Connected-Car-Sicherheit

IT-Security im Auto: Neue Wege

Datum:30.11.2016
Autor(en):Christian Vogt

Autos sind ein wichtiger Bestandteil unseres Alltags und unentbehrlich für den täglichen Transport Tausender Menschen von und zu ihren Arbeitsplätzen, durch belebte Orte und von Land zu Land. Da "intelligente" Fahrzeuge - sogenannte Connected Cars¹ - bereits eine wichtige Rolle in unserem Alltag spielen, ist es keine große Überraschung, dass der teilweise und vollständig autonome Transport und das Potenzial von fahrerlosen Autos zu heiß diskutierten Themen geworden sind. Einige Länder wie das Vereinigte Königreich, Frankreich und die Schweiz testen autonome Autos bereits auf öffentlichen Straßen. Laut Gartner werden fahrerlose Fahrzeuge in reifen Märkten bis 2030 circa 25 Prozent aller Passagiere transportieren.²

Während Autobahnen voller fahrerloser Autos für einige eine herrliche Zukunftsvision sind, bietet diese Perspektive Hackern eine weitere Gelegenheit, verheerenden Schaden anzurichten³. Die immer ausgefeilteren Cyberangriffe und Datenschutzverletzungen in den letzten Jahren haben dazu geführt, dass der Schutz der Autofahrer vor Bedrohungen aus dem Netz zu einem der wichtigsten Entwicklungsschwerpunkte und -herausforderungen in der Automobil- und Sicherheitsindustrie geworden sind.

Hacker-Methoden: Angriffsvektoren im Auto

Fahrerlose Autos⁴. Intelligente Fahrzeuge werden über mehrere unterschiedliche Systeme an Bord verfügen: ein Steuerungssystem, ein Unterhaltungssystem, ein Passagiernetzwerk und sogar Systeme von Dritten, die nach Bedarf von den Eigentümern heruntergeladen werden können. Diese Systeme müssen in einem gewissen Umfang miteinander kommunizieren, um die neuen Services zum Leben zu erwecken. Aber diese Kommunikation muss von Sicherheitssystemen wie KI-Systemen⁵ ab, die das selbstständige Fahren ermöglichen. Diese neuen Steuerungs- und Sicherheitssysteme müssen in die schon heute vorhandenen elektronischen Systeme an Bord integriert werden und bieten unter anderem auch die Services von Dritten über das Internet. Und genau hier liegt das Problem: Wenn Hacker aus der Entfernung auf ein Fahrzeug zugreifen⁶ und eines seiner Systeme kompromittieren, besteht ein erhebliches Risiko - angefangen vom Diebstahl vertraulicher und geschäftlicher Daten bis hin zu ganz realen Gefahren für das Leben der Passagiere und ihr Eigentum. Wir stellen im Folgenden einige Angriffsmöglichkeiten vor, die für verbundene und autonome Autos wahrscheinlich bestehen werden.

Um das Auto der Zukunft effektiv schützen zu können, muss noch einiges geschehen.
Foto: Sasun Bughdaryan - shutterstock.com

Rechteausweitung und Systemverflechtungen: Nicht alle Systeme und Netzwerke in einem Auto werden auf gleiche Art und Weise erstellt. Die Angreifer werden nach Schwachstellen in weniger geschützten Services⁷ wie Unterhaltungssystemen suchen und versuchen, über das interne Netzwerk auf sensiblere Systeme "überzuspringen". Beispielsweise ist typischerweise eine begrenzte Kommunikation zwischen dem Motor-Management-System und dem Unterhaltungssystem gestattet, damit Warnmeldungen - etwa Motorfehlfunktionen - auf dem Display angezeigt werden können. Und genau diese Verbindung könnten Hacker ausnutzen.

