Auch vernetzte Fahrzeuge sind Angriffsziele von Hackern und bedürfen solider Schutzmechanismen und Autonomous Security.

Auch vernetzte Fahrzeuge sind Angriffsziele von Hackern und bedürfen spezieller Schutzmechanismen. (Bild: Shutterstock)

Berichte über Schwachstellen in der Automobil-Software nehmen zu. Schon kleinste Fehler im Code sorgen dafür, dass die vernetzten und autonomen Autos anfällig für Cyber-Angriffe sind. Besonders extern vernetzte elektronische Steuergeräte (ECUs) wie Gateways, Telematik- oder Infotainment-Systeme stellen eine potentielle Bedrohung dar – auch für Hersteller, die derzeit verfügbare Cyber-Sicherheits-Lösungen voll ausschöpfen. Der Grund: Sie bedenken nicht, dass Sicherheitskonzepte für IT-Systeme nicht direkt auf die Sicherheit in Fahrzeugen übertragbar sind.

Schwachstellen in der Steuergeräte-Software

Vor wenigen Monaten inszenierten White Hat Hacker – also Hacker ohne negative Absichten – einen Angriff auf das Infotainment-System eines Fahrzeugs eines großen Automobilherstellers. Dabei gelang es ihnen, über eine In-Memory-Schwachstelle im Code des Steuergerätes, in das Fahrzeug einzudringen. Über diesen Angriffsvektor konnten die Hacker ein legitimes Steuergerät im Fahrzeugnetzwerk nachahmen und auf diese Weise Befehle an sicherheitskritische Systeme wie Airbags, Fahrzeugsteuerung oder den Antrieb senden. Ein Angriff auf diese Komponenten gehört zu den bedrohlichsten Szenarien, da es den Hackern ermöglicht, Einstellungen so zu modifizieren, dass sie die Kontrolle übernehmen und gefährliche Befehle ausführen können.

Aufgrund Dutzender solcher Schwachstellen in der Software moderner Steuergeräte ist es aktuell noch relativ leicht für Angreifer, sich Zugriff auf das Bordnetz eines Fahrzeugs zu verschaffen. Existierenden Sicherheitslösungen für Fahrzeuge gelingt es noch nicht, solche Angriffe zu verhindern. Der Grund dafür ist, dass die Automobilindustrie bestehende Sicherheitslösungen für IT-Systeme wie Server-Netzwerke im Unternehmensumfeld als Basis für eigene Lösungen heranzieht. Diese nutzen Machine Learning zur Malware-Identifizierung, sind abhängig von Sicherheits-Updates und veranstalten Hackathons und Wettbewerbe mit White-Hat-Hackern, um kriminellen Hackern zuvorzukommen.

Eckdaten

Die Architektur des umfangreichen Bord-Datennetzwerkes von vernetzten und auch autonomen Fahrzeugen benötigt ganz andere Schutzmaßnahmen als herkömmliche IT-Netzwerke. Mit der Carwall bietet Karamba Security eine einfach zu integrierende Sicherheitslösung, die nach dem Autonomous-Security-Ansatz ECU-Software verriegelt und für eine authentifizierende Kommunikation sorgt  – auch ohne permanente Internetanbindung.

Neue Schutzmechanismen speziell für Fahrzeuge

Diese Vorgehensweise basiert vermutlich auf dem weit verbreiteten Annahme, das Auto sei ein selbstfahrendes Computersystem und ist demnach auch in Sicherheitsfragen wie ein solches zu behandeln. Allerdings unterscheidet sich die Architektur von vernetzten und auch autonomen Fahrzeugen grundsätzlich von der eines Rechenzentrums oder eines Computers. Auch die Konsequenzen eines Hacker-Angriffs unterscheiden sich massiv. Zwar bedeutet der Verlust von Daten häufig hohe finanzielle Verluste für Unternehmen, allerdings sind zu keiner Zeit Menschenleben bedroht. Bei Angriffen auf Autos jedoch ist dies der Fall. Folglich müssen Fahrzeuge anders geschützt werden als Rechenzentren.

Erst einmal benötigen vernetzte Fahrzeuge wie Rechenzentren auch regelmäßige Updates, um vor neuen Gefahren sicher zu sein. Autos sind allerdings nicht permanent mit dem Internet verbunden. Deswegen braucht es neue Lösungen, die Updates auf ein Minimum reduzieren oder ganz darauf verzichten können.

