Was sind die Herausforderung bei der IT-Sicherheit von Autos und autonomen Fahrzeugen? Cristian Ion von Cymotive überrascht mit neuen Aspekten: So sind IT-Car-Security-Experten eher für Tools wie Flipper Zero, weil sie das Testing erleichtern. Und auch Autos als abgeschlossene, wohldefinierte Systeme begünstigen eher eine Angriffserkennung per Intrusion Detection.
Dass IT-Sicherheit in Autos eine komplexe Herausforderung ist, zeigt sich an vielen Pressemeldungen, die über gestohlene Fahrzeuge, fehlgeleitete autonome Autos und besonders gefährliche Hackertools berichten. Im Gespräch mit Cristian Ion, Head of Secure Engineering beim Car-Security-Spezialisten Cymotive, kommt deutlich zutage, welche Risiken real und herausfordernd sind.
In letzter Zeit wird viel über Flipper Zero als Hackertool berichtet. Es gibt sogar Forderungen, es zu verbieten. Wie stehen Sie dazu?
Cristian Ion: Flipper Zero als Hacking-Tool für Funkkommunikation sehe ich eher als nützliches Werkzeug für umfangreiche Testing-Anforderungen. Das Pen-Testing-Tool erleichtert zwar auch Laien und Skript-Kiddies den Angriff, aber es bietet auch die Möglichkeit, zahlreiche Skripte zu laden und dann abzuarbeiten, um viele Angriffsvektoren automatisiert zu testen.
Insgesamt gibt es aktuell noch recht wenige erschwingliche Hardware-Tools für USB oder CAN-Bus, die als Pen-Testing- und Angriffstools fungieren können, um die Sicherheitsmaßnahmen von Fahrzeugen ausreichend zu testen.
Angriffstools wird es immer geben, aber dies sollte das nicht als Ausgangspunkt genommen werden, um sie zu verbieten, sondern, um die Abwehrmechanismen zu verbessern.
Als Autohersteller benötigt man ein umfangreiches Toolset, um die Sicherheit umfassend testen zu können. Ziel ist es, das Risiko und den Impact eines erfolgreichen Angriffs auf ein Fahrzeug zu bestimmen.
Das Thema IT-Sicherheit ist nicht neu, könnte die Autoindustrie die Technologie nicht einfach von der Software-Industrie oder dem produzierenden Gewerbe übernehmen? Oder sind die Unterschiede doch größer?
Cristian Ion: Letztlich ist die Automobilindustrie in der vorteilhaften Situation, technisch beim Thema Sicherheit kein Vorreiter zu sein und sehr viel aus der Industrie lernen und übernehmen zu können. Dabei geht es aber nicht darum, diese eins zu eins zu kopieren, sondern sinnvoll zu adaptieren.
Die Industrie- und Automobilbranche haben gemeinsam, dass sie Produkte entwickeln, die lange laufen. Heute wird bereits Software für Fahrzeuge entwickelt, die 2030 auf den Markt kommen und dann 10, 15 oder 20 Jahre fahren. Sie werden also 2050 noch aktiv genutzt werden. Das muss die Software-Entwicklung heute schon berücksichtigen und die Möglichkeit vorsehen, bei jedem Gerät Updates einspielen zu können. Dazu gilt es regulatorische Rahmenbedingungen zu beachten und zusätzlich alle beteiligten Hersteller entlang der Supply Chain in die Lage zu versetzen, die Updates abgesichert durchzuführen.
Ein weiterer Aspekt, der die Auto-IT-Sicherheit zu einer besonderen Herausforderung macht, ist die physische Zugänglichkeit. Bei Industrieprodukten sorgt der Eigentümer dafür, dass nur befugte Personen Zugang zu den Maschinen haben. Ein Auto ist leicht zugänglich, es steht häufig auf öffentlichen Parkplätzen. Zudem kommuniziert ein Fahrzeug auf vielfältige Weise mit der Außenwelt, was es angreifbar macht. Dies gilt insbesondere auch für den Ladevorgang, bei dem vielfach einer Ethernet-Verbindung zwischen Auto und Ladenetz hergestellt wird.
