Waren ältere Fahrzeuge geschlossene Systeme, die es höchstens erlaubten, über den On-Board-Diagnose-Stecker (OBD) auf deren Elektroniksysteme zuzugreifen, stehen in modernen Autos eine ganze Menge Schnittstellen zur Verfügung, die es ermöglichen, das System zu kompromittieren. Schnittstellen digitaler Speichermedien wie CD, USB oder MMC bieten die Möglichkeit, ungeschützte Systeme zu manipulieren oder sensible sowie lizenzgeschützte Daten zu entwenden. Bei hardware-gebundenen Schnittstellen muss der Angreifer dazu zumindest Zugriff auf den Innenraum des Fahrzeugs haben.

Sicherheit ist im vernetzten Fahrzeug ein Muss.

Sicherheit ist im vernetzten Fahrzeug ein Muss. Texas Instruments

Eine weitaus größere Angriffsfläche bieten jedoch alle drahtlosen Schnittstellen, wie zum Beispiel Bluetooth, WLAN, LTE oder UMTS sowie das Internet, da sie dem Hacker den Zugriff von außen gewähren. Verfügt das Fahrzeug über einen Internetzugang, lässt sich theoretisch von jedem Internetanschluss der Welt auf ein individuelles Fahrzeug zugreifen. Die Türen dazu öffnet in erster Linie das Infotainment-System. Weil darin auch Telefonfunktionen und Anbindungen zu Smartphones integriert sind, gelangt ein Hacker zu vielen sensiblen Informationen wie Telefonnummern, Adressen und weiteren privaten Daten. Zudem ermöglichen ihm fahrzeuginterne Netzwerke wie CAN, Flexray oder Ethernet Zugriff auf alle vernetzten internen Steuergeräte.

Hier lauern die Gefahren

Doch wie groß ist die Motivation für Hacker, in ein Fahrzeugnetzwerk einzudringen und Daten zu manipulieren oder gar zu stehlen? Beispiele zum Hack von Fahrzeugen haben in der nahen Vergangenheit gezeigt, dass es relativ einfach ist, Fahrzeuge etwa über den CAN-Bus zu manipulieren. Zwar kann dies aufwendig sein und für den Hacker keinen großen Nutzen bringen, aber es zeigt dennoch, welche Gefahr prinzipiell besteht.

Viel lukrativer ist es, private Daten und Lizenzinformationen von Software, Medien und Navigationskarten zu stehlen. Lizensierte Software soll üblicherweise nur auf einem einzigen Steuergerät freigeschaltet sein. Steht kein Manipulationsschutz zur Verfügung, lässt sich das Programm jedoch leicht auf einem anderen Infotainmentsystem installieren und betreiben. Deshalb ist es auch wichtig, teure Komponenten an ein Fahrzeug zu binden, denn nur allzu häufig erfolgt der Diebstahl von Infotainment-Einheiten aus Fahrzeugen, um diese dann in anderen Ländern als Ersatzteile zu verkaufen. Es gilt somit, sicherzustellen, dass sich gestohlene Komponenten nicht in anderen Fahrzeugen verwenden lassen. Nicht selten manipulieren Kriminelle auch Tachometerdaten, um ein gebrauchtes Auto teurer verkaufen zu können. Auch hier ist es entscheidend, entsprechende Mechanismen im System vorzusehen, um eine einfache Manipulation zu verhindern.

Bild 1: Die zahlreichen Schnittstellen des Infotainment-Systems bieten Hackern die größte Angriffsfläche.

Bild 1: Die zahlreichen Schnittstellen des Infotainment-Systems bieten Hackern die größte Angriffsfläche. Texas Instruments

In Zukunft gewinnen Car-to-x und Car-to-Car-Systeme immer mehr an Bedeutung. Diese Systeme sind in Entwicklung, laufen bereits testweise in Pilotversuchen und sind ein weiterer Meilenstein zum autonomen Fahren. Sämtliche Fahrzeuge sind mit einer Wi-Fi-Verbindung nach dem Standard 802.11p ausgestattet, welche die Kommunikation mit anderen Fahrzeugen beziehungsweise mit Sende- und Empfangsstellen entlang der Straße, sogenannten Road Side Units (RSU), herstellt.

