Image: So haben Auto-Hacker keine ChanceFERCHAUFERCHAU
TechnikConnected Car

So haben Auto-Hacker keine Chance

Lesezeit ca.: 3 Minuten
Christoph Hammerschmidt

Christoph Hammerschmidt

freier Journalist

Autos werden zunehmend „connected“. Damit werden sie zur Zielscheibe für Hacker. Aber das muss nicht sein. Geeignete Maßnahmen und Techniken zur Abwehr der Eindring­linge sind verfügbar.

12. Februar 2016

Das Hacken von Autos folgt in vielerlei Hinsicht den Vorgehens­mus­tern beim Hacken von Computern im „gewöhnli­chen“ Cyberspace. In beiden Fällen richten sich die Aktivitäten der ungebetenen Besucher gegen IT-Einrichtungen, nur dass diese im Auto als „Embedded Computer“ ausgeführt werden. Das heißt: Die Software-Umgebungen im Auto sind anders als diejenigen auf heimischen PCs und Servern. Statt unter Windows oder MacOS laufen die Rechner unter Echtzeit-Betriebs­sys­temen wie „Neutrino“ von QNX oder „Integrity“ von der Intel-Tochter Green Hills. Sehr häufig nutzen die Steuerrechner des Fahrzeugs auch individuell maßgeschnei­derte Task-Switcher mit rudimentären Betriebs­sys­tem­funk­tionen.

Auch die Datenkom­mu­ni­ka­tion im Auto erfolgt über andere Mechanismen als im Bürocomputer. Zwar sagen Fachleute dem Ethernet auch im Auto eine steigende Bedeutung voraus, doch in den allermeisten Fällen laufen im Fahrzeug die meisten Daten über Bussysteme wie CAN und FlexRay. Auto-Hacker benötigen daher im Detail anders gelagertes Fachwissen, doch das Prinzip bleibt das gleiche: Schwachstellen in der Software finden, Schadcode einschleusen und anschlie­ßend direkt auf Funktionen zugreifen – mit welcher Motivation auch immer.

Kultur der Sicherheit

Eine „Kultur der Sicherheit“ zu entwickeln, fordert daher Security-Experte Dominik Wee von der Unterneh­mens­be­ra­tung McKinsey. „Die gute Nachricht ist: Andere Branchen haben diesen Punkt bereits erreicht“, so Wee auf dem Kongress „Cyber Secure Car“ im Herbst 2015 in Dresden. Seine Vorschläge, gerichtet an das F&E-Management der Autohersteller und -zulieferer, listen ähnliche Aspekte auf wie für IT-Manager und Software­ent­wickler in der kommerzi­ellen IT: eine detaillierte Risikoana­lyse erstellen, den Wert von Security für die Business-Ebene erfassen und formulieren, den Aspekt der Cyber-Sicherheit in alle Prozesse einbetten und – ganz wichtig – „Protect by Design“; gleich bei der Entwicklung von Hard- und Software etwaige Angriffs­mög­lich­keiten und deren Abwehr berücksich­tigen.

Einfallstor CAN-Bus

Als ein erstrangiges Einfallstor für Eindring­linge erweist sich immer wieder der CAN-Bus. So steht Hackern mit der Diagnose-Buchse OBD-II im Fahrzeugin­neren ein geradezu komforta­bler Zugang zur Verfügung. Ist es erst einmal gelungen, bis zum CAN-Bus vorzudringen, so liegt bei heute produzierten Fahrzeugen in der Regel kein weiteres Hindernis mehr zwischen dem Hacker und den diversen Steuerge­räten. Eine Verschlüs­se­lung des Datenver­kehrs auf dem CAN-Bus würde die Sicherheit ein gutes Stück voranbringen, sagen Experten wie Koji Nakao, Leiter des Cyber Security Research Center am Network Security Research Institute (NICT) in Japan. Das Institut hat eine „Verschlüs­se­lung light“ für Fahrzeug­netze entwickelt. Light deshalb, weil diese Verschlüs­se­lung normaler­weise sehr rechen- und zeitaufwendig ist und damit der Forderung nach blitzschnellen Antwortzeiten im Regelkreis Auto entgegen­steht.

Das Verfahren aus Japan soll bei deutlich reduzierten Anforderungen an die Rechenzeit ein akzeptables Sicherheits­ni­veau bieten. Zudem benötigt es erheblich weniger Speicher­platz in den Fahrzeug­rech­nern als etablierte Krypto-Standards. Demnächst soll der Algorithmus dem Normierungs­gre­mium ITU zur Standardi­sie­rung vorgelegt werden.

Best Practices gegen Car-Hacking

Nicht jeder Entwicklungs­in­ge­nieur wird warten wollen, bis dieser zeitraubende Prozess abgeschlossen ist. Für den sofortigen Gebrauch hat die US-Software­firma Movimento eine Liste von fünf „Best Practices“ zusammen­ge­stellt, deren Beherzigung Autos gegen Cyber-Attacken immunisieren sollte. Movimento kennt sich mit dem Thema aus: Das Unternehmen ist speziali­siert auf Verfahren zum sicheren Update von Software im Auto. Hier die fünf Best Practices:

• Den Datenver­kehr zwischen Fahrzeug und Backend verschlüs­seln
• Nie zulassen, dass sich Software­kom­po­nenten gegenseitig updaten – so verhindert man das Ausbreiten von Viren und Schadsoft­ware
• Sämtliche Software­be­stände im Auto jederzeit auf dem neuesten Stand halten; dafür sind u. U. Over-the-Air-Updates notwendig
• CAN-Bus aktiv überwachen
• Ein „Hackathon“ veranstalten und damit von den Ideen des anderen Lagers profitieren

Ausgabe 2016/01

Ausgabe 2016/01

Dieser Artikel erscheint auch in unserem IT-Magazin <atFERCHAU>. Möchten Sie weitere spannende Artikel lesen?

Download pdf