Thought Leadership
Es gab Zeiten, da waren Hacker nur für die Regierung oder einzelne Unternehmen ein Thema. Doch das Internet der Dinge erweitert den Hacker-Horizont, Herzschrittmacher können ebenso gehackt werden wie Flugzeugträger – und seit kurzem auch Autos: im Rahmen eines Sicherheitstests des US-Magazins WIRED wurde ein Jeep Cherokee während der Fahrt virtuell geknackt.
Zwei „White Hat“-Hacker (das sind die Guten) versuchten herauszufinden, ob sich Connected Cars in Fernsteuerautos verwandeln lassen. Mit großem Erfolg: Die Hacker schafften es unter anderem Radio, Klimaanlage, Scheibenwischer während der Fahrt zu kontrollieren; sie konnten sogar das Getriebe mitten auf der Autobahn abschalten (mehr dazu). Der Hersteller reagierte mit einem Sicherheits-Patch und startete einen Rückruf.
Autos können offiziell gehackt werden
Aus dem Stunt ist ein wissenschaftlicher Artikel entstanden, in dem 24 verschiedene Fahrzeuge nach ihrer „Hackbarkeit“ geordnet sind. Die Forscher bewerten die Sicherheit nach drei Kriterien:
- Die Menge und die Art der vorhandenen Funkverbindungen, die Systeme innerhalb des Fahrzeugs mit dem Internet verbinden. Verbindungen wie Bluetooth, WLAN, Mobilfunknetze oder Zugangssysteme ohne Schlüssel vergrößern jeweils die sogenannte „Funk-Angriffsfläche“.
- Der Grad der Isolation zwischen vernetzten Bauteilen und kritischen Fahrzeugsystemen. Dies ist vor allem für Vorgänge mit Schreibrechten entscheidend, die den Zustand der Fahrsysteme ändern könnten.
- Der Anteil an „cyberphysischen“ Komponenten innerhalb der kritischen Systeme: können also digitale Befehle physische Aktionen auslösen, etwa eine Bewegung des Lenkrads oder der Bremsen?
Der Jeep wurde deswegen zum Opfer der Hacker, weil er in allen drei Kategorien unsicher war: sein Infotainment-System war von außen per Mobilfunk erreichbar und innerhalb des Fahrzeugs mit verschiedenen Systemen direkt verbunden – offenbar nicht nur mit dem Radio. Zum Vergleich: Der Audi A8 mit gleichem Baujahr bietet zwar eine ähnlich große Funk-Angriffsfläche, wurde jedoch als deutlich sicherer eingestuft, da seine sensiblen Komponenten intern ordentlich isoliert wurden.
Wie lassen sich Connected Cars sichern?
Die Forscher argumentieren nachvollziehbar für die komplette Isolierung aller sicherheitsrelevanten Steuereinheiten (ECU) von vernetzten Systemen – was allerdings wiederum andere Features deutlich einschränken kann.
Wie lässt sich eine solche granulare Autorisierung zusätzlich zum binären Isolationsmodell der Sicherheitsforscher umsetzen? Die Antwort könnte Identität lauten, speziell in Form von Standards wie OAuth 2.0 und OpenID Connect 1.0: beide ermöglichen die Kommunikation verschiedener Komponenten, basierend auf der Zustimmung eines bestimmten menschlichen Akteurs. Der Nutzer stößt die Produktion eines Sicherheits-Tokens an, der von den Kommunikationsparteien in allen Nachrichten genutzt wird.
Delegierte Autorisierung
Im Kontext des Connected Cars wäre das Entertainment-System nur dann in der Lage, auf die Innenraumbeleuchtung zuzugreifen, wenn der Nutzer vorher explizit einen Sicherheits-Token freigegeben hätte, der diese Interaktion genehmigt. Wenn ein Hacker nun einen Befehl an das Lichtsystem sendet, würde die Anfrage abgewiesen – ihm fehlt der Token.
Dieses Modell der delegierten Autorisierung erstreckt sich nicht nur auf Interaktionen zwischen ECUs, sondern auch auf solche mit der Cloud – wenn beispielsweise das Entertainment-System die Musikpräferenzen über einen Cloud-Dienst mit anderen Geräten synchronisiert.
Der WIRED-Hack zeigt, dass die interne Architektur vieler aktueller Autos noch verbesserungsfähig ist. Sensible Komponenten sollten komplett isoliert werden – wenigstens für Operationen mit Schreibzugriff – um lebensgefährliche Angriffe unmöglich zu machen. Doch es gibt Alternativen zur kompletten Isolierung aller Bauteile: delegierte Autorisierungsmodelle ermöglichen die kontrollierte Interaktion, gesteuert von den Wünschen der Fahrer und Mitfahrer. Wichtige Bausteine hierfür werden in Zukunft die beiden Standards OAuth 2.0 und OpenID Connect 1.0 sein.
Konferenz zum Thema:
Security Eye: Cyberrisiken aktiv abwehren
Konferenz am 22.09.2015 im Grand Hotel Wien
Kostenlose Teilnahme
http://www.it-daily.net/agenda
