Warum Over-the-Air-Updates für Fahrzeuge ein hohes Risikopotential bergen
Updates über eine Funkverbindung – also über die Luft (Over-the-Air – kurz OTA), sind heute bei vielen IT-Geräten wie PCs, Laptops, Smartphones etc. Gang und Gäbe. Es ist naheliegend, dieses Verfahren auch für Software in Fahrzeugen anzuwenden. Tatsächlich ist dabei jedoch höchste Vorsicht geboten.
Ein modernes Fahrzeug besteht aus zahlreichen IT-Komponenten, die Sensoren abfragen, Geräte steuern, für die Kommunikation zuständig sind, das Fahrzeug navigieren, Daten austauschen und vieles mehr. Viele dieser Komponenten sind nur über interne Bussysteme zugänglich und nicht so robust und fehlertolerant ausgelegt wie beispielsweise Smartphones. Der Grund dafür ist, dass Updates bisher immer in einer Werkstatt mit einem OBD-Stecker durchgeführt wurden. Durch den quasi „geschlossenen Kreislauf“ waren diese Updates per se vertrauenswürdig. Bei OTA-Updates ist das nicht so – Vertrauen wäre hier sehr fahrlässig. Zudem parken Fahrzeuge häufig im öffentlichen Raum, so dass es auch diverse physische Angriffsmöglichkeiten gibt, um in das komplexe IT-System einzudringen. Hersteller müssen daher zahlreiche Vorkehrungen treffen, damit ein OTA-Update sicher funktioniert.
Langfristig dürfte eine Weigerung gegen OTA-Updates auch im Auto kaum auf dem Markt durchzusetzen sein. Nutzer wünschen sich Updates per Funk, weil sie sich das aufwendige Werkstatt-Prozedere ersparen wollen. Updates, auch häufige, sind aus verschiedenen Gründen sinnvoll:
- weil Sicherheitslücken entdeckt wurden, die geschlossen werden müssen,
- weil Fehlfunktionen (wie das zu frühe Auslösen eines Airbags) korrigiert werden müssen,
- weil das Fahrzeug neue Funktionalitäten bekommen und Bedienprobleme behoben werden sollen,
- um das System für den Einbau neuer Hard- und Software vorzubereiten oder um Performance-Verbesserungen zu erzielen,
- um Daten beispielsweise für das Navigationssystem einzuspielen, damit das Fahrzeug auch ohne Internetverbindung navigieren kann.
Jedes OTA-Update ist jedoch ein potenzieller Angriffspunkt für einen Hacker. Für Automobilhersteller ist das Thema OTA deshalb von besonderer Bedeutung. Das beginnt schon bei der Frage, wo die Update-Funktion im Auto angesiedelt sein sollte. Denn sie muss Zugriff auf alle Komponenten haben, die Updates verarbeiten können müssen. Entsprechend gut muss sie ausgestattet (Speicher für die Updatedaten) und abgesichert sein. Könnte sich ein Hacker hier einschleusen, könnte er alle Systeme kontrollieren.
Fünf Aspekte sind besonders wichtig, um die Security bei OTA-Updates zu steigern:
Autorisierung
Nur wer berechtigt ist, Updates einzuspielen, sollte dies auch tun können. Es gilt, diejenigen auszuschließen, die zwar technisch dazu in der Lage wären, Updates vorzunehmen, aber keine Berechtigung haben.
Authentifizierung
Sowohl das Back-End (also die Server des Herstellers, die das Update zur Verfügung stellen) als auch die Fahrzeuge müssen über Zertifikate oder andere Mechanismen sicherstellen, dass sich dahinter kein Hacker verbirgt. Würde das Back-End gehackt, könnte sonst eine ganze Fahrzeugflotte infiltriert werden. Fake-Cars könnten Betriebssystemdaten abgreifen.
Integrität
Sind Daten und vor allem auch Zertifikate und kryptografische Keys geschützt vor Zugriffen Dritter? Wie kann das Fahrzeug selbst feststellen, ob es gehackt wurde oder ein erfolgreicher Einbruchversuch stattgefunden hat? Und letztlich: Wie lassen sich auch Zertifikate und Keys sicher updaten?
Zuverlässigkeit
Ein Update muss sicher durchgeführt werden können. Dies kann durch Vorabtests wie „Hat der Benutzer zugestimmt“, „Ist die Batterie voll geladen“, „Steht das Fahrzeug?“, „Ist das Auto an das Stromnetz angeschlossen“ und „benötigt der Benutzer das Fahrzeug in nächster Zeit“ überprüft werden. Nach dem Update muss sichergestellt sein, dass das Fahrzeug zu 100 Prozent betriebsbereit ist.
Regulierung & Compliance
Hersteller müssen sicherstellen, dass die Updates den rechtlichen Vorgaben der Zielmärkte entsprechen, weil sonst die Betriebserlaubnis erlischt. Zu diesen Vorgaben gehört unter anderem auch, dass die Software im Falle eines Abbruchs des Updates in der Lage sein muss, ein Rollback auf den letzten gültigen Software-Stand durchzuführen.
Denken wie ein Hacker
Vor allem bei den ersten drei Punkten müssen Software-Entwickler im Automobilbereich wie IT-Sicherheitsexperten denken und handeln. Sie dürfen keine „Abkürzungen“ einbauen und Prüfroutinen unabhängig von der Eingabe immer ein „OK“ zurückliefern lassen. Sie müssen absolut jedes Detail prüfen (also nicht nur, ob der Kommunikationspartner ein SSL-Zertifikat hat, sondern zum Beispiel auch, ob die Domain des Zertifikats und des Servers übereinstimmt) und jegliches Angriffsszenario durchspielen.
Dafür müssen sie wie ein Hacker denken. Ist beispielsweise die Integrität des Gesamtsystems nicht gewährleistet, kann der Inhalt einer Datei nach der positiven Prüfsummenberechnung verändert und eine gepatchte Variante als Update eingespielt werden. Daher sollte die Prüfung und das Einspielen mit den garantiert gleichen Daten erfolgen.
In dem Webinar „99% complete, don’t switch off your car” liefert der Sicherheitsexperte Benny Meisels von Cymotive weitere Beispiele, wo Automobilherstellern und Zulieferern typischerweise Fehler unterlaufen, die Hackern Angriffsflächen bieten, um ein Fahrzeug beim Update zu übernehmen. Interessierte können sich das Webinar kostenlos auf Youtube anschauen. Es macht deutlich, wie komplex die Anforderungen an die IT-Sicherheit in Fahrzeugen bei OTA-Updates sind und wie Security-Experten von Cymotive dabei unterstützen können.
Quelle & Foto: CYMOTIVE Technologies