Firewall fürs Auto genügt nicht

IT-Security für Connected Cars

02.12.2016 von Jürgen  Hill
Script-Kiddies, die per Hack den Verkehr einer ganzen Großstadt lahmlegen? Wenn die Verantwortlichen der Autoindustrie weiterhin so blauäugig beim Thema Security für Connected Cars agieren, dann ist das bald Alltag. T-Systems untersucht in einem Whitepaper Security-Ansätze.
Moderne Autos sind immer stärker vernetzt, damit steigt die Gefahr eines Angriffs.
Foto: Chaikom - shutterstock.com

Jugendliche Hacker, die aus Langweile den Feierabendverkehr einer deutschen Großstadt zum Erliegen bringen? Noch klingt das nach Science Fiction, doch die Connected Cars sind bereits heute Realität. So werden etwa GPS-Position, Kilometerstand oder Verbrauch sowie die Zahl der Gurtstraffungen bei einem deutschen Autobauer fast im Minutentakt per Mobilfunk übertragen. Andere Autos geben ihren Parkplatz preis oder die gefahrene Maximaldrehzahl. Und E-Autos teilen mit, wann, wo und wie sie geladen wurden. Oder kurz: Das vernetzte Fahrzeug ist bei heutigen aktuellen Modellen bereits Realität.

Autos komplexer als ein Boeing Dreamliner

Und damit auch die Gefahr: Trauriger Beweis für die Bedrohung ist das Jahr 2015, in dem mehr Fahrzeug-Hacks durch die Medien geisterten als je zuvor. Schwachstellen fanden sich unter anderem in Infotainmentsystemen und Funkschlüsseln. Dabei dürfte die Gefahr noch weiter zu nehmen, denn längst sind die Fahrzeuge zu rollenden Computern mutiert.

Kam Windows 7 auf knapp 40 Millionen Zeilen Programmcode, belegt die Flugsoftware einer Boeing 787 Dreamliner etwas über 14 Millionen Zeilen - doch das ist nichts im Vergleich zu einem modernen PKW der Oberklasse: Er verfügt über rund 100 Millionen Zeilen Programmcode. Gleichzeitig kommunizieren die Fahrzeuge immer stärker mit der Außenwelt über WLAN, Bluetooth, UMTS, LTE etc. in der Car-to-Backend-, der Car-to-Car- sowie der Car-to-X-Kommunikation. Damit wird das Fahrzeug aus Security-Sicht nicht nur immer komplexer, sondern auch die Zahl der Einfallstore erhöht sich.

Internet hilft beim Auto-Hack

Eventuell könnte man angesichts der steigenden Zahl an Bus-Systemen (Komfort-CAN, Antriebs-CAN, MOST, CAN etc.) im Auto der Versuchung erliegen, auf das Konzept der security through obscurity zu vertrauen. Doch das Konzept greift beim modernen Auto nicht. Während die Bus-Systeme zwar für manche Werkstatt obskur sind und so eine Reparatur scheitert, haben die Hacker dank Web bereits nachgerüstet. Im Netz gibt es technische Informationen und Software, um die Fahrzeuge auszutricksen. Seiten wie opengarages.org stellen etwa Tools zum Lesen der Bussysteme vor und das Car Hackers Handbook vermittelt die Grundlagen der KFZ-Programmierung.

Die passende Software etwa (ICSim), um einen Angriff auf den CAN-Bus zu simulieren, ist auf Plattformen wie Github zu finden. Das Know-how dazu kommt nicht nur aus dunklen Kanälen, sondern auch von Auto-Freaks, die ihre Fahrzeuge auf elektronischem Weg zu mehr Leistung verhelfen wollen, oder aber nicht bezahlte Zusatzfunktionen kostenlos freischalten wollen.

Denial of Service

Experten fordern eine verschlüsselte Kommunikation auf den Bus-Systemen.
Foto: Titima Ongkantong - shutterstock.com

Alles in allem braut sich so eine gefährliche Gemengelage auf, die nicht nur die IT-Security des Fahrzeugs, sondern auch die Safety - also die eigentliche Fahrsicherheit bedroht. Und hierzu reichen bereits einfachste Hacks, ohne dass es immer Angriffe auf Bremsen, Lenkung etc sein müssen. Etwa in dem der CAN-Bus per Flooding überlastet wird. Handelt es sich dabei etwa um den Bus, der die Scheibenwischer ansteuert, dann ist das Ergebnis der Manipulation bei Regen fatal. Der Fahrer fährt dann bei Tempo 120 plötzlich ohne funktionierenden Scheibenwischer - also mit null Sicht. Die IT-Sicherheit (Security) wird damit zur Voraussetzung für die Sicherheit (Safety) von Menschenleben.

