Escar: Automotive Security noch am Anfang

Inhaltsverzeichnis

Wie wenig sich die Architekten unserer Verkehrsinfrastruktur bisher um IT-Sicherheit Gedanken machen, zeigte Allen Hillaker auf der Konferenz Escar, die derzeit in Köln stattfindet. Sein Team hatte die Ampelanlagen in einer US-amerikanischen Stadt untersucht. Was die Sicherheitsforscher dort vorfanden, war wenig ermutigend: So funkten die untersuchten 100 Ampelanlagen auf zwei verschiedenen Frequenzen. Bei einem verwendeten Netz war das Standardpasswort gar nicht änderbar, bei dem zweiten konnte lediglich ein Passwort für das gesamte Netz gesetzt werden.

Voller Zugriff auf das Ampelsystem

War diese Hürde einmal überwunden, hatte Hillakers Team mit einem handelsüblichen Laptop vollen Zugriff: Sie konnten die Ampelfrequenzen verändern oder sich selbst freie Fahrt verschaffen. Auch Sabotage ist möglich. "Der Angreifer kann das System einfach außer Betrieb nehmen", betonte Hillaker. "Denn er braucht nicht mehr als eine IP-Adresse, während der Techniker zur Ampel rausfahren muss, um sie wieder in Stand zu setzen."

Immerhin einen positiven Punkt fanden die Sicherheitsforscher: Es war nicht möglich, alle Ampeln gleichzeitig auf grün zu schalten und so Unfälle zu provozieren. Eine vom Netzwerk getrennte Schaltung überwacht ständig den Zustand der Ampeln. Wird ein nicht genehmigtes Verhalten entdeckt, schalten die Ampeln automatisch auf Notbetrieb. Dennoch plädierte Hillaker dringend dafür, die Architektur solcher Anlagen grundsätzlich zu überarbeiten und die Basisregeln der IT-Sicherheit einzuhalten.

Mehr Offenheit für geschlossene Systeme

Ein wesentlicher Punkt für mehr Sicherheit in und um Autos: Viele Systeme, die bis heute verbaut werden, waren nie dafür gedacht, mit der Außenwelt zu kommunizieren. Doch die fortschreitende Vernetzung hat dies geändert, wie zuletzt der Hack eines Jeep Cherokee über das Internet dokumentierte.
Dieser Hack wirkte als Weckruf. Zwar werden allein auf der Escar-Konferenz die Unsicherheiten in Autos verbauten Systeme schon seit 2003 besprochen – eine spürbare Kehrtwende gab es bisher jedoch nicht. Zwar stellte Volkswagen in Köln die Grundzüge des überarbeiten Sicherheitsmodells vor, doch noch hakt es in der Praxis an allen Ecken und Enden. So ist der CAN-Bus weiterhin fast ungeschützt.

Sicherheitsdatenbank

Forscher der Hochschule Karlsruhe - Technik und Wissenschaft haben deshalb eine eigene Hardware entwickelt, um Nachrichten ins CAN-Bus-System einzuschleusen und so Diagnosetools wie einen Portscanner laufen zu lassen. In einem deutschen Wagen der Oberklasse fanden die Forscher auf einfache Weise über 47 ansprechbare Steuergeräte, die über 300 Services mit mehreren Tausend Subfunktionen anboten. Angreifer haben also freie Auswahl, sofern sie einmal in das System eingedrungen sind.

Problematisch ist jedoch, wie Hersteller mit solchen Lücken umgehen – selbst wenn sie öffentlich dokumentiert werden. "Unsere Erfahrung ist: Meist erreichen die Informationen über die Lücken nicht die zuständige Abteilung bei den Herstellern", erklärte Jürgen Dürrwang von der Technischen Hochschule Karlsruhe. Deshalb schlagen die Sicherheitsforscher dort ein separates Meldesystem für Sicherheitsprobleme in Autos an. Sicherheitsforscher könnte dort zentral gefundene Probleme einreichen, die dann automatisiert an die betroffenen Hersteller weitergeleitet werden sollen. Hat der Hersteller in einer gewissen Periode – vorgesehen sind 45 Tage – nicht reagiert, sollen die gefundenen Lücken veröffentlicht werden.

Bei der Herstellern stoßen solche Pläne nicht unbedingt auf Gegenliebe. So scheuen sie nicht nur die Kosten und den Imageschaden gefundener Sicherheitslücken, sondern sind auch sehr darauf bedacht, der Konkurrenz keinen Einblick in ihre Systeme zu geben. So hat die Industrie bereits im vergangenen Jahr ein eigenes Information Sharing Advisory Center (ISAC) angekündigt. Dürrwang kritisierte aber in Köln, dass er bis heute keine öffentlichen Informationen über deren Tätigkeit gefunden habe. (anw)