Angriff aufs Auto

Wenn der Hacker auf dem CAN-Bus sitzt

| Autor / Redakteur: Bernd Schöne / Stephan Augsten

Bessere Abschirmung bei deutschen Fahrzeugen

Ganz so einfach wie in den USA ist es allerdings nicht, wie die Forschungen des Allianz-Teams ergaben. In deutschen Fahrzeugen sind die einzelnen Gerätegruppen durch Segmentierung besser voneinander abgeschirmt, sodass der Angreifer hier zusätzliche Hürden überwinden muss. Außerdem sind alle Serien, auch die ein und desselben Herstellers, stark heterogen aufgebaut.

Das bedeutet: Wer die A-Klasse hacken kann, weiß über die B-Klasse nichts. Ein 3er BMW besteht aus anderen elektronischen Komponenten als ein 5er. Der Hacker muss bei jedem Modell wieder von vorne anfangen. Natürlich sind diese Hürden überwindbar, aber es erhöht den Aufwand beträchtlich.

Ergänzendes zum Thema
 
Aktuelle Herausforderungen

Generell gilt: je mehr Features der Hersteller eingebaut hat, was insbesondere bei teureren Modellen der Fall ist, desto mehr Angriffsmöglichkeiten bieten sich dem Hacker. Ein Auto ohne Park-Assistenz-Funktion hat auch kein Stellglied an der Lenksäule, dessen Herrschaft der Hacker übernehmen kann.

Um die Segmentierung aufzuheben, müssten wichtige Netzwerkkomponenten eine neue Firmware erhalten, die den Hackern über einen Proxy Zugang verschafft. Diese Hürde scheint überwindbar, etwa durch die Schnittstelle zur On-Bord-Diagnose (OBD 2). Eigentlich als Diagnosesystem gedacht, das während des Betriebs des Autos die Steuergeräte des Autos überwacht und an das Servicepersonal weiterleitet, akzeptiert sie auch Befehle. So ist es möglich, Zugriff auf den Bus und damit auf das Fahrzeug zu erhalten.

Sicherheitsforscher befürworten neue Bus-Systeme

Reale Angriffe wurden während des Vortrages in Mainz nicht demonstriert. Anders als beim Hack des Jeeps in den USA von Charlie Miller und Chris Valasek gelang es dem Mini-Team binnen der selbst gesetzten Achtwochenfrist nicht, sich von der Mobilfunkschnittstelle bis hin zu den Aktoren an der Lenksäule vorzuarbeiten, um das Auto fernzusteuern.

Die Befehle, mit denen die Steuergeräte über den CAN-Bus angesprochen werden, hatten sie aber weitgehend verstanden und gelernt. Mit etwas mehr Zeit und genauerem Studium von Schulungs- und Werkstattunterlagen, hätte das Ergebnis anders ausschauen können.

Ganz generell kritisiert Stephan Gerhager den etwas laxen Umgang mit dem Thema IT-Sicherheit bei den Autobauern. Fahrzeuge lassen sich heute mit gut bekannten Methoden angreifen und sind so verwundbar wie ein Büro-PC, allerdings mit dramatisch schlimmeren Folgen für die Insassen und die Automobilindustrie.

Jeder Patch-Day bedeutet den Rückruf von Millionen Fahrzeugen in die Werkstatt. Da OEMs und Zulieferer versichert sind, könnte das für alle Beteiligten extrem teuer werden. Es sollte sich also etwas tun.

Stephan Gerhager setzt auf neue Busse. Der wichtige CAN-Bus stammt aus dem Jahr 1986 und sollte dringend überarbeitet werden. Die Erfahrungen aus dem Bereich der Standard -IT sollten zügig Einzug in die Netzwerke der Automobile Einzug halten, etwa durch gegenseitige Authentifizierung auf dem Bus und Schutz der Signale durch starke Kryptographie. Automobilbauer reden viel von Security, meinen aber Safety. Das Wissen um IT-Security Probleme schlummert in der IT Abteilung und findet nur schwer seinen Weg zu den Konstrukteuren.

Die Automobilindustrie denkt allerdings schon weiter, alles soll zur App werden. Ab 2017 will Volvo ganz auf den Zündschlüssel verzichten, Tür öffnen und Auto starten funktioniert dann nur noch über eine App und ein Smartphone, das über Bluetooth mit dem Auto kommuniziert. Hacker dürften sich darüber freuen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43950502 / Schwachstellen-Management)