Safecan geht ein generelles Problem an, denn das Auto wird zum mobilen Lebensraum, und die Autofahrer werden ihr Fahrzeug künftig wie ein persönliches Mobilgerät nutzen: mit personalisierten Apps sowie mit Datenaustausch über Internet und die Cloud. Doch Cybersicherheit im Bordnetz zu realisieren, stellt die Autoindustrie vor große Herausforderungen, denn dabei gilt es, dass sie Sicherheitskonzepte für moderne Kommunikation umzusetzen – auf einem System, dessen Ressourcen ursprünglich nicht dafür ausgelegt sind.

Safecan ermöglicht gesicherte Kommunikation ohne erhöhte Netzwerkbelastung.

Safecan ermöglicht gesicherte Kommunikation ohne erhöhte Netzwerkbelastung. Karamba Security

Auch wenn man sich derzeit bei der Entwicklung vernetzter Fahrzeuge auf die Abwehr physischer Hacks und von Angriffen über OTA-Updates (Over the Air) konzentrieren sollte, so wird das alleine nicht ausreichen. Die kryptografische Absicherung der Luftschnittstelle bedeutet schlicht, dass die Sicherheit am Eingang zum Bordnetz aufhört. So bleiben Steuergeräte und Bussysteme angreifbar – vor allem Telematik- oder Infotainmentsteuergeräte, die über viele drahtlose Schnittstellen mit der Außenwelt kommunizieren. Da die Fahrzeugbussysteme über keinerlei Authentifizierung verfügen, können sich Angriffe, sofern sie einmal ins System gelangt sind, auch auf sicherheitsrelevante Funktionen auswirken.

Das Bienenstock-Prinzip: Kommt die Wespe am Wächter vorbei, hat sie freie Bahn

Beispielsweise können Angriffe über OTA-Updates oder über Dongles von Drittanbietern auf das Fahrzeug gesendet werden. So gelang es Forschern der California University im Jahr 2015, die Telematik-Steuereinheit (TCU) zu kompromittieren, die an den OBD-II-Diagnoseport angeschlossen ist. Damit zeigten sie, wie Automobile aus beliebiger Entfernung über SMS oder das Internet ferngesteuert werden können. Sie benutzten dazu einen OBD-II-Dongle, den Versicherungsgesellschaften und LKW-Flotten verwenden, um die Position, Geschwindigkeit und Effizienz von Fahrzeugen zu überwachen. Durch das Versenden sorgfältig gestalteter SMS-Nachrichten an einen dieser Dongles gelang es ihnen, Bremsbefehle an den CAN-Bus des Autos zu senden, während das Auto in Bewegung war, wodurch es zum Stillstand kam. Während dieser Angriffe verkörperte der virusinfizierte Dongle andere zertifizierte Geräte. Warum dieses „alte“ Beispiel? Weil genau das auch heute noch möglich ist! Verschiedene ähnlich gestaltete Angriffe auf Pkws im Jahre 2017 belegen das.

Eckdaten

Auf dem CAN-Bus laufen die meisten Safety-relevanten Informationen und Steuerbefehle zusammen. Weil der CAN-Bus bereits in punkto Datenrate ziemlich am Limit arbeitet, lassen sich zusätzliche Security-Funktionalitäten nicht so einfach ergänzen. Mit Safecan lässt lässt sich der CAN-Bus verschlüsseln, ohne die Datenrate nennenswert zu erhöhen.

Die gesendeten oder eingespeisten Informationen können ganz unkritisch erscheinen, wie zum Beispiel ein falscher Ort, die falsche Umdrehungszahl pro Minute oder die Tageszeit, aber sie können bereits Schaden anrichten. Zum Beispiel gibt es in modernen Fahrzeugen einen Schutzmechanismus, der Software-Updates nur nachts zulässt, weil das Steuergerät nach jedem Update neu starten muss. Wenn jemand die falsche Tageszeit über das CAN-Netzwerk senden kann, kann er dem System vortäuschen, es wäre Nacht, und das Update startet. Wenn das während der Fahrt erfolgt, kann das lebensgefährlich werden.

Ein anderes Beispiel: Fahrzeuge mit automatischer Parkfunktion verfügen über einen Schutzmechanismus, der den automatischen Einpark-Assistenten nur starten lässt, wenn das Auto stillsteht. Das Fahrzeug „weiß“ das anhand der Motordrehzahl. Nun könnte man diese Information dadurch kompromittieren, dass man über ein OTA-Update oder über eine andere Schnittstelle eine falsche Information ins CAN-Netzwerk einspeist und den Selbstparkmechanismus startet. Wenn das während der Fahrt passiert, ist ein Unfall zu 100 Prozent vorprogrammiert.

