Abo
  • Services:

Security: Die Gefahr der vernetzten Autos

Chaos Communication Camp 2015

Wie gefährlich sind Sicherheitslücken in aktuellen Fahrzeugen? Dieser Frage ging der IT-Sicherheitsexperte Thilo Schumann nach. Fahrzeuge würden zwar immer sicherer, Entwarnung gebe es aber nicht.

Artikel veröffentlicht am ,
Viele Fahrzeuge haben noch keine Firewalls in ihren elektronischen Systemen.
Viele Fahrzeuge haben noch keine Firewalls in ihren elektronischen Systemen. (Bild: Screenshot Golem.de)

Eine Kopie des elektronischen Schlüssels zu machen, sei die leichteste Übung, sagte Thilo Schumann gleich zu Beginn seines Vortrags auf dem Chaos Communication Camp 2015. Entsprechende Werkzeuge ließen sich weltweit kaufen und funktionierten praktisch mit jedem Modell. Beweisvideos gebe es zuhauf bei Youtube. Autodiebe müssten sich nur Zugang zu der Diagnoseschnittstelle des Fahrzeugs verschaffen. Das sei nichts Neues. Schumann beschäftigt sich seit 15 Jahren mit dem Controller Area Network (CAN), der in allen modernen Fahrzeugen integriert ist. Der Hacker ist auch Mitglied in deutschen und internationalen Standardisierungskomitees, die sich mit der digitalen Kommunikation in der Industrie beschäftigen.

Inhalt:
  1. Security: Die Gefahr der vernetzten Autos
  2. Autohersteller zeigen Einsicht

Fahrzeug-Hacking bedeute, die Funktionsweise eines Autos zu erweitern, sagte Schumann und erinnerte an die eigentliche Definition des Hackens. Dazu gehört es, die Leistung eines Fahrzeugs zu erhöhen, beliebige Nachrichten auf den Displays im Auto anzuzeigen oder auch die Kilometerzahl zu manipulieren. Aber eben auch, elektronische Schlüssel zu kopieren oder die jüngst vermeldeten Hacks, die die drahtlose Kommunikation zwischen Fahrzeug und Smartphone abgreifen und manipulieren. Dass so in US-Fahrzeugen sogar der Motor gestartet werden könne, sei in europäischen Fahrzeugen gar nicht erlaubt und daher hierzulande auch gar nicht möglich, sagte Schumann. Solche Hacks nützten eben auch Autodieben.

Das Fahrzeug im Internet der Dinge

Der neue Angriffsvektor sei aber das Internet, sagte Schumann. Durch die Vernetzung könnten viele der oben beschriebenen Angriffe jetzt auch aus der Ferne gestartet werden, sofern Hersteller nicht genügend Sicherheitsfunktionen in ihre Automobile einbauen. Die aus den USA gemeldeten Hacks belegen das. Diese Hacks nutzen beispielsweise Schwachstellen in der Kommunikation zwischen Fahrzeug und Smartphone oder lassen sich per WLAN ausführen.

In der Evolution der Kommunikationswege in Automobilen sind die Hersteller inzwischen längst von langsamen Protokollen aus den 1980er Jahren bei ethernetbasierten Protokollen angelangt. Aktuell wird etwa das Protokoll BroadR-Reach verwendet, das auch einen deutlich höheren Datendurchsatz verspricht als etwa die bisher verwendeten Protokolle Byteflight und Flexray. Aber auch die Hardware, die für BroadR-Reach verwendet werde, sei deutlich preiswerter herzustellen, sagte Schumann. Fahrzeuge fallen so immer mehr unter die Kategorie Internet of Things.

CAN ohne Standards

Stellenmarkt
  1. ELAXY GmbH, Stuttgart, Jever, Puchheim bei München
  2. Pilz GmbH & Co. KG, Ostfildern

Demnach würden ethernetbasierte Systeme die CAN-Systeme zumindest in Fahrzeugen immer mehr ablösen. Schumann erinnerte aber daran, dass CAN eigentlich für eingebettete Systeme gedacht ist und inzwischen nicht nur in Fahrzeugen, sondern auch in Aufzügen oder sogar in medizinischen Geräten zum Einsatz kommt. Da sowohl CAN als auch Ethernet letztendlich über die OSI-Schicht 2 laufen, haben beide keinerlei integrierte Sicherheitsfunktionen. Sie werden erst in den darüberliegenden OSI-Schichten umgesetzt.