Manipulation

Eine solche Blockade von Services (in obigem Fall der Scheibenwischer) ist jedoch nicht das einzige mögliche Angriffsziel. Umgekehrt könnte das Fahrzeug auch selbst Teil eines Bot-Netzes werden und so an DDoS-Angriffen mitwirken. Ein weiteres Bedrohungsszenario verbirgt sich unter dem Oberbegriff Manipulation. Hier reicht das Feld von vorsätzlich veränderten CAN-Bus-Nachrichten (etwa Vollbremsung) über die Freischaltung von aufpreispflichtigen Sonderfunktion bis hin zum Chiptuning etc. Allerdings lassen sich letztere Manipulationen häufig durch die Hersteller nachweisen, denn hierzu wäre auch eine Manipulation der Daten im Backend erforderlich.

Standort-Missbrauch

Ein anderes Angriffsziel sind die Standortdaten des Fahrzeugs. Hierzu können Hacker entweder die GPS-Daten abfangen oder hausfinden, in welche Mobilfunkzelle sich das Fahrzeug einwählt. Mit Hilfe dieser Daten kann entweder eine Person ausspioniert werden, oder etwa der Standort eines Premium-Fahrzeugs festgestellt werden, um den Diebstahl zu organisieren. Eine andere Möglichkeit wäre, das Fahrzeug an einer bestimmten Position lahmzulegen. Oder die gewonnenen Bewegungsprofile werden als Daten verkauft. Manch Einbrecher dürfte sich dafür interessieren, wer wann wie lange unterwegs ist.

Spionage

Unter dem Gesichtspunkt der Spionage sind sicherlich die Mikrofone im Auto, SMS und Sprachnachrichten sowie der integrierte Hotspot technische Angriffsziele. Sei es, um im Zuge der Industriespionage Gespräche mitzuverfolgen oder um zu wissen, welche Websites besucht werden.

Mobilfunk-Betrug

Allerdings können auch die Netzverbindungen selbst ein Angriffsziel sein, um ein Fraud-Attacke zu starten. Weil in modernen Connected Cars immer mehr SIM-Karten (etwa eine für die Kommunkation mit dem Hersteller, eine für das Infotainment, ein für eCall) als eSIM verbaut werden, ist der PKW ein interessantes Ziel für Betrüger. Gelingt einem Täter etwa der Zugriff auf die SIM-Schnittstellen, so könnte er eine Rufumleitung zu einem teuren Mehrwertdienst einrichten, den er selbst betreibt. Während der Betrüger vom Mobilfunkbetreiber die Gebühren für den Service erhält, zahlen Autobauer sowie Autobesitzer die Zeche.

SPAM

Wie jeder PC werden auch moderne Autos zum Ziel von SPAM. Vor unerwünschten Mail, SMS und Telefonaten ist auch das vernetzte Auto nicht gefeit. Wird mehr am Fahrzeug gehackt, dann kann es als Teil eines Botnets selbst zur SPAM-Schleuder mutieren.

Diebstahl

Zu guter Letzt ist der Diebstahl nicht zu vergessen. Dank moderner Technik kommt der Dieb nicht mehr mit der Brechstange, sondern knackt das Fahrzeug per manipuliertem Funkschlüssel-System oder Smartphone. Dabei ist nicht mehr nur das Fahrzeug selbst - im Ganzen oder als Ersatzteilspender - als Beute interessant, sondern auch sein digitaler Inhalt. Mit etwas Glück lassen sich schon heute auf diese Weise Bank- oder Kreditkartendaten finden. Noch einfacher hat es unser Einbrecher, wenn Service-Anbieter wie KFZ-Versicherungen bei Pay-as-you-drive-Modellen die Daten gesammelt an einem Ort im Fahrzeug speichern.

So könnte das abgesicherte Backend eines Connected Car aussehen.
Foto: T-Systems

Angesichts solcher Bedrohungsszenarien reichen nach Meinung der Autoren des T-Systems-Whitepapers "IT-Sicherheit für das vernetzte Fahrzeug" die klassischen Security-Ansätze der Automobilhersteller nicht mehr aus. So genüge es nicht mehr, bei der IT-Sicherheit hauptsächlich an Bordnetze und ECUs (Steuergeräte) zu denken. "Ein Firewall fürs Auto genügt nicht", warnen die Autoren. Vielmehr muss die gesamte IT- und Telekommunikationsinfrastruktur im und rund um das Fahrzeug abdecken.

