Die Mechanik im Auto tritt immer mehr in den Hintergrund. Heutige Fahrzeuge der Oberklasse beherbergen bis zu 100 kleine Computer . Dadurch werden viele Fahrzeugfunktionen durch Software realisiert und automatisiert – Helligkeitssensoren regeln das Licht, Abstandhaltesysteme steuern Gas und Bremse, Einparkhilfen drehen wie von Geisterhand das Lenkrad und steuern elegant in die Parklücke, besser als die meisten Autofahrer es je könnten.
Mit der zunehmenden Automatisierung wird uns das Autofahren erleichtert. Gleichzeitig aber bietet die Technik immer mehr Angriffsfläche für Autohacker, um über Sicherheitslücken die Kontrolle über ein Fahrzeug zu bekommen. In den letzten Jahren nahm die Anzahl solcher Angriffe stark zu.
Große Aufmerksamkeit bekamen zwei Sicherheitsexperten im Jahr 2015, als sie einen Jeep Cherokee in voller Fahrt über das Internet hackten . Licht, Hupe, Lüftung, Musik, sogar Gas, Bremse und die Lenkung konnten sie aus der Ferne steuern.
Ein mahnendes Beispiel, mitnichten aber die einzige Sicherheitslücke in verbauten Steuerungselementen. Während die Wichtigkeit von IT-Sicherheit in Computernetzwerken bereits bei vielen ins Bewusstsein gerückt ist, erhält das Thema in der Fahrzeugtechnik bisher noch wenig Aufmerksamkeit.
Doch wie funktionieren Angriffe gegen Fahrzeuge? Welche Angriffsformen sind in Zukunft denkbar?
Diese und weitere Fragen sollen in diesem Artikel geklärt werden.
Kommunikation innerhalb eines Fahrzeugs
Um zu verstehen, wie Angriffe auf Fahrzeuge funktionieren, ist es zunächst wichtig zu wissen, wie die Infrastruktur eines Fahrzeugs aufgebaut ist und wie die etlichen verbauten Steuergeräte miteinander kommunizieren.
Ähnlich wie das Internet selbst besteht auch die Infrastruktur eines Fahrzeugs häufig aus verschiedenen Teilnetzen. Computernetzwerke bestehen größtenteils aus technologisch ähnlichen Komponenten. Meistens wird hier auf das Internetprotokoll (IP) gesetzt. Im Fahrzeug kommen dagegen unterschiedliche Techniken mit verschiedenen Anforderungen zum Einsatz. Hier wird typischerweise von Bussystemen gesprochen.
Für manche Bussysteme ist es wichtig, dass große Datenmengen übertragen werden können. Für andere steht dagegen eine schnelle und zuverlässige Übertragung im Vordergrund. Um die unterschiedlichen Anforderungen zu bedienen, werden entsprechend unterschiedliche Bussysteme verwendet. Von jedem dieser Bussysteme können mehrere Instanzen in einem Fahrzeug verbaut sein. Auf diese Weise lässt sich eine logische Kapselung der Steuergeräte vornehmen. So kann ein Steuergerät für Entertainment-Zwecke nicht direkt mit dem Motorsteuergerät in Konflikt geraten oder gar gefälschte Nachrichten an dieses senden.
Damit auf dem Entertainment-System aktuelle Daten wie die Geschwindigkeit oder der Reifendruck angezeigt werden können, ist trotzdem eine busübergreifende Kommunikation nötig. Zu diesem Zweck kommt das sogenannte Gateway-Steuergerät (Gateway ECU, siehe Abbildung) zum Einsatz. Dieses Steuergerät verbindet mehrere Bussysteme und muss somit mehrere Technologien und Protokolle ansprechen können. Zusätzlich übernimmt es grundlegende Router- und Firewall-Funktionen und entscheidet, welches Paket auf welchen Bus geschrieben oder ob ein Paket komplett verworfen wird.