Das Problem: Begrenzte Ressourcen und ein gesättigtes Bordnetz

Eine gängige Lösung, mit der man versucht, Bussysteme gegen derartige Angriffe abzuschirmen, ist die sogenannte CAN-Message-Authentifizierung. Dabei erzeugt die Absender-ECU beim Senden einer CAN-Botschaft eine digitale Signatur, die sie zusätzlich zur Originalnachricht versendet. Das Empfänger-Steuergerät identifiziert diese Signatur und vergleicht sie, um die Authentizität einer Nachricht zu beweisen. Allerdings lässt sich diese Lösung nicht flächendeckend üernehmen, weil im CAN-Bus schlicht zu wenig Bandbreite zur Verfügung steht: Theoretisch beträgt die Höchstgeschwindigkeit des CAN-Busses 1 Mbit/s. In der Praxis jedoch liegt die Übertragungsrate bei höchstens 500 Kbit/s oder sogar darunter. Das offensichtliche Problem: Eine zusätzlich hinzugefügte kryptografische Signatur würde zu einer hundertprozentigen Auslastung des Busses führen, und das ist in der Praxis nicht realisierbar, weil die Bandbreiten, Speicherkapazitäten und Verfügbarkeiten des Bordnetzes sehr begrenzt sind. Für zusätzliche traditionelle Authentifizierungsmechanismen oder aufwendige kryptografische Methoden steht weder die Konnektivität noch die Bandbreite zur Verfügung.

Gezielte Authentifizierung von Anfang an

Karamba Security hat eine Technologie patentieren lassen, die Nachrichten im sicherheitsrelevanten Bordnetz von Anfang an authentifiziert. Im CAN-Netzwerk bleibt hier nichts anderes übrig, als die aktuell sehr begrenzten Bandbreiten zu berücksichtigen. Das bedeutet, dass die verschlüsselten Nachrichten weder größer werden dürfen als die ursprünglichen, unverschlüsselten Nachrichten, noch mehr Speicherplatz oder Bandbreite verbrauchen drüfen. Safecan (Eigenschreibweise: SafeCAN) von Karamba Security ersetzt die Originalnachricht durch eine verschlüsselte Nachricht gleicher Größe. Anstatt zu signieren und Daten hinzuzufügen, authentifiziert die Software die Nachrichten also von Anfang an, indem sie Block-Chiffren anwendet und vorhandene Daten-Bytes ersetzt. Um Bandbreite zu sparen, kommt zur Verschlüsselung ein leichtgewichtiger Algorithmus mit 1000 CPU-Zyklen pro einer 8-Byte CAN-Nachricht zum Einsatz. Damit bewegt sich auch der Rechenaufwand für die Ver- und Entschlüsselung (Latenzzeit) im Bereich von weniger als 10 Mikrosekunden pro 8-Byte-Nachricht.

Bild 1: Safecan verschlüsselt Befehle direkt. Die Nachrichten behalten ihre ursprüngliche Größe. So wird der CAN-Bus nicht überlastet.

Bild 1: Safecan verschlüsselt Befehle direkt. Die Nachrichten behalten ihre ursprüngliche Größe. So wird der CAN-Bus nicht überlastet. Karamba Security

Da Safecan dem Prinzip „Security by Design“ folgt, wird die Lösung im Produktionsprozess bereits integriert und in die Systeme eingebettet. Der ECU-Zulieferer integriert die Software-Bibliothek nahtlos im Flash-Speicher seines Steuergeräts, und der OEM bindet die Schlüssel in die Produktion und Integration ein. Bei der Serienimplementierung sind keine Redesigns oder Investitionen in neues Fertigungsmaterial oder -prozesse notwendig.

Safecan aus Sicht der Fahrzeugproduktion

Die Erstellung der kryptografischen Master-Schlüssel erfolgt einmalig in der Fahrzeugendmontage; danach gibt es keine Änderungen des Master-Schlüssels mehr. Auch die OBD-Dongles der zertifizierten Werkstätten werden diesen Schlüssel für einige Funktionen benötigen, wobei die Hersteller die Bereitstellung dieser Schlüssel übernehmen. Sobald die Steuergeräte ins Fahrzeug eingebaut sind, erkennen sie einander automatisch und kommunizieren verschlüsselt miteinander. Nachrichten von einer Quelle, die diesen Schlüssel nicht hat, akzeptieren die ECUs nicht, da sie nicht authentifiziert sind. Damit bietet Safecan eine pragmatische Lösung, die den hohen Anforderungen der Automobilproduktion gerecht wird.

