Software verhindert Hackerangriffe auf Autos

Immer mehr Fahrzeuge sind bereits heute über Mobilfunk permanent mit dem Internet verbunden. Für Cyberkriminelle bieten die Autos damit eine große Angriffsfläche, um verheerenden Schaden anzurichten. Eine jetzt auf der Automobilmesse IAA vorgestellte Lösung soll solche Attacken künftig verhindern.

Wissenschaftler des Kompetenzzentrums für IT-Sicherheit der Universität des Saarlandes (CISPA) haben eine Technik entwickelt, die Hackerangriffe auf Fahrzeuge erkennen kann und direkt unschädlich machen soll. Das Risiko für solche Attacken ist groß: In einem Oberklassefahrzeug sind heute einige Dutzend Computer verbaut, von denen jeder einzelne die Rechenleistung einer Apollo-Rakete weit übersteigt. Diese Computer erleichtern der Werkstatt zum Beispiel die Fehlerdiagnose oder warnen den Fahrer vor einem folgenschweren Spurwechsel. »Die Rechner befolgen aber nur vorgegebene Steuerungsbefehle, ohne wie ein Mensch darüber nachzudenken. Wenn nun ein Fremder die Kommandohierarchie durcheinanderbringt, können plötzlich unkontrollierte Steuerbefehle auf die Geräte im Auto einprasseln und das Fahrzeug abrupt abbremsen oder zum Schleudern bringen«, sagt Stefan Nürnberger, Leiter der Forschungsgruppe für Automotive Security am Kompetenzzentrum für IT-Sicherheit CISPA in Saarbrücken. Noch vor wenigen Jahren seien solche Szenarien so gut wie unmöglich gewesen, da sich Kriminelle erst physisch Zugang zum Fahrzeug verschaffen mussten, um es manipulieren zu können.

Die permanente Internetanbindung der Fahrzeuge macht den Angreifern jedoch heute das Leben leicht. Eine solche Anbindung erlaubt es zum Beispiel, aktuelle Stauinformationen in die Routenplanung einzubeziehen oder die Standheizung aus der Ferne zu aktivieren. »Enthalten solche internetfähigen Steuergeräte aber Sicherheitslücken, können Angreifer ihre Befehle an tausende Fahrzeuge schicken«, warnt der promovierte Informatiker. Zusammen mit Christian Rossow, Professor für IT-Sicherheit an der Universität des Saarlandes, arbeitet Nürnberger daran, dass Komponenten wie etwa ein Notbremsassistent jederzeit die Echtheit der an sie gerichteten Befehle überprüfen können. Dafür haben die Wissenschaftler die Software »vatiCAN« entwickelt. Sie sorgt dafür, dass nur der echte Sender die notwendigen Authentifizierungscodes an Nachrichten anhängen kann.

Die neue Lösung soll darüber hinaus Angriffe wie beispielsweise das Mitschneiden von authentifizierten Nachrichten verhindern, indem in jede Nachricht ein Zeitstempel einfließt. Ist er nicht aktuell, war die Nachricht aufgezeichnet und könnte gefährlich werden. »Durch diese zusätzlichen Berechnungen benötigt das Übertragen der Nachricht nur zwei Millisekunden mehr«, erklärt Nürnberger, der vatiCAN an einem VW Passat getestet hat. Das sei auch für Steuervorgänge akzeptabel, bei denen es auf die unmittelbare Reaktion ankomme: »Verzögern sich Datenpakete um zwei Millisekunden, verlängert das bei einer Geschwindigkeit von 130 Kilometer pro Stunde den Bremsweg um gerade mal sieben Zentimeter«, so Nürnberger.

Die Forscher zeigen ihre Software auf der Internationalen Automobilausstellung (IAA), die vom 14. bis 24. September in Frankfurt/ Main stattfindet. Dort simulieren sie an einem echten Fahrzeug einen Hackerangriff, um ihn dann mit Hilfe der Software abzuwenden. Die Software ist kostenlos verfügbar, so dass Autohersteller ihre Programme entsprechend nachrüsten können.