Systemstabilität und -berechenbarkeit: Klassische Autosysteme sind in sich geschlossen und kommen normalerweise von einem einzigen Hersteller. Neue, autonom fahrende Autos werden sehr wahrscheinlich Software von mehreren Anbietern⁸ enthalten - einschließlich Open-Source-Software. Die Informatik ist nun im Gegensatz zu industriellen Steuerungssystemen - wie es Autosysteme sind - nicht unbedingt für ihre Vorhersehbarkeit bekannt. Tatsächlich neigen IT-Systeme dazu, auf unberechenbare Weise zu versagen. Das ist sicherlich tolerierbar, so lange es sich nur um eine Website handelt, die nicht erreichbar ist. Im Falle eines Steuerungssystems, das nicht einmal ansatzweise beeinträchtigt werden darf, wenn ein angrenzendes Unterhaltungssystem oder das Auto-WLAN abstürzt, ist das hingegen inakzeptabel.

Man kann außerdem erwarten, dass bekannte Bedrohungen⁹ an dieses neue Ziel angepasst werden. Sie werden sich sehr wahrscheinlich von klassischen Endpunkt-Zielen wie Laptops und Smartphones auf IoT (Internet of Things)-Devices¹⁰ - zu denen auch Connected Cars gehören - ausweiten. Im folgenden einige Beispiele für mögliche, künftige Bedrohungsszenarien im vernetzten, beziehungsweise autonomen Auto.

[Hinweis auf Bildergalerie: Diese Autos wurden 2015 gehackt] ^gal1

IT-Sicherheit im Auto: Bedrohungsszenarien beim Connected Car

Ransomware: Die Angriffe mit erpresserischem Schadcode¹¹ nehmen seit einiger Zeit deutlich zu. Fahrerlose Autos sind für diese Art der Bedrohung ein fast perfektes Ziel. Stellen Sie sich folgendes Szenario vor: Ein Hacker informiert den Eigentümer über das Display des Wagens, dass dieser gesperrt wurde und er ein Lösegeld zahlen muss, um die Kontrolle wieder zu erlangen. Während Laptops oder Tablets relativ einfach und - insofern Backups vorhanden sind - sogar ohne Schäden wiederhergestellt werden können, sieht das bei Autos anders aus. Der Eigentümer befindet sich vielleicht weit weg von zu Hause - die Ransomware kann natürlich so programmiert werden, dass sie erst anspringt, wenn sich das Fahrzeug in einer bestimmten Entfernung von seinem Heimatstandort befindet. Logischerweise hätten nur wenige Autohäuser Erfahrung mit der Lösung solcher Probleme und sehr wahrscheinlich wäre die Hilfe von Spezialisten vonnöten, um die betroffenen Komponenten zurückzusetzen. Auch ist zu erwarten, dass die Lösegeldsummen in diesen Fällen sehr hoch ausfallen (aber wahrscheinlich niedriger als die Reparaturkosten, sodass die Eigentümer lieber zahlen werden) und die Behebung des Problems recht langwierig sein wird.

Spyware: Ein noch attraktiveres Ziel für die Hacker könnte es aber sein, über ein Auto Daten über dessen Eigentümer zu sammeln. Bereits heute sammeln Autos riesige Datenmengen¹² und wissen viel über ihren Eigentümer - einschließlich der häufigsten Fahrziele, Routen, seiner Adresse, eventuell auch wo und wie er Dinge kauft, beziehungsweise bezahlt. Im Extremfall kennt das Auto der Zukunft auch die Personen, die mitfahren. Wenn ein Hacker weiß, dass sich jemand weit weg von seinem Zuhause befindet, kann er diese Informationen zum Beispiel an organisierte Einbrecherbanden verkaufen. Oder einfach die Anmeldedaten nutzen, um das Bankkonto des Autobesitzers leer zu räumen. Dieses Risiko besteht, weil fahrerlose und verbundene Fahrzeuge in der Zukunft sehr wahrscheinlich als Gateways für elektronische Transaktionen dienen werden, also auch für die automatische Bezahlung des morgendlichen Kaffees, der Parkgebühren oder Reparaturen. Wenn sensible Daten im Auto gespeichert werden, wird es zu einer weiteren Angriffsfläche für den Diebstahl persönlicher Daten¹³. Und da die RFID- und NFC-Chips¹⁴ auf immer mehr EC- und Kreditkarten Verwendung finden und zum Standard werden, besteht theoretisch auch die Möglichkeit, über ein Auto die Informationen auf diesen Karten und damit über den Fahrzeugeigentümer und seine Mitfahrer zu erfassen.