Ein Auto besteht aus Hunderten von IT-Komponenten, die oft von vielen verschiedenen Zulieferern stammen. Bei der Digitalisierung von Fahrzeugen steht die Autoindustrie heute sicherheitstechnisch dort, wo Smartphones vor 15 Jahren standen. Damals gab es noch keine großen Plattformen, der Markt war fragmentiert. Als sich das änderte und sich die zwei großen Player Android und iOS durchsetzten, wurden auch die Angriffe intelligenter und waren schwieriger abzuwehren.
Eine ähnliche Entwicklung ist nun auch für Fahrzeuge zu erwarten. Noch gibt es keine bekannt gewordenen Angriffe mit beispielsweise Remote-Execution-Attacken. Aber das ist nur eine Frage der Zeit. Auch hier zeichnet sich bereits eine Konsolidierung verschiedener Plattformen ab. Und das macht es auch für Angreifer interessant.
Oft behaupten Fahrzeughersteller, Angreifer könnten Fahrzeuge nicht komplett übernehmen und bildlich gesprochen „an die Wand fahren“. Was sind die typischen Gefahren erfolgreicher Fahrzeug-Attacken?
Cristian Ion: Die einfachste Folge ist der Diebstahl eines einzelnen Fahrzeugs, was für den Fahrer ein herber Verlust, aber auch die Marke als Technologieunternehmen beschädigen könnte.
Gelingt es jedoch, in das Backend-Managementsystem einer Flotte einzudringen, können Hunderte oder Tausende von autonomen Fahrzeugen an einen Ort in einer Stadt geschickt werden, um dort einen Stau zu verursachen, oder auf Autobahnen verteilt werden, um dort alle Fahrzeuge zu stoppen.
Autonome Fahrzeuge müssen außerdem aus dem Mix der verschiedenen Sensoren (Video, Radar, LiDAR, Ultraschall) ein 3D-Objekt der Umwelt erstellen, um navigieren und fahren zu können. Wer hier gezielt einzelne Sensoren täuscht, kann das Fahrzeug zu unvorhersehbaren Aktionen verleiten. Gleiches gilt, wenn es einem Angreifer gelingt, Kartendaten zu manipulieren, die das Fahrzeug aus dem Internet bezieht.
Ein wesentliches Bedrohungsrisiko besteht darin, dass Angreifer sich physischen Zugang zu einem autonomen Fahrzeug verschaffen und versuchen, über diesen Zugang in die Backend-Managementsysteme einzudringen, um die Kontrolle über eine Vielzahl von Fahrzeugen zu erlangen.
Das führt zur wichtigen Frage: Wir können Autobauer auf diese Cyber-Security-Herausforderungen reagieren?
Cristian Ion: Um es Angreifern so schwer wie möglich zu machen, gehen OEMs dazu über, nicht mehr alle Geräte an ein einziges Bussystem und ein zentrales Gateway anzuschließen, sondern Zonen mit vielen kleineren Gateways im Fahrzeug zu etablieren. Das verkürzt die Wege (und erhöht die Performance), schottet aber auch Teilbereiche gegeneinander ab und erschwert Hackern den Zugriff auf kritische Systeme. Gibt es nur ein Gateway, so steht nach dessen Übernahme das gesamte System unter fremder Kontrolle.
Neue Systeme nutzen dafür mehrere physisch getrennte Subnetze, Virtualisierung und Embedded-Chips mit Virtualisierung für Echtzeitbetriebssysteme.
Car-IT-Systeme haben gegenüber allgemeinen IT-Systemen und IT-Infrastrukturen auch den Vorteil, dass sie sehr genau wissen, welche Systeme und ‚Player‘ im Fahrzeug was machen dürfen und wie sie kommunizieren. Anders als zum Beispiel in Mobilfunknetzen ist immer klar, welche Kommunikation erlaubt und welche „ungewöhnlich“ ist. Dies erleichtert es, Angriffe und Angreifer mit einem Intrusion Detection System zu erkennen und per Intrusion Prevention System rechtzeitig Gegenmaßnahmen zu ergreifen.