Die Fahrzeuge liefern Safety-Messages wie zum Beispiel Daten zur Fahrzeuggeschwindigkeit sowie zu Beschleunigungs- und Bremsvorgängen an andere Fahrzeuge oder Empfangspunkte nahe der Straße. Mithilfe dieser Informationen besteht die Möglichkeit, im Falle einer Notbremsung die Fahrer anderer Fahrzeuge im Umfeld zu warnen. Auch lassen sich Verkehrsflüsse ermitteln, Stauinfos generieren, Ampeln steuern oder auf weitere Gefahren wie fahrbare Baustellen oder Glatteis hinweisen.

Um sicherzustellen, dass nur Daten von authentischen Quellen in Umlauf geraten, gilt es, diese Systeme auf jeden Fall zu authentifizieren. Gelingt es Angreifern jedoch, auf die Car-to-x-Systeme zuzugreifen, könnten sie gezielt einzelne Fahrer oder ganze Gemeinden und Städte durch provozierte Unfälle erpressen oder bewusst das Verkehrssystem lahmlegen. Staus ließen sich künstlich erzeugen oder Fahrzeugpositionen überwachen, um die generierten Daten für kriminelle Zwecke zu verwenden.

Bezahlfunktionen

Die Funktionsblöcke des DRA756 enthalten auch Security-Elemente.

Die Funktionsblöcke des DRA756 enthalten auch Security-Elemente. Texas Instruments

Auch elektronische Bezahlfunktionen nehmen immer weiter zu und machen vor dem Kfz nicht halt. Mehrere Smartphone-Hersteller bieten inzwischen das Bezahlen über NFC-Schnittstellen an, etwa beim Tanken oder beim Begleichen der Autobahnmaut. Im Fahrzeug wäre es denkbar, bestimmte Funktionen auf Zeit freizuschalten, etwa besondere Komfortmerkmale. Hierzu ließen sich die NFC- und Internet-Schnittstelle des Infotainment-Systems nutzen. Folglich ist auch hier ein ausreichender Schutz gegen Datenklau und -manipulation erforderlich.

Ein weiterer Aspekt existiert im Zusammenhang mit dem Laden von Elektrofahrzeugen. Meist bietet sich eine Direktabrechnung der Energie von der Ladesäule über die Stromrechnung an. Dazu ist es erforderlich, das Fahrzeug und den Nutzer sicher zu identifizieren, und die Verbrauchsdaten dürfen keine Möglichkeit zur Manipulation bieten. Diese Informationen lassen sich direkt beim Anschließen des Ladekabels austauschen, ohne dass der Nutzer weitere Schritte unternehmen muss.

Schwachpunkt Infotainment-System

Wie kann man nun die Elektronik-Infrastruktur eines Fahrzeugs gegen unerwünschte Manipulationen und Datenklau schützen? Die zentralen Schnittstellen zum Zugriff auf die Elektronik-Infrastruktur im Fahrzeug liegen im Infotainment-System. Dieses enthält ein Betriebssystem und nach einem Reset ist wie bei PCs ein Boot-Vorgang erforderlich. Wird der Boot-Vorgang nicht authentifiziert, lässt sich ein solches System leicht mit einer anderen manipulierten Boot-Software starten, wodurch der Angreifer Zugriff auf die gesamte Systeminfrastruktur erhält.

Eckdaten

Texas Instruments hat die ARM-Trust-Zone der beiden Cortex A15-Kerne mit einer Sicherheits-Infrastruktur ausgestattet. Diese stellt sowohl einen sicheren Bereich mit ROM und RAM bereit, als auch den Zugriff zu den Sicherheits-Hardware-Modulen und den symmetrischen sowie asymmetrischen Schlüsseln. Die komplette Hardwareinfrastruktur inklusive Software-Komponenten ermöglicht es, Infotainment-Systeme sowie Gateways nach heutigem Stand der Technik gegen ungewollte Zugriffe von außen zu schützen.

Eine weitere, leicht zugängliche Schnittstelle im System ist die Debugging-Schnittstelle (JTAG), die zu Test- und Debugging-Zwecken zum Einsatz kommt und gleichzeitig Zugang zum SoC (System on Chip) ermöglicht. Bleibt diese Schnittstelle offen, hat der Hacker leichtes Spiel, in das System einzudringen.

Die dritte Möglichkeit, sich von außen Zugang zum System zu verschaffen, bezieht sich auf die verfügbaren Hardware-Interfaces oder Drahtlosschnittstellen. Eine installierte Malware kann das Betriebssystem kompromittieren und gezielt auf Bereiche des Prozessors zugreifen. Sensitive Daten lassen sich dort direkt kopieren oder auch eine Schadsoftware installieren, welche diese Aufgaben übernimmt. Eine vielfach kompromittierte Schnittstelle im Zusammenhang mit dem Infotainment-System ist die CAN-Schnittstelle. Es gibt hier vielfältige Werkzeuge am Markt, um CAN-Daten zu analysieren, solange diese im Klartext zur Verfügung stehen. Eine AES-Verschlüsselung kann Abhilfe schaffen, deckt aber noch nicht den Punkt ab, dass Daten aufgezeichnet und später mit Zeitversatz wieder abgespielt werden. Hierzu müssen die verschlüsselten Daten noch zusätzlich eine zeitliche Referenz erhalten.

Drei Wege zum Schutz

Es gibt drei Grundprinzipien, elektronische Systeme und Daten gegen ungewollte Zugriffe zu schützen: die Authentisierung, die Integritätsprüfung und die Verschlüsselung. Authentisierung bedeutet, dass sich nur vom Ersteller signierte Software auf einem Gerät ausführen lässt.

Integrität sagt aus, dass eine Software unverändert ist, um das System darüber zu informieren, dass Programmteile weder weggelassen, noch hinzugefügt, noch modifiziert wurden. Die Verschlüsselung sorgt dafür, dass die Daten für jemanden, der nicht im Besitz des passenden Schlüssels ist, unleserlich sind. Diese drei Grundlagen kommen bei Infotainment-Systemen zur Anwendung.

Für gewöhnlich sichern Hersteller Infotainment-Systeme über ein asymmetrisches Sicherheitsverfahren ab. Dazu speichert das SoC auf dem Chip einen öffentlichen Schlüssel, der die Grundlage für sicherheitsrelevante Aktionen bildet. Lediglich Programme, die mit dem zugehörigen privaten Schlüssel signiert sind, lassen sich auf dem Gerät ausführen. Neben der Authentitätsprüfung ist es möglich, die Vollständigkeit der Programme zu überwachen oder festzustellen, ob es zu einer Veränderung der Programme kam.

Der JTAG-Zugang lässt sich während der Entwicklungsphase nutzen, ist bei der Produktion aber komplett gesperrt. Bereits in der Entwicklungsphase können Entwicklergruppen nur Rechte für jene Bereiche und Zugriffe erteilt werden, die zum Entwickeln der entsprechenden Programme notwendig sind. In den sicheren Bereich eines Mikrocontrollers gelangt man nur über dessen Betriebssystem – und zwar mithilfe eines speziell definierten Software Application Interface (API). In dieser ARM-Trust-Zone werden alle sicherheitsrelevanten Aufgaben ausgeführt.

Heutige hochintegrierte SoCs, wie beispielsweise die DRA7XX-SoC-Familie von Texas Instruments, gibt es in zwei Varianten: einer General-Purpose- (GP) und einer High-Security-Variante (HS). Die HS-Varianten zeichnen sich durch eine komplette Sicherheits-Infrastruktur aus, die sämtliche der beschriebenen Anforderungen erfüllt. Hardwarebeschleuniger wie etwa AES (Advanced Encryption Standard), RNG (Random Number Generator) oder PKA (Public Key Accelerator) unterstützen die Ver- und Entschlüsselungsaufgaben, um die CPU-Kerne für andere Aufgaben zur Verfügung zu haben.

Ausblick

Ähnlich wie aus der Anforderung heraus über Jahre die Norm ISO26262 für die integrierte Sicherheit entstanden ist, wird sich in absehbarer Zeit eine Norm für die Cybersicherheit in Kraftfahrzeugen etablieren. Erste Ansätze zeichnen sich bereits mit der Definition Secure Hardware Extention (SHE) und EVITA (E-Safety vehicle intrusion protected applications) ab. Insbesondere das vernetzte Fahrzeug, die Car-to-x-Aktivitäten und das autonome Fahren werden dazu beitragen, dass das Thema Sicherheit einen hohen Stellenwert in Automotive E/E-Systemen bekommt