahr konnten die beiden mit ihrem Remote-Hack auf den Jeep Cherokee von Chrysler aber eindrucksvoll und publikumswirksam beweisen, dass es auch anders geht. Das sollte jetzt endlich der ultimative Weckruf sein, dass das Thema Security auf keinen Fall vernachlässigt werden darf, denn »es werden sicherlich noch mehr Angriffe auf Fahrzeuge erfolgen, die auf bestehendem Wissen aufsetzen. Die Welt sucht nach neuen Sicherheitslücken, und sie wird sie finden. Selbst wenn wir jetzt alle bekannten Sicherheitslücken schließen, heißt das nicht, dass wir für die nächsten zehn Jahr Ruhe haben«, kommentiert Hans Adlkofer, Vice President im Geschäftsbereich Automobilelektronik bei Infineon Technologies.

Security = bewegliches Ziel

Das heißt, dass es niemals einen Zeitpunkt X geben wird, an dem man sagen kann, dass ein Fahrzeug gegenüber jedweder Art von Attacken gesichert ist. Adlkofer weiter: »Angriffe laufen erfahrungsgemäß nach einem Schema ab: Die Angriffe beginnen an den einfachen Schnittstellen. Sind diese abgesichert, nehmen sich Hacker die nächsten Schnittstellen vor. Ist das Fahrzeug bestmöglich gesichert, dann könnten im nächsten Schritt die Fertigungsprozesse ins Visier rücken. Angreifer könnten beispielsweise schon während der Produktion von Steuergeräten versuchen, Fremd-Software, wie ein trojanisches Pferd, aufzuspielen.«
Dieses Schema sei aus anderen Industrien, ein Beispiel ist die Pay-TV-Branche, bereits bekannt: Es gibt immer wieder Versuche, Pay-TV zu knacken und dann einfach gratis zu gucken. »Antrieb für einen Angriff ist der damit verbundene Business-Case. Bei Pay-TV geht es um kostenloses Kino, in der Autobranche wäre beispielsweise die Bedrohung einer ganzen Flotte ein Business-Case. Und wenn sich der Business-Case lohnt, wird viel Aufwand hineingesteckt.« Daran müsse sich die Automobil-industrie gewöhnen. »Das ist ein ständiger Wettlauf. Wir sollten denen immer einen Schritt voraus sein, die sich Angriffe ausdenken. Das heißt auch, schon heute gewisse Sicherheitsmechanismen einzubauen, die gegebenenfalls erst morgen gebraucht werden«, so Adlkofer weiter.
Dabei können auch zunächst ganz harmlose Angriffe böse Folgen haben. So hat die ETH Zürich beispielsweise gezeigt, wie sie einen Angriff auf Keyless Go durchgeführt hat. »Mittlerweile gibt es professionelle Ausrüstungen zu kaufen, mit denen Fahrzeuge gestohlen werden können«, so Steurich weiter.
Nachdem es also niemals möglich sein wird, ein Fahrzeug absolut sicher zu machen, sagt Martin Klimke, Principal for Technical Marketing Chip Card & Security bei Infineon Technologies: »Man muss jederzeit damit rechnen, dass Angriffe möglich sind. Wichtig ist, dass nach dem Entdecken einer Sicherheitslücke schnell reagiert werden kann und die Sicherheitslücke unverzüglich behoben wird.

Das Fahrzeug ist komplex,
die Sicherheitsmechanismen sind es auch

Auch wenn sich ein System niemals vollkommen absichern lässt und es auch nicht funktioniert, einfach einen Chip einzulöten oder eine ECU einzusetzen, gibt es schon heute viele Einzelmaßnahmen, mit denen die Sicherheit im Fahrzeug Schritt für Schritt erhöht werden kann. Ein Beispiel ist eine zentrale Telematik-ECU. Denn damit gibt es auch nur noch einen Punkt, an dem von außen angegriffen werden kann, und diese Schnittstelle muss dann eben sicher gemacht werden – ein wichtiger Schritt, denn derzeitig sind viele Fahrzeuge auf der Straße, die ganz viele Zugangspunkte aufweisen. Hier wiederum könnte ein Ansatz mit Intrusion-Software helfen. Dabei werden bestehende ECUs mit einer Software nachgerüstet, die quasi wie eine McAfee-Software die Kommunikation überwacht. Wird etwas Ungewöhnliches registriert, gibt es eine Fehlermeldung, oder die Kommunikation wird komplett unterbinden. Adlkofer weiter: »Hier entstehen interessante Ökosysteme, die man nutzen muss, bevor man im nächsten Schritt zu einer sicheren Architektur kommt.«
Eine andere Möglichkeit ist das Gateway, das als Firewall fungiert. Im nächsten Schritt können die wichtigen ECUs kryptographisch abgesichert werden. Hier spielt sichere Authentifizierung eine wichtige Rolle; d.h. eine Nachricht muss eindeutig einem bestimmten Sender zuzuordnen sein. Diesen Ansatz gibt es in der IT-Welt unter dem Begriff »Trusted Network Connect« schon seit langem. Nur PCs, die sich authentifiziert haben und dadurch als Unternehmensrechner erkannt wurden, werden für die Netzwerkkommunikation zugelassen. Klimke: »Die Sicherheit im Auto lässt sich erhöhen, wenn sicherheitskritische Funktionen mit einem Authentifizierungsmodul ausgestattet sind. Dann nämlich werden nur Befehle von authentischen Gegenstellen ausgeführt.«
Aus Adlkofers Sicht ist auch eine Domänen-Architektur hilfreich, um ein Fahrzeug abzusichern. Denn im Gegensatz zu CAN, bei dem einfach alles über den gleichen Bus geschickt wird, kommt mit der Domänen-Architektur eine Hierarchie ins Fahrzeug, die ganz andere Sicherheitsmechanismen zulässt. Adlkofer weiter: »Die gute Nachricht ist: Es gibt bereits verschiedene Sicherheitsfunktionen, die auch schon in den Fahrzeugen eingesetzt werden. Und auch wenn morgen noch nicht alle ECUs aufgerüstet sind, heißt das nicht, dass wir nicht einen deutlichen Schritt weiterkommen können. Es müssen nämlich zunächst einmal nur die Systeme abgesichert werden, die sicherheitsrelevant sind oder Leib und Leben der Fahrzeuginsassen schützen.«
Die bereits erfolgten Angriffe bringen Adlkofer zu der Überzeugung, dass jetzt schnell gehandelt werden muss, um die Sicherheitslücken zu schließen. Deshalb betont er, dass die Industrie nicht darauf drängen sollte, Automotive-spezifische Lösungen zu entwickeln, sondern dass Standards aus der IT-Branche oder anderen Bereichen übernommen und an die Automobilwelt angepasst werden sollten. Adlkofer: »Eine Wiederverwendung bestehender und bewährter Ansätze ist wichtig.«