Last, but not least gibt es noch Rechts- und Authentizitätsbedenken: Kann man davon ausgehen, dass die Standortdaten eines Autos immer der Realität entsprechen? Das heißt: Wenn in den Aufzeichnungen Ihres Autos steht, dass Sie es geöffnet haben und um eine bestimmte Uhrzeit an einen bestimmten Ort gefahren sind - kann man dann wirklich davon ausgehen, dass alles so geschehen ist? Würden solche Daten auch vor Gericht bestehen? Oder können sie nicht auch manipuliert werden? Das ist ein Problem, dass unbedingt angegangen werden muss. Eine vergleichbare Problematik stellt Software von unterschiedlichen Providern dar. Wenn ein Auto sich von Netzwerk zu Netzwerk bewegt, stellt sich die Frage nach dem Verantwortlichen, nach demjenigen, der für Sicherheitsverletzungen und mögliche Verluste und Schäden haftet.? War es ein Softwarefehler? War es ein fahrlässig gemanagtes Netzwerk? War es ein Benutzerfehler oder war der Benutzer nicht ausreichend geschult?

[Hinweis auf Bildergalerie: Autodiebstahl im Connected-Car-Zeitalter] ^gal2

Wege zur ganzheitlichen Automobil-Sicherheit

Die Frage ist also: Wie können wir autonome Autos sicher machen? Der erste Schritt muss ein größeres Bewusstsein unter den Herstellern¹⁵ sein. Obwohl sie natürlich umfassende Erfahrung in der Fahrsicherheit von Autos haben, sollte man doch vernünftigerweise davon ausgehen, dass sie weniger über die dunklen Künste der Kompromittierung und Ausbeutung über das Internet wissen. Von einer engeren Zusammenarbeit mit der Internetsicherheitsindustrie würden daher alle profitieren. Das Automotive ISAC¹⁶ ist in diesem Bereich ein interessanter Vorreiter.

Ein weiterer Punkt ist, dass die zunehmende Technologisierung der Fahrzeuge, sei es für eine bessere Fahrerfahrung oder die Leistungssteigerung des Fahrzeugs, mit dem angemessenen Management der potenziellen Bedrohungen und Risiken einhergehen muss. Die Implementierung von geeigneten und effektiven Sicherheitstechnologien muss ein zwingendes Ziel sein, auch wenn es (noch) keine regulatorischen Anforderungen gibt.

Ein weitreichenderes Problem ist, dass immer mehr IoT-Geräte die handelsübliche Kommunikationsprogramme benutzen, über schlicht gar keine Sicherheitsmaßnahmen verfügen. Die direkte Folge dieses Umstands ist, dass eine besorgniserregende Anzahl an IoT-Geräten bis heute absolut unsicher ist¹⁷. Bei autonomen Autos müssen wir den Standard im Vergleich zu den aktuellen IoT-Geräten daher um etliche Level anheben. Gleichzeitig müssen die Hersteller mit ihren Technologielieferanten und Kommunikationsanbietern in allen Regionen, wo ihre Fahrzeuge verkauft werden sollen, zusammenarbeiten, um sicherzustellen, dass alle Netzwerkverbindungen zu den Fahrzeugen ausreichend gehärtet sind.

