Tesla gehackt: Wirksame Abwehrstrategien

Die Sicherheitsexperten haben das Steuergerät so manipuliert, dass sie über einen kurzen Spannungseinbruch den Controller in einen nicht gewollten Zustand versetzen konnten. Dafür haben die Hacker mehrere Kondensatoren abgelötet, die der Spannungsstabilisierung dienen. Wenn das passiert, überspringt der Controller bestimmte Abfragen. Er hat dann quasi ein kurzes Blackout. Wenn dieses kurz genug ist, kann der Controller dies nicht erkennen, sodass sich die Zustände manipulieren lassen, wie es hier erreicht wurde.

Jetzt kommen wir zu einem wichtigen Punkt. Letztlich muss jeder Hersteller für seine gesamten Daten überlegen, wie wichtig sie sind. Es ist üblich, ein Monitoring aufzusetzen, Risikoanalysen durchzuführen und anhand dessen das Schadenspotenzial zu bewerten. Danach folgt die Entscheidung über die Security-Mechanismen, die Daten absichern. Dieser Prozess ist ganzheitlich, nur so können Angriffe verhindert werden. Bei uns gilt die Faustregel: Der Aufwand, um an bestimmte Daten zu kommen, muss höher sein als das, was man dadurch gewinnen kann.

Der konkrete Fall zeigt allerdings, wenn jemand genug Zeit und Geld hat, wie ein Sicherheitsforscher im vorliegenden Fall, findet er eine Sicherheitslücke. Deswegen ist es wichtig, ein gutes Monitoring zu haben, um bei einer aufgedeckten Schwachstelle schnell reagieren zu können. Mit einem Update lässt sich die Sicherheitslücke dann schnell schließen. Das wird zukünftig immer wichtiger werden. Zur Wahrheit gehört aber auch, dass sich nicht alle Risiken ausschließen und hundertprozentig absichern lassen.

Wir haben das Projekt Firmware Security Module, kurz FSM. Es zielt auf Steuergeräte ab, die keine spezielle Security Hardware an Bord haben oder deren Hardware nicht updatebar ist. Normalerweise gibt es ein Hardware Security Module (HSM), das verwendet werden kann, um ein sicheres Starten des Steuergeräts (Secure Boot) durchzuführen und auf dem Steuergerät notwendige Geheimnisse zu schützen. Ihr Nachteil ist aber, dass sie rechenleistungstechnisch limitiert sind. Mikrocontroller, also Steuergeräte, die das beinhalten, sind teurer und lassen sich nur schwer mit Software nachrüsten. Deswegen haben wir das FSM konzipiert. Es ist softwarebasiert und bietet die Möglichkeit, Steuergeräte nachträglich mit den entsprechenden Sicherheiten nachzurüsten.

Richtig. Wir haben im FSM Verschlüsselungsalgorithmen integriert, die aktualisiert oder ausgetauscht werden können. Dies ermöglicht bei einem nicht mehr „state of the art“-Algorithmus oder einer aufgedeckten Schwachstelle zu reagieren. In der Zukunft wird es Quantencomputer geben, die bisherige Verschlüsselungen brechen können. Spätestens dann ist es für OEMs enorm wichtig, eine Lösung zu haben, um Verschlüsselungsalgorithmen als Gegenmaßnahme nachrüsten zu können. Wir arbeiten mit den vier Algorithmen, von denen es am wahrscheinlichsten ist, dass sie sich als tauglich erweisen. Deshalb haben wir sie für einen Mikrocontroller umgesetzt. Zusätzlich IAV quantumSAR haben wir als Open-Source-Projekt entwickelt. Das heißt, dass es jeder verwenden kann. Kunden, die Interesse haben, können sich IAV quantumSAR anschauen und uns ins Boot holen, um es weiterzuführen und zu individualisieren.

Wir arbeiten, wie gesagt, mit Algorithmen, von denen wir annehmen, dass sie quantensicher sind. Das heißt, wenn es tatsächlich in der Zukunft Quantencomputer gibt, ist es nötig, die Risiken in der Entwicklung schon durch Security by Design abgesichert zu haben. Zugleich müssen wir damit rechnen, dass die Sicherheit trotzdem irgendwann gebrochen wird, weil sie über die Laufzeit vom ganzen Fahrzeug altert. Das ist gesetzlich auch mittlerweile vorgegeben. Deshalb ist es sinnvoll sich zu überlegen, was passiert, wenn das, was einst als sicher angenommen wurde, in Zukunft nicht mehr sicher ist. Die verschlüsselten Daten, die Fahrzeug und Backend austauschen, werden, sobald Quantencomputer entwicklungstechnisch so weit sind, nicht mehr verschlüsselt sein, weil sie die vorhandenen Sicherheitssysteme in kürzester Zeit brechen und entschlüsselt werden können. Dann sind Autos nicht mehr sicher. Dann brauchen wir Gegenmaßnahmen. Hätten wir in dieser Situation keinen kryptografischen Algorithmus, wären wir hilflos ausgeliefert. Post-Quantum-Verschlüsselungsalgorithmen sind die wahrscheinliche Lösung dagegen.

Wir beschäftigen uns mit der gesamten Absicherung und können diese tatsächlich von A bis Z abbilden. Wir machen Security by Design, führen Risikoanalysen durch, sind als Berater tätig, bieten die Entwicklungen ganzer Security-Funktionen an  – und übernehmen das Testen und Absichern bis hin zum Pen-Test, wo von uns auch Methoden wie eingangs beschrieben zum Freischalten des Autopiloten bei Tesla von uns eingesetzt werden. Außerdem beinhaltet unser Security-Angebot auch Services für die Lebensdauer des Fahrzeugs nach der eigentlichen Entwicklung bis hin zu Update-Lösungen. Zum FSM und IAV quantumSAR kommt noch eine Komponente, das Automotive Cybersecurity Defence Center (ACDC). Das ist eine Lösung, die das Monitoring von Fahrzeugen im Feld ermöglicht. ACDC erkennt Schwachstellen hinsichtlich Sicherheit im Fahrzeug und ermächtigt Sicherheitsingenieure dazu, entsprechende Reaktionen abzuleiten.

Wir können ein wenig bei der IT abschauen. IT ist immer ein paar Jahre voraus. Bevor das Fahrzeug vernetzt war, waren erst alle Computer vernetzt. Wir haben zum Beispiel in der IT gesehen, dass es Gefahren wie Ransomware gibt, die Daten auf Rechnern verschlüsseln. Deshalb ist es naheliegend, dass diese Szenarien auch irgendwann einmal das Fahrzeug erreichen und ganze Flotten lahmlegen können. Die Methoden, um diese Gefahren abzuwehren, stammen auch aus der IT. Intrusion Detection Systeme bemerken, dass es Anomalien gibt, melden diese an ein Operation-Center und werden dort eingestuft. Liegt tatsächlich ein Problem vor, werden Reaktionen geplant. Letzten Endes gibt es keine absolute Sicherheit. Deshalb ist es so wichtig, sich auf alle denkbaren Szenarien vorzubereiten. Und das machen wir jeden Tag.

Kontakt:

Marco Siebert
Abteilungsleiter Embedded Security
marco.siebert@iav.de
linkedin.com/in/marco-siebert-059356235