Home » News » Warum Over-the-Air-Updates für Fahrzeuge ein hohes Risikopotential bergen

Warum Over-the-Air-Updates für Fahrzeuge ein hohes Risikopotential bergen

Updates über eine Funkverbindung – also über die Luft (Over-the-Air – kurz OTA), sind heute bei vielen IT-Geräten wie PCs, Laptops, Smartphones etc. Gang und Gäbe. Es ist naheliegend, dieses Verfahren auch für Software in Fahrzeugen anzuwenden. Tatsächlich ist dabei jedoch höchste Vorsicht geboten.

3 Min. Lesezeit
Warum Over-the-Air-Updates für Fahrzeuge ein hohes Risikopotential bergen
Foto: ©AdobeStock/chesky

Ein modernes Fahrzeug besteht aus zahlreichen IT-Komponenten, die Sensoren abfragen, Geräte steuern, für die Kommunikation zuständig sind, das Fahrzeug navigieren, Daten austauschen und vieles mehr. Viele dieser Komponenten sind nur über interne Bussysteme zugänglich und nicht so robust und fehlertolerant ausgelegt wie beispielsweise Smartphones. Der Grund dafür ist, dass Updates bisher immer in einer Werkstatt mit einem OBD-Stecker durchgeführt wurden. Durch den quasi „geschlossenen Kreislauf“ waren diese Updates per se vertrauenswürdig. Bei OTA-Updates ist das nicht so – Vertrauen wäre hier sehr fahrlässig. Zudem parken Fahrzeuge häufig im öffentlichen Raum, so dass es auch diverse physische Angriffsmöglichkeiten gibt, um in das komplexe IT-System einzudringen. Hersteller müssen daher zahlreiche Vorkehrungen treffen, damit ein OTA-Update sicher funktioniert.

Langfristig dürfte eine Weigerung gegen OTA-Updates auch im Auto kaum auf dem Markt durchzusetzen sein. Nutzer wünschen sich Updates per Funk, weil sie sich das aufwendige Werkstatt-Prozedere ersparen wollen. Updates, auch häufige, sind aus verschiedenen Gründen sinnvoll:

  • weil Sicherheitslücken entdeckt wurden, die geschlossen werden müssen,
  • weil Fehlfunktionen (wie das zu frühe Auslösen eines Airbags) korrigiert werden müssen,
  • weil das Fahrzeug neue Funktionalitäten bekommen und Bedienprobleme behoben werden sollen,
  • um das System für den Einbau neuer Hard- und Software vorzubereiten oder um Performance-Verbesserungen zu erzielen,
  • um Daten beispielsweise für das Navigationssystem einzuspielen, damit das Fahrzeug auch ohne Internetverbindung navigieren kann.

Jedes OTA-Update ist jedoch ein potenzieller Angriffspunkt für einen Hacker. Für Automobilhersteller ist das Thema OTA deshalb von besonderer Bedeutung. Das beginnt schon bei der Frage, wo die Update-Funktion im Auto angesiedelt sein sollte. Denn sie muss Zugriff auf alle Komponenten haben, die Updates verarbeiten können müssen. Entsprechend gut muss sie ausgestattet (Speicher für die Updatedaten) und abgesichert sein. Könnte sich ein Hacker hier einschleusen, könnte er alle Systeme kontrollieren.

Fünf Aspekte sind besonders wichtig, um die Security bei OTA-Updates zu steigern:

Autorisierung

Nur wer berechtigt ist, Updates einzuspielen, sollte dies auch tun können. Es gilt, diejenigen auszuschließen, die zwar technisch dazu in der Lage wären, Updates vorzunehmen, aber keine Berechtigung haben.

Authentifizierung

Sowohl das Back-End (also die Server des Herstellers, die das Update zur Verfügung stellen) als auch die Fahrzeuge müssen über Zertifikate oder andere Mechanismen sicherstellen, dass sich dahinter kein Hacker verbirgt. Würde das Back-End gehackt, könnte sonst eine ganze Fahrzeugflotte infiltriert werden. Fake-Cars könnten Betriebssystemdaten abgreifen.

Integrität

Sind Daten und vor allem auch Zertifikate und kryptografische Keys geschützt vor Zugriffen Dritter? Wie kann das Fahrzeug selbst feststellen, ob es gehackt wurde oder ein erfolgreicher Einbruchversuch stattgefunden hat? Und letztlich: Wie lassen sich auch Zertifikate und Keys sicher updaten?