Dazu gehören zusätzlich zu den Fahrzeugsystemen das Backend des Herstellers sowie die mobile Kommunikation zwischen allen Beteiligten, zum Beispiel auch zwischen Autos und Ampeln. Für alle drei Bereiche erläutert das Whitepaper mögliche Schwachstellen und empfehlenswerte Gegenmaßnahmen und fordert ein End-to-End-Security-Konzept.

Dabei müssten IT-Sicherheit und Datenschutz schon bei der Planung neuer Fahrzeugmodelle, -bauteile und -software ein integraler Bestandteil sein. "Security und Privacy by Design" sollte bei der Entwicklung ein Credo sein, ähnlich wie etwa Umweltverträglichkeit. Ferner müsse Security über die gesamte Lieferkette und den gesamten Lebenszyklus eines Fahrzeugs gleich verstanden und umgesetzt werden.

Verschlüsselt kommunizieren

Im Fahrzeug selbst beginnt das mit einer Überarbeitung des aus den 80er Jahren stammenden CAN-Bus-Protokolls, das per se keine Security-Maßnahmen vorsieht. Eine Authentifizierung von ECUs sowie ein Validierung von Nachrichten im Bordnetz sei in der Regel nicht vorgesehen, so die Autoren. Deshalb sei eine Authentifizierung und Validierung unverzichtbar, ebenso wie die physikalische und logische Segmentierung von kritischen (Antriebs-CAN) und unkritischen Bus-Systemen (etwa Infotainment).

Ebenfalls als unverzichtbar wird eine verschlüsselte Kommunikation zwischen wesentlichen Fahrzeugbauteilen betrachtet. Und schließlich müsse sich die Autoindustrie daran gewöhnen, dass Software-Patches und -upgrades wie in der klassischen IT eine Stütze der IT-Sicherheit seien. Allerdings mit einer Ausnahme: Ein Update via Internet, beziehungsweise über eine ungesicherte Funkverbindung, empfehlen die Autoren nur für Content-Updates. Sicherheitskritische Updates hätten in der Werkstatt per Kabel zu erfolgen, wobei sich Sender und Empfänger mehrstufig authentifizieren.

Für die mobile Fahrzeug-Kommunikation sollten die grundlegenden Security-Maßnahmen wie für jede mobile Kommunikation gelten: Die verschlüsselte Kommunikation per Virtual Private Network (VPN). Um die Sicherheit weiter zu erhöhen, empfehle sich der Aufbau einer Public-Key-Infrastructure (PKI), die Zertifikate prüft, verteilt und zurückruft. Allerdings hat die Sachen einen Haken: Das Connected Car benötigt eine Vielzahl von Zertifikaten, sowohl für seine eigenen ECUs als auch für externe Kommunikationspartner wie etwa Ampeln. Entsprechend skalierbar muss eine PKI-Infrastruktur sein. Des Weiteren sollte zum Absichern der Kommunikationsverbindungen ein Monitoring sowie eine Fraud-Detection künftig selbstverständlich sein.

Kontrolle des Backends

Eine Überwachung, die auch für das Backend erforderlich ist, da es für das vernetzte Fahrzeug künftig noch eine weitere Funktion übernimmt: Es ist die Cloud-Firewall, die externe Daten wie Updates von kontrolliert und filtert. Zudem fungiert es als "Hüter der Geheimnisse" des vernetzten Autos, denn das Backend speichert, pflegt und schützt die digitale Identität des Fahrzeugs - bestehend aus der Fahrzeug-Identifikationsnummer (VIN), den IDs aller Bauteile, Zertifikaten und Informationen zu den Softwareversionen. Deshalb sollten die Backends alle grundlegenden Sicherheitsanforderungen eines modernen Data Centers erfüllen. Hierzu gehöre auch ein regelmäßige Überprüfung mit Vulnerability Scans, Penetration Tests sowie Audits.

Auf der anderen Seite dürfe wiederum das Fahrzeug nicht als absolut vertrauenswürdig eingestuft werden, da ein Hacker dieses zum Angriff auf das Backend nutzen könne, um dort womöglich die gefakte ID eines Autos für künftige Angriff zu hinterlegen.

Letztlich werden sich nie alle Schwachstellen schließen lassen, weshalb T-Systems den Einsatz von Detektionssystemen empfiehlt - und diesen Service natürlich auch gleich selbst vermarktet. Nur die kontinuierliche Analyse der Datenkommunikation im, vom und zum Fahrzeug gewährleiste einen rechtzeitigen Alarm falls Anomalien auftreten.