©Moritz Lottermann
Das prominenteste Beispiel für Bussysteme aus der Automobilindustrie ist der sogenannte CAN-Bus. Steuergeräte können über diesen Bus sogenannte CAN-Frames versenden. Jedes Frame kann maximal 8 Byte an Daten übertragen. Der Inhalt des Frames wird über eine eindeutige ID identifiziert, wobei jede ID für eine spezielle Art von Daten steht. Gleichzeitig werden die IDs zur Priorisierung der Frames verwendet. Je niedriger die ID, desto höher die Priorität des Frames.
Das Protokoll für den CAN-Bus wurde bereits im Jahr 1986 entwickelt und kommt somit aus einer Zeit, in der IT-Sicherheit noch keine große Rolle spielte. Aus der IT-Sicherheit bekannte Konzepte wie Vertraulichkeit und Authentizität sucht man hier vergeblich. So können sämtliche Nachrichten auf dem Bus von jedem angeschlossenen Gerät mitgelesen werden. Des Weiteren gibt es keine Berechtigungsprüfung. Jedes Gerät kann CAN-Frames mit jeder beliebigen ID senden.
Ein bösartiges Gerät kann also falsche Botschaften an andere Steuergeräte senden und deren Verhalten so manipulieren. Eine simple, aber effektive Möglichkeit, einen kompletten CAN-Bus lahmzulegen, ist es, ein Steuergerät dazu zu bringen, dauerhaft CAN-Frames mit der ID 0 zu senden. Da ein solches Frame immer priorisiert wird, können andere Steuergeräte keine Nachrichten mehr übertragen. Diese müssen warten, bis der Bus wieder frei ist. Der Bus ist somit komplett blockiert. Erst wenn das bösartige Gerät keine Nachrichten mehr sendet, kann wieder eine normale Kommunikation stattfinden. Abhängig von dem Bus, an dem das Gerät angeschlossen ist, kann das gesamte Fahrzeug lahmgelegt werden.
Vorgehensweisen bei Angriffen
Typischerweise bestehen manuelle Hackerangriffe aus mehreren Phasen. Im ersten Schritt wird das Ziel eines Angriffs definiert. Ist dieses gefunden, müssen möglichst viele Informationen über das Ziel beschafft werden. Hierbei gilt: Jede noch so kleine Information kann nützlich sein. Anhand der gefundenen Informationen lassen sich dann Schwachstellen des Zielsystems identifizieren. Im finalen Schritt folgt dann das Exploiting, bei dem die gefundenen Schwachstellen ausgenutzt und konkrete Angriffe durchgeführt werden.
Vor einem Angriff muss man zunächst ein „lohnendes“ Ziel finden. Über spezielle Suchmaschinen geht das mit den richtigen Schlagwörtern recht schnell. Innerhalb weniger Sekunden kann man hunderte von Steuergeräten eines Herstellers im Netz finden, die beispielsweise einen Telnet-Zugang ohne schützendes Passwort anbieten. Über das Kommando „gpspos“ lässt sich dann die aktuelle GPS-Position ermitteln. Hierdurch kann man live beobachten, wo sich das Auto aktuell befindet.
©Moritz Lottermann
Im nächsten Schritt werden weitere Informationen über das Fahrzeug benötigt. Um welches Fahrzeug handelt es sich? Welche Steuergeräte sind verbaut und über welche Bussysteme sind sie erreichbar? Welche Protokolle werden gesprochen?
Dieser Schritt kann sehr viel Zeit in Anspruch nehmen. Offizielle und kostenlos zugängliche Protokoll-Spezifikationen, wie sie in Computernetzwerken Standard sind, sind in der Fahrzeuginfrastruktur Mangelware.
Doch das Prinzip “Security by Obscurity” (Sicherheit durch Geheimhaltung) funktioniert auch in der Fahrzeugtechnik nicht. Mit genug Zeit und Kreativität lässt sich die Funktionsweise der Protokolle in der Regel nachstellen.