Die auf CAN aufgebauten Protokolle seien aber nicht standardisiert. Jeder Hersteller nutze seine eigene proprietäre Implementierung. Und die Hersteller geben nur ungern Einblicke in ihre Protokolle. Dazu müsse man ständig Vertraulichkeitsvereinbarungen unterschreiben, sagte Schumann. Das auf CAN aufbauende Fahrzeugdiagnosesystem ODB II hingegen ist in der ISO-Norm 15031-6 festgelegt und wird in Europa eingesetzt. Sein Pendant IVN (In-Vehicle-Network) wird in den USA verwendet. Per Gesetz müssen sämtliche Fahrzeuge eine solche Schnittstelle besitzen.

Sämtliche Systeme in Autos oder Lkw sind auf Grund dieses Aufbaus nicht konfigurierbar. Änderungen müssen immer in der Firmware erfolgen, die dann neu aufgespielt werden müsse. Das unterscheide sich beispielsweise von Systemen in der Automatisierungstechnik, die meist auf CANopen basieren. CANopen läuft auf der OSI-Schicht 7 und basiert auf CAN.

Autohersteller zeigen Einsicht 
  1. 1
  2. 2
  3.  
Zu den Kommentaren springen
Meistgelesen
  1. Grundsatzurteil
    Supreme Court macht Onlinehandel überall steuerpflichtig
  2. Himo
    Xiaomis E-Bike mit 12-Zoll-Rädern kostet rund 230 Euro
  3. Measure
    Googles Maß-App funktioniert ohne Project Tango
  4. Quellcode
    Diablo als teuflische Reverse-Engineering-Herausforderung
  5. Funklöcher
    Vodafone nimmt 120 neue LTE-Stationen in Betrieb
Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. (reduzierte Überstände, Restposten & Co.)
  3. 39,99€ statt 59,99€
Kommentarübersicht
Re: CAN-Bus ist voll 80er!
HexaJester 17. Aug 2015

Da frage ich mich, wann sich jemand trauen wird, das "Konzept Auto" komplett zu...

Folgen Sie uns
       
Asus ROG Phone - Hands On auf der Computex 2018

Das ROG ist ein interessantes Konzept, das sich schon beim an Gamer gerichteten Design von anderen Telefonen unterscheidet. Außergewöhnlich sind die vielen Zubehörteile: darunter ein Handheld-Adapter, ein Desktop-Dock, ein Anstecklüfter und ein Controllermodul. Wir haben es uns angeschaut.

Asus ROG Phone - Hands On auf der Computex 2018 Video aufrufen
Wissenschaft
Sun to Liquid: Wie mit Sonnenlicht sauberes Kerosin erzeugt wird
Sun to Liquid
Wie mit Sonnenlicht sauberes Kerosin erzeugt wird

Wasser, Kohlendioxid und Sonnenlicht ergeben: Treibstoff. In Spanien wird eine Anlage in Betrieb genommen, in der mit Hilfe von Sonnenlicht eine Vorstufe für synthetisches Kerosin erzeugt oder Wasserstoff gewonnen wird. Ein Projektverantwortlicher vom DLR hat uns erklärt, warum die Forschung an Brennstoffen trotz Energiewende sinnvoll ist.
Ein Bericht von Werner Pluta

  1. Deep Sea Mining Deep Green holte Manganknollen vom Meeresgrund
  2. Klimaschutz Unter der Erde ist das Kohlendioxid gut aufgehoben
  3. Physik Maserlicht aus Diamant
Elektroauto
K-Byte: Byton fährt ein irres Tempo
K-Byte
Byton fährt ein irres Tempo

Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
Ein Bericht von Dirk Kunde

  1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
  2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
  3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen
Security
Hacker: Was ist eigentlich ein Exploit?
Hacker
Was ist eigentlich ein Exploit?

In Hollywoodfilmen haben Hacker mit Sturmmasken ein ganzes Arsenal von Zero-Day-Exploits, und auch sonst scheinen die kleinen Programme mehr und mehr als zentraler Begriff der IT-Sicherheit verstanden zu werden. Der Hacker Thomas Dullien hingegen versucht sich an einem theoretischen Modell eines Exploits.
Von Hauke Gierow

  1. IoT Foscam beseitigt Exploit-Kette in Kameras
  2. Project Capillary Google verschlüsselt Pushbenachrichtigungen Ende-zu-Ende
  3. My Heritage DNA-Dienst bestätigt Datenleck von 92 Millionen Accounts
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /