Sicher unterwegs in vernetzten Fahrzeugen

Das Autofahren ist seit jeher mit Risiken verbunden. Der Individual- und Berufsverkehr ist ein enormer Wirtschaftsfaktor, abgesehen von den negativen Auswirkungen auf das Klima. In den letzten Jahren wurden smarte Fahrzeuge immer beliebter. Allerdings spielt dieser Trend Cyberkriminellen und Terroristen neue Angriffsziele in die Hände, gegen die man sich als Benutzer eines smarten Autos vor allem durch ein gesteigertes Sicherheitsbewusstsein wehren kann.

Denn die Funktionalität smarter Fahrzeuge ist mit ähnlichen Methoden angreifbar, die bereits in der Vergangenheit bei der Kompromittierung von Computern erfolgreich waren:

Denial-of-Service-Angriffe auf den CAN-Bus (Controller Area Network); Modifizieren der Firmware über Debugging-Interfaces; Replay-Angriffe; Seitenkanalangriffe auf die Hardware; Abhören des Sensor-Funkverkehrs; Manipulation von Sensordaten; Fälschung von Netzwerkpaketen durch Injizieren von CAN-Daten; Ausnutzen von Bluetooth-Schwachstellen und von Sicherheitslücken in der Telematik; Übernahme von Benutzer-Accounts; Social Engineering oder Phishing-Angriffe auf die Autoherstellerorganisation bzw. deren Mitarbeiter-Hotline. Nicht zuletzt erhöhen fehlerhaft programmierte Fahrzeug-Apps die Chancen auf weitere Angriffserfolge.

Im Unterschied zu früher können solche Angriffe aber nun im Extremfall zum Tod eines oder mehrerer Menschen führen. Schaltet ein Steuergerät aufgrund eines Angriffes zur gezielten Überbelastung des CAN-Netzwerkes ab, führt dies zum Ausfall der damit gesteuerten Funktionen. So bedeutet z.B. ein Ausfall der Servolenkung die eingeschränkte Steuerbarkeit eines Fahrzeuges und das Auslösen eines Unfalles.

Der neueste Trend ist das Angebot sprachgesteuerter Produkte nebst zugehöriger Smartphone-Apps für Fahrzeuge. Diese Produkte können über die App eine Verbindung zu anderen IoT-Geräten herstellen und schaffen damit neue Sicherheitslücken, weil sie von Kriminellen programmierte Sprachbefehle ausführen könnten. Solche Geräte mit Internetkonnektivität benötigen die unterstützende Cloud-Infrastruktur des Herstellers. Das unterstützte Gerät lässt sich von einem beliebigen Ort der Welt aus mit der zugehörigen App bedienen. Auch die Sicherheit dieser Cloudinfrastruktur ist entscheidend für die Sicherheit des damit verbundenen Fahrzeuges.

Manche Automodelle benutzen eine feste Mobilfunkverbindung zur Hersteller-Infrastruktur, um Online-Updates zu beziehen, Diagnosedaten zu versenden oder eine Remote-Steuerung über die App zu ermöglichen. Auch Plattformen wie IFTTT (If This Then That), die zur benutzergesteuerten Programmierung (sogenannte „Rezepte“) von IoT-Geräten Verwendung finden, werden so zu potentiellen Angriffsflächen. Ein Angreifer, der Kontrolle über ein IFTTT-Konto bekommt, kann alle virtuellen und physischen Dienste manipulieren, die mit diesem Konto verknüpft sind. Nachdem die Einrichtung neuer Geräte unkompliziert für den Anwender möglich ist, wird die physische Sicherheit potentiell stärker gefährdet. Wird eine Sicherheitslücke publik, bemühen sich sicherheitsbewusste Hersteller selbstverständlich sofort um eine Schließung. Allerdings ist zu berücksichtigen, dass notwendige Firmwareupdates möglicherweise zu einem längeren Ausfall der vertrauten IoT-Dienste führen. Der von diesen Diensten unterstützte Tagesablauf kann bei Ausfall unangenehme und sicherheitsgefährdende Folgen haben.

Viele am Markt erhältlichen smarten Autos und Fahrzeug-Apps sind anfällig für Softwaremängel. Die Autohersteller müssen die Sicherheitsthematik ernst nehmen und ihre Hausaufgaben machen (z.B. Berücksichtigung des Sicherheitsthemas bereits im Prototyping: Endpoint-Security von Sensoren; Zwei-Wege-Authentifizierung bei User- oder Geräteidentifikation; rechtzeitige „Lärmdetektion“ am CAN-Bus usw.).

Begleitend sollte auch der Käufer gewisse Vorsichtsmaßnahmen beachten und Antworten auf folgende Fragen finden:

  • Vor Kauf eines smarten Fahrzeuges sollte er sich über die Authentifizierungsmechanismen beim Einrichten von Funktionen erkundigen. Wie erfolgt die Authentifizierung? Wie ist der Authentifizierungs-Prozess aufgebaut? Muss als Identitäts-Nachweis die FIN, PIN, SIM-ID oder ein Servicedokument erbracht werden, oder erfolgt die Einrichtung via Autohändler (z.B. Anlegen und Löschen eines Kontos). Ist die Sicherheit aus Sicht des Käufers damit gewährleistet? Einfach den Hausverstand einsetzen und sich die Frage stellen, wie leicht wäre es für einen Dritten, an diese Daten zu kommen oder diese zu erraten.
  • Wie werden mobile Apps mit dem Fahrzeug gekoppelt? Sind die Session-Token aus dem eigenen Smartphone auslesbar? Wie ist das Benutzerprofil angelegt? Wie erfolgt die Authentifizierung über den Autohersteller-Help-Desk, wenn man z.B. das Fahrzeug remote aufsperren lässt? Welche Funktionen werden vom Hersteller remote ein- oder ausgeschaltet, wenn das Fahrzeug als gestohlen gemeldet wird? Welche Berechtigungen besitzen Helpdesk-Mitarbeiter der Serviceorganisation? Schützen die in Prozesse und Architektur eingebauten Schutzmechanismen ausreichend gegen oben genannte Angriffsvektoren?
  • Welche IoT-Geräte anderer Produzenten unterstützt der Hersteller durch webbasierte Schnittstellen? Wie sicher sind diese? Wo und wie werden die verwendeten Schlüssel verwahrt? Über welche „smarten Dinge Hubs“ können diese Geräte angesteuert werden? Gibt es bereits publizierte und noch nicht geschlossene Schwachstellen in diesen Hubs?
  • Falls ein gebrauchtes Auto von einer Privatperson erworben wird, sollte sichergestellt werden, dass das zu den Fahrzeug-Apps gehörende Konto des Verkäufers vor Übernahme des Fahrzeuges geschlossen wird und die Software des Fahrzeuges während seiner Nutzungsdauer nicht unberechtigt modifiziert wurde. Diese Überprüfung könnte man über eine Vertragswerkstatt oder einen Autofahrerclub durchführen lassen. Der Verkäufer wiederum sollte dafür sorgen, dass seine privaten Daten am Bordcomputer gelöscht werden.
  • Keinesfalls ein Smartphone, auf dem die eigenen Fahrzeug-Apps installiert sind, in fremde Hände geben (z.B. zur Reparatur in unseriöse Geschäfte). Grundsätzlich sind die für den Betrieb von Smartphone bekannten Sicherheitsregeln noch strikter einzuhalten (also kein Jail-Break; regelmäßige Software-, Firmware- und Betriebssystem-Updates; keine Apps aus nicht vertrauenswürdigen Quellen; Funk- und Internetverbindungen nicht ständig offen halten usw.).
  • Vergewissern, dass kein unbekannter oder nicht vertrauenswürdig eingeschätzter Dritter das Fahrzeug benutzt, damit Funktionen, deren Aktivierung eine physische Anwesenheit im Fahrzeug erfordert nicht über fremde Geräte laufen können  (z.B. Geräte-Pairing; On-Board-Diagnose; Ausführen von manuellen „shortcuts“ im Fahrzeug. Mit „shortcuts“ ist das Absetzen von Befehlen in den CAN-Bus durch Drücken unterschiedlicher Pedal- und Steuerschalterkombinationen gemeint). Solche als nicht vertrauenswürdig eingeschätzte Dritte könnten in unseriös günstigen Autowerkstätten, Einparkservices von schmuddeligen Hotels, in schlecht geführten Autoreinigungsdiensten oder „Scheinfirmen“, die günstige Service- und Tuningarbeiten an der Motorelektronik anbieten, beschäftigt sein. Also praktisch in allen Branchen, in denen zur Durchführung von Arbeiten der Autoschlüssel oder gar das Smartphone ausgehändigt wird. Am sichersten ist, vorher die Vertraulichkeit dieser Betriebe zu checken und die Durchführung der Arbeiten unangekündigt im Auge zu behalten.
  • Nach dem elektronischen Absperren des Fahrzeuges auf unbewachten, belebten Parkplätzen nochmals vergewissern, ob die Türen tatsächlich abgeschlossen sind und das Funksignal des Schlüssels nicht „abgefangen“ oder blockiert wurde.