Gute Quellen zur Ansteuerung von Steuergeräten sind häufig die Internetforen der Tuning-Szene. Gelegentlich finden sich dort Dokumentationen über proprietäre Protokolle, deren Funktionsweise eigentlich geheim gehalten wurde. Mitglieder der Tuning-Szene beschäftigen sich damit, um mehr Leistung aus ihren Fahrzeugen herauszuholen. Immer häufiger wird dabei auch die Software der Steuergeräte manipuliert. Daher besteht großes Interesse an der Funktionsweise der ECUs und der gesprochenen Protokolle.
©Moritz Lottermann
Bei der Analyse des oben erwähnten Steuergerätes kann man schnell feststellen, dass es die Fähigkeit besitzt, auf den CAN-Bus zuzugreifen. Wenn es über das Steuergerät an den CAN-Bus der Motorsteuerung angeschlossen ist und zusätzlich beliebige Botschaften auf diesen schreiben kann, so hat der Angreifer sein Ziel bereits erreicht.
Durch den oben beschriebenen Angriff kann man in die Fahrzeugelektronik eingreifen. Die Folgen können verheerend sein.
Welche Angriffe kann es in Zukunft geben?
Die Vernetzung von Fahrzeugen geht mit schnellen Schritten voran. Immer mehr Fahrzeuge bauen eine dauerhafte Internetverbindung auf. Hierdurch werden die Hürden für Angriffe deutlich geringer. Manche Angriffe müssen nicht mehr physisch am Fahrzeug durchgeführt werden. Stattdessen lassen sich über das Internet bequem Fahrzeuge auf der ganzen Welt angreifen. Zusätzlich können Programme zur Anonymisierung verwendet werden, wodurch eine Rückverfolgung der Angriffe deutlich erschwert wird.
Die Szenarien, die sich für Angreifer in diesem Fall auftun, sind denen normaler Angriffe auf Computersysteme sehr ähnlich. Nach der aktuellen Welle von Kryptotrojanern wäre Ähnliches auch für Fahrzeuge denkbar. Neben der Möglichkeit, ein Fahrzeug lahmzulegen, könnte die Freigabe erst nach Zahlung eines bestimmten Geldbetrags erfolgen und ein lukratives Geschäftsmodell für Erpresser werden.
Im Bereich der organisierten Kriminalität sind jedoch noch weitaus drastischere Szenarien vorstellbar. Die Möglichkeit, einen gefährlichen Konkurrenten über ein manipuliertes Steuergerät „ausschalten zu können“, kann in diesem Milieu sehr attraktiv erscheinen, zumal eine softwaretechnische Manipulation keine Spuren am Tatort hinterlässt. Um den Tathergang aufzuklären, müssten professionelle Forensiker ans Werk, um die Steuergeräte zu analysieren, sofern diese überhaupt noch intakt sind.
Fazit
Die Wahrscheinlichkeit, dass das private Fahrzeug Ziel eines Hackerangriffs wird, ist derzeit noch eher gering. Dennoch sollten Sicherheitslücken in der Fahrzeugtechnik keineswegs unterschätzt werden. Die Vernetzung und Automatisierung von Fahrzeugen ist aktuell in vollem Gange und wird in den kommenden Jahren deutlich zunehmen.
Je mehr Fahrzeuge mit dem Internet verbunden sind, desto attraktiver wird diese Industrie für Hacker. Die Anzahl der Angriffe auf Fahrzeuge wird daher voraussichtlich steigen. Wann es den ersten Erpressungstrojaner geben wird, der ein Auto deaktiviert, bis das Opfer das Lösegeld bezahlt, scheint also nur eine Frage der Zeit.
Wenn die Maschine entscheidet – zur Ethik selbstfahrender Autos
Autor: Moritz Lottermann
Moritz Lottermann studierte Computer Science and Media (Master) und der Hochschule der Medien in Stuttgart und ist seit 2017 Penetrationstester und IT-Sicherheitsberater bei der Syss GmbH in Tübingen.