Foto: Schöne

Vernetzte Computersysteme in Gefahr

Bussysteme locken Hacker

Der Allianz Versicherungskonzern versichert Autos, Zulieferer und Industrieanlagen. Alle diese Objekte haben eines gemeinsam: viele vernetzte Computersysteme. Diese sind über Bussysteme verbunden und darüber angreifbar. Die Lösung dieses Problems wird Zeit in Anspruch nehmen, und ein Umdenken der Entwickler ist erforderlich.

Computerbusse beherrschen Fertigungsstraßen, Rechenzentren und auch Autos. Sie sind teilweise nur unzulänglich gegen Angriffe geschützt, weil sie zu einer Zeit konzipiert wurden, als sich die Techniker allein mit ihren Produkten wähnten. Auf der Sicherheitskonferenz IT-Defense der Firma Cirosec in Mainz erläuterte der Leiter der Abteilung Informationssicherheit der Allianz, Stephan Gerhager, aktuelle Forschungsergebnisse. Im Rahmen einer Bachelorarbeit ließ er die Angriffsfestigkeit von deutschen Automobilen untersuchen und kam zu wenig beruhigenden Ergebnissen.

Ferngesteuerter Jeep

Hintergrund der Forschungen waren die Aufsehen erregenden Hacks der beiden Amerikaner Charlie Miller und Chris Valasek, die 2015 vor laufenden Fernsehkameras die Herrschaft über ein Fahrzeug der Marke Jeep übernehmen. Sie hatten sich vom Mobilfunkteil des Infotainment-Bereichs des Autos bis zum Lenkrad vorgearbeitet und die Steuerung übernommen. Zuvor manipulierten sie aus der Entfernung Licht, Bremse und Scheibenwischanlage. Im Frühjahr 2015 hatte der Sicherheitsexperte Eric Evenchick auf der Black Hat Asia bereits gezeigt, das so etwas prinzipiell möglich ist.

Alle modernen Automobile werden durch ein Netzwerk von Computerbussen durchzogen, die eine Vielzahl von elektronisch kontrollierten Einheiten verbinden. Je teurer, desto mehr Steuereinheiten – eine jede ein potentieller Angriffsvektor. Um etwa das Lenkrad übernehmen zu können, muss dort ein Steuergerät verbaut sein, sonst kann der Computer nicht ins Steuer greifen. Verbaut werden solche Steuergeräte, wenn Parkassistenten geordert werden.

CAN-Bus in Industrierobotern

Die Busse unterscheiden sich in Hinsicht Leistungsfähigkeit, Kosten und Schnelligkeit. Besonders preiswerte Busse gibt es für Scheinwerfer und verstellbare Sitze, andere sind optimiert für Multimedia-Anwendungen. Sie alle sind mit dem wichtigsten Bus verbunden, der auch Motorbremse und das ABS steuert, dem CAN-Bus (Controller Area Network). Er ist weit verbreitet und wird auch in Produktionsumgebungen und in Robotern verwendet. Die zahlreichen Angriffsmöglichkeiten auf diesen Bus beunruhigen deshalb auch Sicherheitsbeauftragte von Industrieanlagen.

Spätestens seit dem Vortrag von Evenchick auf der Black Hat Asia sind die Sicherheitslücken dieses CAN-Busses offensichtlich und allgemein bekannt. Er wurde 1986 vorgestellt und stammt in seinen Anfängen aus einer Zeit, als das Wort Hacker noch weitgehend unbekannt war. Sicherheitsingenieure konnten sich nicht vorstellen, dass jemand ihre Steuerbefehle ausspähen und missbrauchen könnte. Doch genau das passierte 2015, als Miller und Valasek aus einem Kilometer Entfernung per Funkbefehl einen Jeep Cherokee und seine Insassen in den Straßengraben bugsierten. Als Folge der Versuche musste der italienisch-amerikanische Autobauer Fiat Chrysler Automobiles (FCA) in den USA 1,4 Millionen Autos zurückrufen. Betroffen waren Modelle der Marken Dodge, Ram und Jeep. Als Einfallstor diente den Hackern ein Mobilfunkmodul im Infotainment-Bereich des Autos, das es so in Europa nicht gibt. Aber vielleicht gibt es andere Risiken.

