Von IT-Systemen übernommene Sicherheitskonzepte zum Schutz vor Cyber-Angriffen stoßen in vernetzten und autonomen Fahrzeugen an ihre Grenzen und sind nicht direkt auf deren Sicherheitsanforderungen übertragbar. Karamba Security erklärt die Problematik und stellt eine ent-sprechende Sicherheitslösung vor.
Berichte über Schwachstellen in der Automobil-Software nehmen zu. Schon kleinste Fehler im Code sorgen dafür, dass die vernetzten und autonomen Autos anfällig für Cyber-Angriffe sind. Besonders extern vernetzte elektronische Steuergeräte (ECUs) wie Gateways, Telematik- oder Infotainment-Systeme stellen eine potentielle Bedrohung dar -- auch für Hersteller, die derzeit verfügbare Cyber-Sicherheits-Lösungen voll ausschöpfen. Der Grund: Sie bedenken nicht, dass Sicherheitskonzepte für IT-Systeme nicht direkt auf die Sicherheit in Fahrzeugen übertragbar sind.
Vor wenigen Monaten inszenierten White Hat Hacker -- also Hacker ohne negative Absichten -- einen Angriff auf das Infotainment-System eines Fahrzeugs eines großen Automobilherstellers. Dabei gelang es ihnen, über eine In-Memory-Schwachstelle im Code des Steuergerätes, in das Fahrzeug einzudringen. Über diesen Angriffsvektor konnten die Hacker ein legitimes Steuergerät im Fahrzeugnetzwerk nachahmen und auf diese Weise Befehle an sicherheitskritische Systeme wie Airbags, Fahrzeugsteuerung oder den Antrieb senden. Ein Angriff auf diese Komponenten gehört zu den bedrohlichsten Szenarien, da es den Hackern ermöglicht, Einstellungen so zu modifizieren, dass sie die Kontrolle übernehmen und gefährliche Befehle ausführen können.
Aufgrund Dutzender solcher Schwachstellen in der Software moderner Steuergeräte ist es aktuell noch relativ leicht für Angreifer, sich Zugriff auf das Bordnetz eines Fahrzeugs zu verschaffen. Existierenden Sicherheitslösungen für Fahrzeuge gelingt es noch nicht, solche Angriffe zu verhindern. Der Grund dafür ist, dass die Automobilindustrie bestehende Sicherheitslösungen für IT-Systeme wie Server-Netzwerke im Unternehmensumfeld als Basis für eigene Lösungen heranzieht. Diese nutzen Machine Learning zur Malware-Identifizierung, sind abhängig von SicherheitsUpdates und veranstalten Hackathons und Wettbewerbe mit White-Hat-Hackern, um kriminellen Hackern zuvorzukommen.
Diese Vorgehensweise basiert vermutlich auf dem weit verbreiteten Annahme, das Auto sei ein selbstfahrendes Computersystem und ist demnach auch in Sicherheitsfragen wie ein solches zu behandeln. Allerdings unterscheidet sich die Architektur von vernetzten und auch autonomen Fahrzeugen grundsätzlich von der eines Rechenzentrums oder eines Computers. Auch die Konsequenzen eines Hacker-Angriffs unterscheiden sich massiv. Zwar bedeutet der Verlust von Daten häufig hohe finanzielle Verluste für Unternehmen, allerdings sind zu keiner Zeit Menschenleben bedroht. Bei Angriffen auf Autos jedoch ist dies der Fall. Folglich müssen Fahrzeuge anders geschützt werden als Rechenzentren.
Erst einmal benötigen vernetzte Fahrzeuge wie Rechenzentren auch regelmäßige Updates, um vor neuen Gefahren sicher zu sein. Autos sind allerdings nicht permanent mit dem Internet verbunden. Deswegen braucht es neue Lösungen, die Updates auf ein Minimum reduzieren oder ganz darauf verzichten können.
Des Weiteren dreht es sich in IT-Security-Debatte überwiegend um heuristische Intrusion-Detection-Systeme (IDS). Diese bewerten anhand statistischer Daten, ob ein Zugriff auf ein Steuergerät legitim ist oder nicht. Sollte ein nicht legitimer Zugriff erkannt werden, wird bei dieser Vorgehensweise eine Benachrichtigung mit Handlungsaufforderung gesendet. Hier ergeben sich zwei Probleme. Im Auto müssten diese Systeme automatisch und in Echtzeit funktionieren, Zeit für die Behebung von Angriffen gibt es nicht. Außerdem besteht die Chance, dass IDS Fehlalarme verursachen. Auch die darf es in Fahrzeugen nicht geben.
Letztlich sind auch Bandbreite, Speicherkapazität und Rechenleistung der Fahrzeugsysteme sehr begrenzt. Für zusätzliche IDS oder komplexe kryptographische Methoden fehlt sowohl die Rechenleistung als auch die Internetverbindung.