  • Genau überlegen, ob man wirklich alle möglichen Funktionen über das Smartphone steuern oder abrufen muss. Dies gilt sowohl für Funktionen der Kommunikation (Internet, SMS, Notfall-Services), Navigation (GPS, Routenplaner), des Assistenz-Systems (Reifendruck, Verkehrsinfos, Ölstand, Servicetermine, …) und die Infotainment-Funktionen (Musik, Streaming).
  • Aufdrehen von WLAN, Internet und Bluetooth nur wenn unbedingt nötig.
  • Physische Absicherung von offen zugänglichen USB-Anschlüssen im Fahrzeug.
  • Erkundigungen beim Autohändler einziehen, welche Daten beim KFZ-Service ausgelesen und an die Serverinfrastruktur des Herstellers oder gar an Dritte übertragen werden. Vor Softwareupdates in der Autowerkstatt werden aus Haftungsgründen manchmal private Daten (z.B. Musikdateien, Telefonverzeichnisse) aus dem Bordcomputer  auf firmeneigene Geräte gesichert und danach wieder rückgespielt.
  • Gibt es Fahrzeug-Apps am Markt, die nicht vom Hersteller entwickelt wurden und geheime Userdaten über eine webbasierte Programmschnittstelle erhalten bzw. diese Daten an die Infrastruktur des Drittherstellers weiterleiten?
  • Vor Verkauf oder Entsorgung eines Smartphone, welches mit Fahrzeug-Apps bestückt ist, sicherstellen, dass alle Daten physisch gelöscht werden. Das Rücksetzen auf den Werkszustand genügt in der Regel nicht.
  • Keinesfalls für Benutzer-Accounts von Fahrzeug-Apps Passwörter verwenden, die schon bei anderen Diensten (E-Mail, Social Media, IoT-Dienste) bekannt sind. In diesem Fall kann die eigene Bequemlichkeit schlimme Folgen haben.
  • Man kann davon ausgehen, dass sich die durch Autos mit Datenübertragung entstandene Angriffsfläche künftig um ein Vielfaches vergrößert. Vor allem Unternehmen, die ihre Fuhrparks vom selben Hersteller beziehen, müssen durch entsprechende Risikoanalysen das potentielle Angriffspotential ausloten und die Risiken durch entsprechende Gegenmaßnahmen mitigieren. Die Marken-Monokultur in der eigenen Fahrzeugflotte führt zwar zu sinkenden Kosten und verbessert die Interoperabilität mit firmeneigenen Anwendungen oder anderen IoT-Geräten, steigert aber gleichzeitig die Schadensauswirkung eines Cyberangriffes auf die ganze Flotte.  Wenn größere Anschaffungen geplant sind, schadet es nicht, vom Fahrzeug-Hersteller, seinen IT-Dienstleistern und Vertragswerkstätten eine Bestätigung der aktuellen IT- und Privacy-Zertifizierungen anzufordern.
  • Wenn in Unternehmen Fahrzeug-Apps zur Unterstützung von Betriebsabläufen eingesetzt sind, sollten diese Apps nur auf Smartphones installiert sein, die der Firma gehören und von dieser über ein mobiles Device-Management verwaltet werden. Keinesfalls Privatgeräte der Mitarbeiter oder private Apps oder unsichere Dienste auf dem Firmenhandy zulassen.
  • Auch VIP-Personenschützer und VIP-Chauffeure müssen mit den möglichen Angriffsvektoren auf smarte Fahrzeuge vertraut sein, um das Leben und die Privacy ihrer Fahrgäste besser schützen zu können. Dieses Thema sollte ausreichend in den Ausbildungen zu diesen Berufen verankert sein. Viele Vorstands- und Aufsichtsratsmitglieder von Unternehmen führen wichtige, vertrauliche Gespräche zwischen den Geschäftsterminen im Firmenfahrzeug. Dabei könnten Betriebsgeheimnisse über Abhöraktionen schnell in die Hände der Konkurrenz gelangen. Die physische Sicherheit eines VIP kann z.B gefährdet sein, wenn ein Angreifer remote Fahrzeugfunktionen beeinflusst, oder die Steuerung eines entgegenkommenden rollenden „Computer-LKW’s“ übernimmt.

Die Hersteller von smarten Fahrzeugen müssen große Anstrengungen unternehmen, denn die mit diesen Fahrzeugen gelieferte Privacy und Sicherheit wird schnell zum strategischen Erfolgsfaktor und zur Überlebensfrage.

Autor: Karlheinz Strasser