Thought Leadership
Smartphones lassen sich per Funk updaten, PCs sowieso, warum nicht auch Autos, wenn es „nur“ um die Software geht? Ein Over-the-Air-Update (OTA) im Auto mit seinen vielen Komponenten ist viel komplexer, als es auf den ersten Blick scheint. Und es bietet zahlreiche Angriffspunkte, deren Gefährlichkeit erst auf den zweiten Blick deutlich wird. Hersteller müssen daher zahlreiche Vorkehrungen treffen, damit ein OTA-Update sicher funktioniert.
Ein modernes Fahrzeug besteht aus zahlreichen IT-Komponenten, die Sensoren abfragen, Geräte steuern, für die Kommunikation zuständig sind, das Fahrzeug navigieren, Daten austauschen und vieles mehr. Viele dieser Komponenten sind nur über interne Bussysteme zugänglich und nicht so robust und fehlertolerant ausgelegt wie beispielsweise Smartphones. Der Grund dafür ist, dass Updates bisher immer in einer Werkstatt mit einem OBD-Stecker durchgeführt wurden. Diesem haben die Fahrzeuge „vertraut“, was bei OTA-Updates fahrlässig wäre. Zudem parken Fahrzeuge häufig im öffentlichen Raum, so dass es auch diverse physische Angriffsmöglichkeiten gibt, um in das komplexe IT-System einzudringen.
Kund:innen wünschen sich aber Updates per Funk, weil sie sich das aufwendige Werkstatt-Prozedere ersparen können. Updates, auch häufige, sind aus verschiedenen Gründen sinnvoll:
- weil Sicherheitslücken entdeckt wurden, die geschlossen werden müssen,
- weil Fehlfunktionen (wie das zu frühe Auslösen eines Airbags) korrigiert werden müssen,
- weil das Fahrzeug neue Funktionalitäten bekommen und Bedienprobleme behoben werden sollen,
- um das System für den Einbau neuer Hard- und Software vorzubereiten oder um Performance-Verbesserungen zu erzielen,
- um Daten beispielsweise für das Navigationssystem einzuspielen, damit das Fahrzeug auch ohne Internetverbindung navigieren kann.
Jedes OTA-Update ist jedoch ein potenzieller Angriffspunkt für einen Hacker. Für Automobilhersteller ist das Thema OTA deshalb von besonderer Bedeutung. Das beginnt schon bei der Frage, wo die Update-Funktion im Auto angesiedelt sein sollte. Denn sie muss Zugriff auf alle Komponenten haben, die Updates verarbeiten können müssen. Entsprechend gut muss sie ausgestattet (Speicher für die Updatedaten) und abgesichert sein. Könnte sich ein Hacker hier einschleusen, könnte er alle Systeme kontrollieren.
Fünf Aspekte sind besonders wichtig, um die Security bei OTA-Updates zu steigern:
Autorisierung: Nur wer berechtigt ist, Updates einzuspielen, sollte dies auch tun können. Es gilt, diejenigen auszuschließen, die zwar technisch dazu in der Lage wären, Updates vorzunehmen, aber keine Berechtigung haben.
Authentifizierung: Sowohl das Back-End (also die Server des Herstellers, die das Update zur Verfügung stellen) als auch die Fahrzeuge müssen über Zertifikate oder andere Mechanismen sicherstellen, dass sich dahinter kein Hacker verbirgt. Würde das Back-End gehackt, könnte sonst eine ganze Fahrzeugflotte infiltriert werden. Fake-Cars könnten Betriebssystemdaten abgreifen.
Integrität: Sind Daten und vor allem auch Zertifikate und kryptografische Keys geschützt vor Zugriffen Dritter? Wie kann das Fahrzeug selbst feststellen, ob es gehackt wurde oder ein erfolgreicher Einbruchversuch stattgefunden hat? Und letztlich: Wie lassen sich auch Zertifikate und Keys sicher updaten?
Zuverlässigkeit: Ein Update muss sicher durchgeführt werden können. Dies kann durch Vorabtests wie „Hat der Benutzer zugestimmt“, „Ist die Batterie voll geladen“, „Steht das Fahrzeug?“, „Ist das Auto an das Stromnetz angeschlossen“ und „benötigt der Benutzer das Fahrzeug in nächster Zeit“ überprüft werden. Nach dem Update muss sichergestellt sein, dass das Fahrzeug zu 100 Prozent betriebsbereit ist.
Regulierung & Compliance: Hersteller müssen sicherstellen, dass die Updates den rechtlichen Vorgaben der Zielmärkte entsprechen, weil sonst die Betriebserlaubnis erlischt. Zu diesen Vorgaben gehört unter anderem auch, dass die Software im Falle eines Abbruchs des Updates in der Lage sein muss, ein Rollback auf den letzten gültigen Software-Stand durchzuführen.
Denken wie ein Hacker denkt
Vor allem bei den ersten drei Punkten müssen Software-Entwickler im Automobilbereich wie IT-Sicherheitsexperten denken und handeln. Sie dürfen keine „Abkürzungen“ einbauen und Prüfroutinen unabhängig von der Eingabe immer ein „OK“ zurückliefern lassen. Sie müssen absolut jedes Detail prüfen (also nicht nur, ob der Kommunikationspartner ein SSL-Zertifikat hat, sondern zum Beispiel auch, ob die Domain des Zertifikats und des Servers übereinstimmt) und jegliches Angriffsszenario durchspielen.
Dafür muss man wie ein Hacker denken. Ist beispielsweise die Integrität des Gesamtsystems nicht gewährleistet, kann der Inhalt einer Datei nach der positiven Prüfsummenberechnung verändert und eine gepatchte Variante als Update eingespielt werden. Daher sollte die Prüfung und das Einspielen mit den garantiert gleichen Daten erfolgen.
www.cymotive.com/de