Die aufgeführten Gründe legen nahe, bei den Schutzmaßnahmen von Fahrzeugen einen anderern Weg einzuschlagen. Im Idealfall werden ECUs im sicherheitsrelevanten Bordnetzwerk von Beginn an versiegelt, um nicht von der Behebung von Programmfehlern abhängig zu sein. Ein Ansatz, der dieser Idee folgt, nennt sich Autonomous Security. Hierbei werden die ECUs hinsichtlich der Werkseinstellungen versiegelt und damit gleich mehrere Schichten wie das Disk-Level, die Netzwerkebene und die Speicherlogik erreicht. Bei dieser Methode, wie sie auch Karamba Security verfolgt, geschieht die Validierung deterministisch und basiert nicht auf Statistiken. Die Steuergeräte sind deshalb nicht von Fehlalarmen gefährdet, da jede Abweichung von den Werkseinstellung automatisch als Angriff gilt und nicht erst kontrolliert werden muss.
Eine andere Herausforderung bei der Absicherung von Fahrzeugen resultiert aus ihrem Entwicklungsprozess. Mit zunehmend komplexer werdenden Automobilsystemen müssen sich Hersteller immer mehr auf Software von Drittanbietern verlassen. Komponenten wie Bluetooth, USB, Ethernet und ganze Betriebssysteme wie Linux oder QNX werden nicht von den Herstellern selbst entwickelt, sondern eingekauft. All diese Systeme sind extern über zugewiesene Speicher vernetzt und sind deshalb anfällig für In-Memory-Zugriffe und insbesondere für Zero-DayExploits (ZETA).
Hersteller dieser Software benötigen in den meisten Fällen viel Zeit, um die Lücken zu schließen, sodass die Gefahr einer mehrfachen Ausnutzung hoch ist. Während typische Fehler der Vergangenheit wie hartcodierte Passwörter oder offene Ports mittlerweile relativ schnell behoben sind, bergen Schwachstellen in der Software-Logik ein hohes Risiko, da sie häufig auch von den besten Code-Scanning-Lösungen nicht erkannt werden.
Wie viele Schwachstellen im Sicherheitssystem eines Fahrzeuges lauern, hat der Angriff des chinesischen Tencent Keen Security Lab gezeigt. Im Mai fanden sie 14 mögliche Schlupflöcher in einem Modell eines großen Automobilherstellers. Forscher von Keen Labs fanden diese Schwachstellen im Protokoll-Stack (Bluetooth, Wi-Fi, OBD-II). Dieses Stack ist äußerst sicherheitskritisch und ermöglicht es, die ECU fernzusteuern. Gelingt dieses, können Hacker die Kontrolle über das gesamte Fahrzeug erlangen. In bestimmten Fällen kann das sogar eine ganze Fahrzeugflotte betreffen.
Sicherheitskritische Softwarefehler lassen sich gegenwärtig mittels Patch anhand von Over-the-air-Updates schließen. Dafür ist eine Internetverbindung notwendig, die im Auto nicht immer besteht. Deswegen sollten Security-Lösungen für Fahrzeuge idealerweise ohne kontinuierliche Sicherheits-Updates auskommen und trotzdem jederzeit vor Bedrohungen schützen. Dies gelingt mit einer deterministischen Lösung, die präventiv funktioniert und die ECUs hinsichtlich ihrer Werkseinstellungen versiegelt und keine anderen Modifizierungen zulässt. Vorteilhafterweise ist die Auswirkung auf die Performance des Bordnetzwerks vernachlässigbar gering. Auch erleichtert eine gekapselte Firmware die Integration in bestehende und zukünftige Chips.
Um sicherheitskritische ECUs von anderen Steuergeräten im Fahrzeug zu separieren, kommen häufig Gateways zur Anwendung. Außerdem sind Gateways selbst kleine ECUs und damit selbst potenzielle Angriffsziele für Hacker.
Cloud-basierte, kontinuierliche Updates oder IDS können Gateways allerdings nicht effektiv schützen -- Lösungen, die dem Autonomous-Security-Ansatz folgen, jedoch schon, da sie die ECUs versiegeln und die Kommunikation zwischen ihnen authentifizieren.
Ein Autonomous-Security-Ansatz kann seine Wirkung jedoch nur entfalten, wenn er ein fester Bestandteil der in der Automobilelektronik eingesetzten Software wird. Wie hierbei eine einfache Integration ohne Redesign möglich wird, das lesen Sie in der Langversion dieses Beitrags, die Sie bequem aufrufen können, indem sie auf
Die Architektur des umfangreichen Bord-Datennetzwerkes von vernetzten und auch autonomen Fahrzeugen benötigt ganz andere Schutzmaßnahmen als herkömmliche IT-Netzwerke. Mit der Carwall bietet Karamba Security eine einfach zu integrierende Sicherheitslösung, die nach dem Autonomous-Security-Ansatz ECU-Software verriegelt und für eine authentifizierende Kommunikation sorgt -- auch ohne permanente Internetanbindung.
PHOTO (COLOR): Auch vernetzte Fahrzeuge sind Angriffsziele von Hackern und bedürfen spezieller Schutzmechanismen.
DIAGRAM: 2 Schutzmechanismen, wie die Carwall folgt dem AutonomousSecurity-Ansatz; sie verriegelt die ECU-Software und sorgt für eine authentifizierende Kommunikation.
PHOTO (COLOR): 3 Neuere Fahrzeuge mit einem umfangreichen Bord-Datennetzwerk müssen auch ohne permanente Internetanbindung Hacker-Angriffe wirksam abwehren.
By Assaf Harel, CTO von Karamba Security