Sichere ECU-Gruppen

Der Fahrzeughersteller kann auch nur zwischen einzelnen Steuergeräten wählen, die sich gegenseitig authentifizieren sollen. Es ist keine Alles-Oder-Nichts-Lösung. So entsteht innerhalb des Bordnetzes eine Sicherheits-Ebene, die der OEM selbst definieren kann. Die Hersteller können somit selbst entscheiden, welche Nachrichten und Befehle verschlüsselt werden sollen. Im Prinzip funktioniert das so: Der OEM definiert eine Gruppe von Steuergeräten, die nur noch in verschlüsselter Form miteinander kommunizieren sollen. Die Steuergerätezulieferer betten die Safecan-Bibliothek in diese ECUs ein. Nur die Safecan-Steuergeräte, die über den jeweiligen kryptografischen Schlüssel verfügen, authentifizieren (verschlüsseln), empfangen und verstehen (entschlüsseln) die entsprechenden Nachrichten. Sie ignorieren die Kommunikation und die Befehle von ECUs außerhalb dieses Netzwerks.

Zurück zum eingangs erwähnten Beispiel mit der automatischen Einparkfunktion: Der OEM verschlüsselt den Befehl „Einparkassistent starten“, lässt aber die anderen Nachrichten wie Umdrehungen pro Minute unverschlüsselt. Dann könnte ein Angreifer zwar diese Information kompromittieren, aber der ausschlaggebende Startbefehl wäre davon nicht betroffen. Das gleiche lässt sich für Funktionen wie „Airbag öffnen“ oder „bremsen“ realisieren.

Bild 2: Der OEM kann die Sicherheits-Ebene im Bordnetz selbst definieren. Die Safecan-Steuergeräte ignorieren Befehle von außerhalb des gesicherten Netzwerks.

Bild 2: Der OEM kann die Sicherheits-Ebene im Bordnetz selbst definieren. Die Safecan-Steuergeräte ignorieren Befehle von außerhalb des gesicherten Netzwerks. Karamba Security

Es müssen daher nicht alle Steuergeräte verschlüsselt werden, und auch Drittgeräte, die zum Lesen der offenen Informationen zum Einsatz kommen, funktionieren weiterhin wie gehabt. Alternativ entscheidet man sich dafür, nur ein bestimmtes Netzwerk abzusichern und alle sicherheitskritischen Befehle dort laufen zu lassen. Ein Angreifer kann das offene Netzwerk zwar angreifen, wird aber im sicherheitskritischen Netzwerk nicht erfolgreich sein. Diagnosegeräte sind in der Lage, im unverschlüsselten Netzwerk wie bisher zu arbeiten. Bei Bedarf können sie ebenfalls die entsprechenden kryptografischen Schlüssel erhalten, die für die authentifizierten Datenaustausch nötig sind. Wenn der Austausch eines Steuergeräts im Feld erforderlich ist, bezieht auch das neue Steuergerät die kryptografischen Schlüssel vom OEM. Gleiches gilt für entsprechende Diagnosegeräte: Die Kontrolle bleibt beim OEM.

Fazit

Der Vorteil einer solchen präventiven Lösung besteht darin, dass sie einmal installiert werden kann und dann bleibt. Die Branche darf nämlich nicht Gefahr laufen, auch das Wettrennen gegen Hacker aus der IT-Welt zu übernehmen. Nur wenn es gar nicht erst zu diesem Rennen kommt, lassen sich vernetzte Fahrzeuge und autonomes Fahren sicher auf die Straßen bringen.

Das Auto muss von Anfang an abgeschirmt sein. Präventiven Lösungen wie Safecan authentifizieren die Kommunikation im Auto, die ergänzende Cybersecurity-Software Carwall versiegelt dann die einzelnen Steuergeräte gemäß ihrer Werkseinstellungen, sodass jeder Änderungsversuch von außen, der nicht vom OEM selbst stammt, automatisch abgeblockt wird. Karamba Security nennt das „autonome Sicherheit“.