TechnikConnected Car

So haben Auto-Hacker keine Chance

Lesezeit ca.: 3 Minuten
Christoph Hammerschmidt

Christoph Hammerschmidt

freier Journalist

Autos werden zunehmend „connected“. Damit werden sie zur Zielscheibe für Hacker. Aber das muss nicht sein. Geeignete Maßnahmen und Techniken zur Abwehr der Eindringlinge sind verfügbar.

12. Februar 2016

Das Hacken von Autos folgt in vielerlei Hinsicht den Vorgehensmustern beim Hacken von Computern im „gewöhnlichen“ Cyberspace. In beiden Fällen richten sich die Aktivitäten der ungebetenen Besucher gegen IT-Einrichtungen, nur dass diese im Auto als „Embedded Computer“ ausgeführt werden. Das heißt: Die Software-Umgebungen im Auto sind anders als diejenigen auf heimischen PCs und Servern. Statt unter Windows oder MacOS laufen die Rechner unter Echtzeit-Betriebssystemen wie „Neutrino“ von QNX oder „Integrity“ von der Intel-Tochter Green Hills. Sehr häufig nutzen die Steuerrechner des Fahrzeugs auch individuell maßgeschneiderte Task-Switcher mit rudimentären Betriebssystemfunktionen.

Auch die Datenkommunikation im Auto erfolgt über andere Mechanismen als im Bürocomputer. Zwar sagen Fachleute dem Ethernet auch im Auto eine steigende Bedeutung voraus, doch in den allermeisten Fällen laufen im Fahrzeug die meisten Daten über Bussysteme wie CAN und FlexRay. Auto-Hacker benötigen daher im Detail anders gelagertes Fachwissen, doch das Prinzip bleibt das gleiche: Schwachstellen in der Software finden, Schadcode einschleusen und anschließend direkt auf Funktionen zugreifen – mit welcher Motivation auch immer.

Kultur der Sicherheit

Eine „Kultur der Sicherheit“ zu entwickeln, fordert daher Security-Experte Dominik Wee von der Unternehmensberatung McKinsey. „Die gute Nachricht ist: Andere Branchen haben diesen Punkt bereits erreicht“, so Wee auf dem Kongress „Cyber Secure Car“ im Herbst 2015 in Dresden. Seine Vorschläge, gerichtet an das F&E-Management der Autohersteller und -zulieferer, listen ähnliche Aspekte auf wie für IT-Manager und Softwareentwickler in der kommerziellen IT: eine detaillierte Risikoanalyse erstellen, den Wert von Security für die Business-Ebene erfassen und formulieren, den Aspekt der Cyber-Sicherheit in alle Prozesse einbetten und – ganz wichtig – „Protect by Design“; gleich bei der Entwicklung von Hard- und Software etwaige Angriffsmöglichkeiten und deren Abwehr berücksichtigen.

Einfallstor CAN-Bus

Als ein erstrangiges Einfallstor für Eindringlinge erweist sich immer wieder der CAN-Bus. So steht Hackern mit der Diagnose-Buchse OBD-II im Fahrzeuginneren ein geradezu komfortabler Zugang zur Verfügung. Ist es erst einmal gelungen, bis zum CAN-Bus vorzudringen, so liegt bei heute produzierten Fahrzeugen in der Regel kein weiteres Hindernis mehr zwischen dem Hacker und den diversen Steuergeräten. Eine Verschlüsselung des Datenverkehrs auf dem CAN-Bus würde die Sicherheit ein gutes Stück voranbringen, sagen Experten wie Koji Nakao, Leiter des Cyber Security Research Center am Network Security Research Institute (NICT) in Japan. Das Institut hat eine „Verschlüsselung light“ für Fahrzeugnetze entwickelt. Light deshalb, weil diese Verschlüsselung normalerweise sehr rechen- und zeitaufwendig ist und damit der Forderung nach blitzschnellen Antwortzeiten im Regelkreis Auto entgegensteht.

Das Verfahren aus Japan soll bei deutlich reduzierten Anforderungen an die Rechenzeit ein akzeptables Sicherheitsniveau bieten. Zudem benötigt es erheblich weniger Speicherplatz in den Fahrzeugrechnern als etablierte Krypto-Standards. Demnächst soll der Algorithmus dem Normierungsgremium ITU zur Standardisierung vorgelegt werden.

Best Practices gegen Car-Hacking

Nicht jeder Entwicklungsingenieur wird warten wollen, bis dieser zeitraubende Prozess abgeschlossen ist. Für den sofortigen Gebrauch hat die US-Softwarefirma Movimento eine Liste von fünf „Best Practices“ zusammengestellt, deren Beherzigung Autos gegen Cyber-Attacken immunisieren sollte. Movimento kennt sich mit dem Thema aus: Das Unternehmen ist spezialisiert auf Verfahren zum sicheren Update von Software im Auto. Hier die fünf Best Practices:

• Den Datenverkehr zwischen Fahrzeug und Backend verschlüsseln
• Nie zulassen, dass sich Softwarekomponenten gegenseitig updaten – so verhindert man das Ausbreiten von Viren und Schadsoftware
• Sämtliche Softwarebestände im Auto jederzeit auf dem neuesten Stand halten; dafür sind u. U. Over-the-Air-Updates notwendig
• CAN-Bus aktiv überwachen
• Ein „Hackathon“ veranstalten und damit von den Ideen des anderen Lagers profitieren

Ausgabe 2016/01

Ausgabe 2016/01

Dieser Artikel erscheint auch in unserem IT-Magazin <atFERCHAU>. Möchten Sie weitere spannende Artikel lesen?

Download pdf