Zwei Studenten greifen ein

Gerhager ließ einem Bachelor-Studenten acht Wochen Zeit, zusammen mit einem Werkstudenten aktuelle Schwachstellen zu finden und auszunutzen. Die beiden angehenden Ingenieure verfügten über ein erhebliches Vorwissen, was Autoelektronik angeht. Die Versicherung stellte sowohl Fahrzeuge als auch Steuergeräte zur Verfügung. Zusätzlich wurden frei verkäufliche Analysewerkzeuge beschafft, die in Werkstätten heute üblich sind. Hiermit gelang es dem Team, binnen kurzer Zeit die Signale auf dem CAN-Bus mitzulesen, aufzuzeichnen und langsam zu verstehen. Wer etwa weiß, welcher Befehl die Tür verriegelt und diesen Befehl dann selber noch einmal sendet, der öffnet sie. Auch Licht und Scheibenwischanlage lassen sich einfach steuern.

Weit beunruhigender ist aber die Bestätigung von Evenchicks Erkenntnis, das auf einen CAN-Bus jeder senden kann, wie er will. Er wird als vertrauenswürdig eingestuft und beachtet. Jeder Sensor kann sogar die Priorität seiner Information selbst festlegen. Solange dies die Hersteller übernehmen, entsteht kein Problem. Wenn aber Hacker auf den CANBus vordringen, können sie problemlos einen DoS (Denial of Service)-Angriff starten. Es genügt, ein beliebiges Signale mit höchster Priorität immer und immer wieder zu senden.

Lernfreudige Diagnose-Schnittstelle

Um an den Bus zu gelangen, ist es nicht nötig zu löten und zu schrauben. Jedes moderne Auto verfügt über einen bequemen Zugang, über den man die Befehle einspeisen kann: die OBD 2 (On Bord Diagnose)- Schnittstelle. Eigentlich als Diagnosesystem gedacht, das während des Betriebs des Autos die Steuergeräte des Autos überwacht und an das Servicepersonal weiterleitet, akzeptiert sie auch Befehle. So ist es möglich, Zugriff auf den Bus und damit auf das Fahrzeug zu erhalten.

Anders als beim Hack des Jeeps in den USA gelang es dem Mini-Team binnen der selbst gesetzten acht Wochen Frist nicht, sich von der Mobilfunkschnittstelle bis hin zu den Aktoren an der Lenksäule vorzuarbeiten, um das Auto fernzusteuern. Dazu hätten die Angreifer über den Mobilfunkzugang der Telematik auf den CAN-Bus vordringen müssen, und sich auf dem Gateway (Netzübergang) des Fahrzeugs durch Änderung der Firmware einen unerlaubten Zugang einzurichten.

Abschirmende Segmentierung

Dass dies während der acht Wochen nicht gelang, hat einen Grund: In deutschen Fahrzeugen sind die einzelnen Gerätegruppen durch Segmentierung besser voneinander abgeschirmt, sodass der Angreifer hier zusätzliche Hürden überwinden muss. Die Befehle werden von einem Zweig nicht an die anderen weitergeleitet. Außerdem sind alle Serien, auch die ein- und desselben Herstellers, stark heterogen aufgebaut. Wer die A-Klasse hacken kann, weiß über die B-Klasse nichts. Ein 3er BMW besteht aus anderen elektronischen Komponenten als ein 5er. Der Hacker muss bei jedem Modell wieder von vorne anfangen. Natürlich sind diese Hürden überwindbar, aber es erhöht den Aufwand beträchtlich. Generell gilt: Je mehr Features der Autohersteller eingebaut hat, desto mehr Angriffsmöglichkeiten bieten sich dem Hacker. Ein Auto ohne Park-Assistenz-Funktion hat auch kein Stellglied an der Lenksäule, dessen Herrschaft der Hacker übernehmen kann. Segmentierung ist auch bei Industriesteuerungen das Mittel der Wahl, um Angriffe zu erschweren.

Die Forschungen des Teams um Gerhager sind von der Automobilindustrie und den Zulieferern zur Kenntnis genommen worden. Starke Kryptografie und wechselseitige Authentifizierung sollen die nun bekannten Sicherheitslücken stopfen. Andere tun sich derweil auf: Ab 2017 will Volvo ganz auf den Zündschlüssel verzichten. Tür öffnen und Auto starten funktioniert dann nur noch über eine App und ein Smartphone, das über Bluetooth mit dem Auto kommuniziert. Hacker dürften sich darüber freuen.

Bernd Schöne