Des Weiteren dreht es sich in IT-Security-Debatte überwiegend um heuristische Intrusion-Detection-Systeme (IDS). Diese bewerten anhand statistischer Daten, ob ein Zugriff auf ein Steuergerät legitim ist oder nicht. Sollte ein nicht legitimer Zugriff erkannt werden, wird bei dieser Vorgehensweise eine Benachrichtigung mit Handlungsaufforderung gesendet. Hier ergeben sich zwei Probleme. Im Auto müssten diese Systeme automatisch und in Echtzeit funktionieren, Zeit für die Behebung von Angriffen gibt es nicht. Außerdem besteht die Chance, dass IDS Fehlalarme verursachen. Auch die darf es in Fahrzeugen nicht geben.

Letztlich sind auch Bandbreite, Speicherkapazität und Rechenleistung der Fahrzeugsysteme sehr begrenzt. Für zusätzliche IDS oder komplexe kryptographische Methoden fehlt sowohl die Rechenleistung als auch die Internetverbindung.

Lesen Sie auf der nächsten Seite: Sicherheitsrisiken ohne Upates in den Griff bekommen.

Neuere Fahrzeuge mit einem umfangreichen Bord-Datennetzwerk müssen auch ohne permanente Internetanbindung Hacker-Angriffe mit Autonomous Security wirksam abwehren.

Neuere Fahrzeuge mit einem umfangreichen Bord-Datennetzwerk müssen auch ohne permanente Internetanbindung Hacker-Angriffe wirksam abwehren. Karamba

So sicher wie in den Stein gemeißelt

Die aufgeführten Gründe legen nahe, bei den Schutzmaßnahmen von Fahrzeugen einen anderern Weg einzuschlagen. Im Idealfall werden ECUs im sicherheitsrelevanten Bordnetzwerk von Beginn an versiegelt, um nicht von der Behebung von Programmfehlern abhängig zu sein. Ein Ansatz, der dieser Idee folgt, nennt sich Autonomous Security. Hierbei werden die ECUs hinsichtlich der Werkseinstellungen versiegelt und damit gleich mehrere Schichten wie das Disk-Level, die Netzwerkebene und die Speicherlogik erreicht. Bei dieser Methode, wie sie auch Karamba Security verfolgt, geschieht die Validierung deterministisch und basiert nicht auf Statistiken. Die Steuergeräte sind deshalb nicht von Fehlalarmen gefährdet, da jede Abweichung von den Werkseinstellung automatisch als Angriff gilt und nicht erst kontrolliert werden muss.

Eine andere Herausforderung bei der Absicherung von Fahrzeugen resultiert aus ihrem Entwicklungsprozess. Mit zunehmend komplexer werdenden Automobilsystemen müssen sich Hersteller immer mehr auf Software von Drittanbietern verlassen. Komponenten wie Bluetooth, USB, Ethernet und ganze Betriebssysteme wie Linux oder QNX werden nicht von den Herstellern selbst entwickelt, sondern eingekauft. All diese Systeme sind extern über zugewiesene Speicher vernetzt und sind deshalb anfällig für In-Memory-Zugriffe und insbesondere für Zero-Day-Exploits (ZETA).

Hersteller dieser Software benötigen in den meisten Fällen viel Zeit, um die Lücken zu schließen, sodass die Gefahr einer mehrfachen Ausnutzung hoch ist. Während typische Fehler der Vergangenheit wie hartcodierte Passwörter oder offene Ports mittlerweile relativ schnell behoben sind, bergen Schwachstellen in der Software-Logik ein hohes Risiko, da sie häufig auch von den besten Code-Scanning-Lösungen nicht erkannt werden.

Sicherheitsrisiken ohne Updates in den Griff bekommen

Wie viele Schwachstellen im Sicherheitssystem eines Fahrzeuges lauern, hat der Angriff des chinesischen Tencent Keen Security Lab gezeigt. Im Mai fanden sie 14 mögliche Schlupflöcher in einem Modell eines großen Automobilherstellers. Forscher von Keen Labs fanden diese Schwachstellen im Protokoll-Stack (Bluetooth, Wi-Fi, OBD-II). Dieses Stack ist äußerst sicherheitskritisch und ermöglicht es, die ECU fernzusteuern. Gelingt dieses, können Hacker die Kontrolle über das gesamte Fahrzeug erlangen. In bestimmten Fällen kann das sogar eine ganze Fahrzeugflotte betreffen.