[Hinweis auf Bildergalerie: IT-Security in Connected Cars: Auto-Hacks 2015 im Video] ^gal3

Wo es neuen Ansätzen bedarf

Die Automobilsicherheit kann in drei unterschiedliche Bereiche unterteilt werden, die in einigen Fällen auf ähnlichen Techniken beruhen und in anderen ganz neue Ansätze benötigen:

1. Interne Kommunikation. Intelligente Fahrzeuge werden über mehrere unterschiedliche Systeme an Bord verfügen: ein Steuerungssystem, ein Unterhaltungssystem, ein Passagiernetzwerk und sogar Systeme von Dritten, die nach Bedarf von den Eigentümern heruntergeladen werden können. Diese Systeme müssen in einem gewissen Umfang miteinander kommunizieren, um die neuen Services zum Leben zu erwecken. Aber diese Kommunikation muss von Sicherheitssystemen wie Firewalls und Intrusion Prevention Systemen (IPS)¹⁸, die zwischen normalen und unbefugten Aktivitäten unterscheiden können, streng überwacht und gemanagt werden.

2. Externe Kommunikation. Viele, wenn nicht sogar alle Systeme an Bord, kommunizieren mit Services im Internet: für die Wartung durch den Hersteller, für Software-Updates, für den Internetzugriff der Passagiere, für Reise- und Fahranweisungen, für Service-Anfragen, für den Kauf von Artikeln oder ein Datenbackup. Diese externe Kommunikation wird sehr wahrscheinlich in beide Richtungen stattfinden. Das bedeutet auch, dass der Datenverkehr zu und vom Fahrzeug durch Firewalls und IPS-ähnliche Funktionen¹⁹ geprüft und gemanagt werden muss, damit Bedrohungen wie unbefugte, fehlerhafte oder rechtswidrige Kommunikationen entdeckt werden können.

3. Die Konnektivität der Fahrzeuge wird sehr wahrscheinlich auf gut etablierten Datennetzwerken wie 3G und 4G beruhen, wenn auch auf eine etwas andere Art. Obwohl diese mobilen Services bereits Milliarden Smartphones und anderen Geräten auf der gesamten Welt Zugang zum Internet bieten, ist ihr großer Nachteil ihre inkonsistente Sicherheit. Und mit intelligenten Fahrzeugen - mit und ohne Fahrer - wird bald viel mehr auf dem Spiel stehen. Ein Angriff auf oder über das mobile Netzwerk könnte gleichzeitig erhebliche sicherheitsrelevante Fehler²⁰ in Tausenden sich in Bewegung befindenden Fahrzeugen provozieren. Angesichts eines solchen Szenarios ist eine gründliche Überarbeitung der mobilen Netzwerke, die die kritische Konnektivität der Fahrzeuge bereitstellen werden, von höchster Priorität.

4. Schließlich müssen noch sichere Identitäts- und Zugriffssteuerungssysteme integriert werden, die speziell für Maschinen geeignet und designt sind. Mit ihrer Hilfe müssen die Fahrzeuge eingehende Verbindungen mit kritischen Systemen authentifizieren können. Internet-Services müssen die Fahrzeuge und die Informationen, die sie in die Cloud schicken sicher und unumstößlich authentifizieren²¹ können. (fm)

Links im Artikel:

Bildergalerien im Artikel:

Auto-Hacks 2015
Das Jahr 2015 ist das Jahr der Auto-Hacks. In den ersten acht Monaten des Jahres werden gleich sechs gravierende IT-Security-Schwachstellen in Fahrzeugen verschiedener Hersteller bekannt. Wir haben die aufsehenerregendsten - wissenschaftlich motivierten - Hackerangriffe auf Connected Cars für Sie in unserer Bildergalerie zusammengefasst.
Foto: welcomia - shutterstock.com

BMW "ConnectedDrive"
Der ADAC deckt Anfang des Jahres eine massive Sicherheitslücke innerhalb des BMW „Connected Drive“-Systems auf, über die sich Angreifer via Mobilfunknetz Zugang zum Fahrzeug verschaffen können. Das Problem wird schließlich per Software-Update behoben – weltweit sind über zwei Millionen Fahrzeuge quer durch alle Konzern-Marken und -Baureihen betroffen.
Foto: BMW AG