Zuverlässigkeit

Ein Update muss sicher durchgeführt werden können. Dies kann durch Vorabtests wie „Hat der Benutzer zugestimmt“, „Ist die Batterie voll geladen“, „Steht das Fahrzeug?“, „Ist das Auto an das Stromnetz angeschlossen“ und „benötigt der Benutzer das Fahrzeug in nächster Zeit“ überprüft werden. Nach dem Update muss sichergestellt sein, dass das Fahrzeug zu 100 Prozent betriebsbereit ist.

Regulierung & Compliance

Hersteller müssen sicherstellen, dass die Updates den rechtlichen Vorgaben der Zielmärkte entsprechen, weil sonst die Betriebserlaubnis erlischt. Zu diesen Vorgaben gehört unter anderem auch, dass die Software im Falle eines Abbruchs des Updates in der Lage sein muss, ein Rollback auf den letzten gültigen Software-Stand durchzuführen.

Denken wie ein Hacker

Vor allem bei den ersten drei Punkten müssen Software-Entwickler im Automobilbereich wie IT-Sicherheitsexperten denken und handeln. Sie dürfen keine „Abkürzungen“ einbauen und Prüfroutinen unabhängig von der Eingabe immer ein „OK“ zurückliefern lassen. Sie müssen absolut jedes Detail prüfen (also nicht nur, ob der Kommunikationspartner ein SSL-Zertifikat hat, sondern zum Beispiel auch, ob die Domain des Zertifikats und des Servers übereinstimmt) und jegliches Angriffsszenario durchspielen.

Dafür müssen sie wie ein Hacker denken. Ist beispielsweise die Integrität des Gesamtsystems nicht gewährleistet, kann der Inhalt einer Datei nach der positiven Prüfsummenberechnung verändert und eine gepatchte Variante als Update eingespielt werden. Daher sollte die Prüfung und das Einspielen mit den garantiert gleichen Daten erfolgen.

In dem Webinar „99% complete, don’t switch off your car” liefert der Sicherheitsexperte Benny Meisels von Cymotive weitere Beispiele, wo Automobilherstellern und Zulieferern typischerweise Fehler unterlaufen, die Hackern Angriffsflächen bieten, um ein Fahrzeug beim Update zu übernehmen. Interessierte können sich das Webinar kostenlos auf Youtube anschauen. Es macht deutlich, wie komplex die Anforderungen an die IT-Sicherheit in Fahrzeugen bei OTA-Updates sind und wie Security-Experten von Cymotive dabei unterstützen können.

CYMOTIVE Car Shield and Software

Quelle & Foto: CYMOTIVE Technologies

Andere interessante News

Neues Video stellt Ergebnisse des Projekts „INTEL: Skills Intelligence for the Private Security Sector“ vor

Bei der Abschlusskonferenz des Projekts "INTEL: Skills Intelligence for the Private Security Sector" (auf Deutsch etwa: Kompetenzaufbau für den privaten Sicherheitssektor) in Brüssel haben der europäische Dachverband des Sicherheitsgewerbes CoESS und die Gewerkschaft UNI Europa ein Video vorgestellt, das die wichtigsten Ergebnisse des INTEL-Projekts zusammenfasst.

Fluchtweglenkung: Neue Norm bringt mit adaptiven Mechanismen höchste Sicherheit

Der DIN-Normenausschuss Feuerwehrwesen (FNFW) hat einen Entwurf für eine neue Norm mit der Bezeichnung DIN 14036 vorgestellt. Wie der Notlichtspezialist INOTEC Sicherheitstechnik berichtet, beschreibt diese Norm die Anforderungen an die Planung und Umsetzung von Konzepten zur richtungsabhängigen Fluchtweglenkung.

Wie Cybersicherheitslösungen für Unternehmen in Zukunft robuster werden sollen

Cyberangriffe machen vor Landesgrenzen und Branchen nicht halt. In der jüngsten Vergangenheit wurden Flughäfen in Deutschland, Postdienste in Großbritannien und Krankenhäuser in Frankreich zum Ziel von Cyberkriminalität. Keine Organisation ist vor den Bedrohungen sicher. Dennoch muss ein Angriff nicht zwangsläufig zum Verhängnis werden. Der Einsatz von "abgehärteten" Cybersicherheitsprodukten gilt als vielversprechender Ansatz, um ein höheres Maß an Sicherheit gegenüber den wachsenden Bedrohungen zu bieten.