Sicherheitskritische Softwarefehler lassen sich gegenwärtig mittels Patch anhand von Over-the-air-Updates schließen. Dafür ist eine Internetverbindung notwendig, die im Auto nicht immer besteht. Deswegen sollten Security-Lösungen für Fahrzeuge idealerweise ohne kontinuierliche Sicherheits-Updates auskommen und trotzdem jederzeit vor Bedrohungen schützen. Dies gelingt mit einer deterministischen Lösung, die präventiv funktioniert und die ECUs hinsichtlich ihrer Werkseinstellungen versiegelt und keine anderen Modifizierungen zulässt. Vorteilhafterweise ist die Auswirkung auf die Performance des Bordnetzwerks vernachlässigbar gering. Auch erleichtert eine gekapselte Firmware die Integration in bestehende und zukünftige Chips.

Lesen Sie auf der nächsten Seite, warum Gateways allein nicht sicher genug sind.

Schutzmechanismen, wie die Carwall folgt dem Autonomous-Security-Ansatz; sie verriegelt die ECU-Software und sorgt für eine authentifizierende Kommunikation mit Autonomous Security.

Schutzmechanismen, wie die Carwall folgt dem Autonomous-Security-Ansatz; sie verriegelt die ECU-Software und sorgt für eine authentifizierende Kommunikation. Karamba

Gateways allein sind nicht sicher genug

Um sicherheitskritische ECUs von anderen Steuergeräten im Fahrzeug zu separieren, kommen häufig Gateways zur Anwendung. Die Forschung zeigt allerdings, dass diese ihren Zweck nur bedingt erfüllen. Ein Gateway separiert zwar auf den ersten Blick extern verbundene ECUs von sicherheitsrelevanten ECUs, trotzdem muss es einige Befehle von extern vernetzten ECUs zu sicherheitskritischen Systemen durchlassen. So zum Beispiel, um Diagnose-Services zu unterstützen, Funktionen wie den Einpark-Assistenten oder das Laden von Elektroautos zu ermöglichen.

Darüber hinaus sind Gateways selbst kleine ECUs und damit selbst potenzielle Hacker-Angriffsziele. Auch wenn im oben erläuterten Fall ein Gateway keine Rolle spielte, um auf das Fahrzeug zuzugreifen, stellt es doch einen ernstzunehmenden Angriffsvektor dar. Cloud-basierte, kontinuierliche Updates oder IDS können Gateways nämlich nicht effektiv schützen. Lösungen, die dem Autonomous-Security-Ansatz folgen, jedoch schon, da sie die ECUs versiegeln und die Kommunikation zwischen ihnen authentifizieren.

Einfache Integration ohne Redesign

Der Autonomous-Security-Ansatz kann seine Wirkung nur entfalten, wenn er ein fester Bestandteil der in der Automobilelektronik eingesetzten Software wird. Für dessen Integration braucht es keine neuen Schnittstellen im Fahrzeug, lediglich wichtige neuralgische Punkte sind zu spezifizieren. Folglich ist kein separates Entwicklungsteam notwendig. Das macht es leicht, Lösungen wie die Karambas Carwall zu integrieren. Der patentierte Carwall-Algorithmus ist in den Software-Speicher des Steuergerätes eingebettet und generiert automatisch eine Sicherheits-Policy. Carwall ist mit den meisten Steuergeräten kompatibel und unterstützt weit verbreitete Prozessoren wie ARM und Intel sowie die gängigsten Betriebssysteme wie Linux, QNX und Autosar. Produktion und Taktzeit bleiben von dieser Sicherheitsintegration unbeeinflusst.

Autonome Fahrzeuge können sich nur auf den Straßen etablieren und das Vertrauen von Konsumenten gewinnen, wenn sich sicherheitskritische Angriffe zuverlässig verhindern lassen. Der einzig effektive Weg, Hacker daran zu hindern, in die sicherheitsrelevanten Systeme eines Fahrzeugs vorzudringen, besteht darin, elektronische Steuergeräte gemäß ihrer Werkseinstellungen zu versiegeln und das Verhalten der Software zu kontrollieren, um so die volle Funktionalität in Echtzeit aufrechtzuerhalten. Dieser Ansatz ermöglicht es Automobilherstellern, moderne, zukunftsweisende Technologien in Fahrzeugen zu ergänzen, ohne das Vertrauen ihrer Kunden zu verlieren.

Assaf Harel

CTO von Karamba Security

(jwa)

Sie möchten gerne weiterlesen?