Jeep Cherokee
Enormes Medienecho verursacht im Mai 2015 der Remote-Hack eines Jeep Cherokee – bei voller Fahrt. Den Sicherheitsforschern Chris Valasek und Charlie Miller gelingt es, einen Jeep Cherokee über Funk fremdzusteuern. Das Infotainment-System im Fahrzeug dient den Security-Experten als Einfallstor – kurz darauf sind sie in der Lage, sämtliche Fahrfunktionen des SUV fremd zu steuern. Der Fiat-Chrysler-Konzern muss in der Folge in den USA circa 1,4 Millionen Fahrzeuge zu einem Software-Update in die Werkstätten rufen.
Foto: Fiat Chrysler Automobiles

General Motors "OnStar"
Hacker Samy Kamkar gelingt es, eine Schwachstelle im General-Motors-Infotainment-System „OnStar“ auszunutzen. Das System ermöglicht den Auto-Besitzern, ihr Fahrzeug per Smartphone zu öffnen und zu schließen. Mit Hilfe eines Toolkits fängt Kamkar die Kommunikation zwischen Smartphone und Automobil ab. So kann er nicht nur den Aufenthaltsort des Fahrzeugs bestimmen, sondern es auch nach Lust und Laune öffnen und schließen sowie den Motor aus der Ferne starten.
Foto: GM Company

Corvette-SMS-Hack
Die Sicherheitsforscher Karl Koscher und Ian Foster gelangen über manipulierte SMS-Nachrichten in das CAN-BUS-System einer Corvette. Als Zugangspunkt dient ihnen ein Telematik-System eines Kfz-Versicherers. So erhalten sie Zugriff auf essentielle Fahrsicherheits-Komponenten wie Bremsen, Gas und Lenkung. Das Telematik-System des US-Versicherers Metromile kommt in den USA unter anderem auch beim Fahrdienstleister Uber zum Einsatz. Metromile zufolge sind die Security-Löcher inzwischen gestopft.
Foto: GM Company

Der VW-Motorola-Hack
Bis zum August 2015 versucht der Volkswagen-Konzern - offensichtlich aus Angst vor Reputationsschäden - die Veröffentlichung von technischen Details zu einem Hack zu verhindern, der Wissenschaftlern der Universitäten Nijmegen und Birmingham bereits 2012 gelungen ist. Als Zugangspunkt dient den Forschern das Transponder-System einer Wegfahrsperre von Zulieferer Motorola. Nachdem sich Volkswagen außergerichtlich mit den Forschern einigt, werden die technischen Details auf der Usenix-Konferenz 2015 öffentlich gemacht.
Foto: Volkswagen AG

Tesla Model S
Der jüngste Auto-Hack-Fall in diesem Jahr betrifft das Tesla Model S. Die Security-Spezialisten Kevin Mahaffey und Marc Rogers wollen beweisen, dass auch Teslas Elektro-Limousine nicht unhackbar ist. Letztendlich finden die beiden tatsächlich einen Weg, Kontrolle über das Model S zu erlangen. Auf der Defcon-Konferenz 2015 präsentieren sie ihre Erkenntnisse. Fazit: Auch wenn der Hack des Tesla nur unter immensem Aufwand und über einen physischen Zugang zu den Systemen möglich war – unhackbar ist auch dieses Auto nicht. Immerhin erweist sich die Architektur der Tesla-Systeme laut Mahaffey und Rogers als „relativ sicher“ und „gut durchdacht“.
Foto: Tesla Motors

Car Cloning
Car Cloning bezeichnet eine fortgeschrittene Form des Autodiebstahls: Raffinierte Diebe versehen gestohlene Fahrzeuge mit gefälschten Identifikationsnummern, um diese quasi "unsichtbar" zu machen. Diese Methode wird in erster Linie bei Premium-Fahrzeugen angewandt, die anschließend einbringlich - und vor allem nicht nachverfolgbar - exportiert werden können. Die gestohlenen Fahrzeug-Identifikationsnummern können Hacker anschließend verwenden, um beispielsweise Fahrzeugbriefe zu manipulieren oder auch neue, gefälschte Dokumente zu erstellen, um die Identität weiterer, gestohlener Fahrzeuge zu verschleiern.
Foto: domino_dude - flickr.com

Ransomware
Ein immer ertragreicheres Geschäft für Hacker und Cyberkriminelle ist die Verbreitung von Ransomware. Diese verschlüsselt Datensätze und gibt diese erst gegen die Zahlung von Lösegeld wieder frei. Durch die immer weiter fortschreitende Vernetzung - und insbesondere die Nutzung von Fahrzeugen als WiFi-Hotspots - werden Szenarien in denen Hacker Autos lahmlegen um Bitcoins zu erpressen immer wahrscheinlicher.
Foto: Eric E. Castro - flickr.com

Scanner-Boxen
Wer Fahrzeuge mit einem sogenannten Keyless-Go-System knacken will, trägt heutzutage in der Regel eine solche Scanner-Box mit sich herum. Diese Devices greifen, einmal in entsprechende physische Nähe zum elektronischen Originalschlüssel gebracht, dessen Daten ab. So verschaffen sich Diebe ganz einfach per Knopfdruck Zugang und können anschließend auch gleich den Motor starten.
Foto: National Insurance Crime Bureau

Organisierte Kriminalität
Viele Autodiebe sind heutzutage Teil der organisierten Kriminalität. Professionelle Diesbesbanden nehmen vornehmlich Premium- und Luxusfahrzeuge ins Visier und verfügen über vielfältige Ressourcen, um beispielsweise Smart Keys zu kopieren oder zu stehlen. Auch die Nutzung falscher, beziehungsweise gestohlener Identitäten zur illegalen Beschaffung von Fahrzeugen steht bei Kriminellen hoch im Kurs.
Foto: Michael Reiss - flickr.com

Remote Hacking
Diverse Auto-Hacks haben es im Jahr 2015 in die Schlagzeilen geschafft - allen voran der ferngesteuerte Zugriff auf einen fahrenden Jeep Cherokee. Die wesentliche Schwachstelle stellt in den meisten Fällen dieser Remote-Hacks die Verbindung der Fahrzeuge zu drahtlosen Netzwerken dar. Die meisten modernen Modelle mit eingebauten Navigationssystemen nutzen drahtlose Telekommunikationsnetzwerke für Features wie Navigations-Guides oder ähnliches. Deshalb ist auch eine große Zahl moderner Autos anfällig für mehr oder weniger schwerwiegende Remote-Cyberattacken.
Foto: The NRMA - flickr.com

Identitätsdiebstahl
Aktuelle Fahrzeuge sammeln mehr persönliche Daten als je zuvor. Dadurch nimmt auch die Bedrohung durch Identitätsdiebstahl zu. Denn Kriminelle nehmen nicht nur Ihr Fahrzeug, sondern auch Ihre Daten ins Visier. Die könnten zum Beispiel für Bewegungsprofile, die Erschleichung von Kreditkarten-Informationen oder sonstige missbräuchliche Zwecke verwendet werden. Ganz zu schweigen von den Login-Daten für zahlreiche Online-Accounts.
Foto: pexels

Jeep Cherokee: Willenlos und ferngesteuert

BMW "ConnectedDrive": Auto hacken leicht gemacht

General Motors "OnStar": Das Infotainment-Einfallstor

Corvette: Sportwagen-SMS-Hacking

Volkswagen: Das Tauziehen um den Motorola-Wegfahrsperren-Hack
https://www.usenix.org/sites/default/files/sec15_supplement.pdf

Tesla Model S: Nichts ist unmöglich