Sicherheitskriterien

Sicherheit im vernetzten Auto

Mit fortschreitender Vernetzung vergrößert sich die Gefahr eines Datenangriffs auf Autos mit möglicherweise verheerenden Folgen. P3 communications entwickelt ein Testverfahren, um Sicherheitslücken aufzudecken und zu beurteilen.

  1. Sicherheit im vernetzten Auto
  2. "Das Auto der Zukunft erfordert ein Umdenken"
Auto Sicherheit

© welcomia / shutterstock.com

Ein modernes Auto bietet Angreifern zahlreiche Einfallstore. Sind sie nicht ausreichend geschützt, können sie von der Spionage bis zur direkten Übernahme des gesamten Fahrzeugs oder einzelner Komponenten genutzt werden.

Das mit Smartphone und Internet bestens vernetzte Auto ist ein Traum. Doch wenn Sicherheitslücken Kriminelle einladen, kann der schnell zum Albtraum werden. Denn eins ist klar: Jede Form digitaler Kommunikation birgt Risiken, und kaum ein technisches Objekt bietet so viele Schnittstellen zur Außenwelt wie ein modernes Auto. Da wäre zunächst die obligatorische OBD-II-Schnittstelle, die in erster Linie der (On-Board-)Diagnose und dem Service in den Werkstätten dient und dazu per CAN-Bus (Controller Area Network) oder LAN auf sehr viele Komponenten des Autos zugreift.

Ebenfalls an diesen Schnittstellen hängt das Multimedia-System, das in der Regel Kontakt zu USB, SD-Card und CD zur Verfügung stellt. Über Mobilfunknetze haben Hersteller (OEM-Backbone) und Werkstatt Zugriff auf Fahrzeugdaten. Mobilfunk stellt gegebenenfalls als weitere Schnittstelle ein WLAN als Hotspot zur Verfügung. Bluetooth zur Smartphone-Kopplung (Freisprecheinrichtung) gibt es natürlich auch, und schließlich ermöglicht eine App des Kfz-Herstellers den persönlichen Zugriff auf Daten und Funktionen des Fahrzeugs.

Alle Schnittstellen sind gefährdet und alle kommunizieren miteinander über CAN und LAN. Da darüber auch Brems-, Lenkungs-, Motor- und Fahrwerksabstimmungen vorgenommen werden können, um das Auto etwa von Komfort auf sportlich zu schalten, ist leicht absehbar, wie gefährlich ein Eindringen in das Innerste der Autosteuerung ist.

Kategorien der Sicherheit

Um mögliche Schwachstellen aufzudecken, hat P3 communications fünf Felder identifiziert, in denen die Sicherheit kompromittiert sein kann (siehe unten). Für diese lassen sich eine Reihe von sogenannten Angriffsvektoren definieren, mit denen einschlägig bekannte Sicherheitslücken angegangen werden können. So lassen sich über den kurzfristigen Zugriff auf ein nicht ordentlich gesichertes Smartphone die Zugangsdaten der Kfz-App erlangen, mit der der Angreifer selbst per App auf seinem Smartphone die vollständige Kontrolle über das Fahrzeug gewinnt.

Mit den skizzierten und etwa 250 weiteren, auf die fünf Felder verteilten Angriffsvektoren geht P3 communications jeder denkbaren Schwäche etwa im Passwortschutz, in der Verschlüsselung und in der Zertifikatskontrolle auf den Grund und bewertet diese in ihrer Relevanz. Dabei geht es den Testern nicht darum, wirklich die Herrschaft über Fahrzeugfunktionen zu erlangen, sondern darum, die Wege zur Kontrollübernahme bestmöglich zu evaluieren.

So kann am Ende des Benchmarks beurteilt werden, wie sicher ein Auto im Vergleich zu anderen Fahrzeugen, aber auch zu Vorgängermodellen ist. Auch Bereiche, die einer dringenden Nachbesserung bedürfen, lassen sich über den Benchmark leicht identifizieren.

Sicherheitsfelder für die P3-Bewertung

Physische Sicherheit

  • Erreichbarkeit: Car BUS System (CAN)
  • Handhabung sensibler Daten: Zugang zu lokalen Medien; Smartphone-App

Betriebssicherheit

  • Absicherung von Systemdiensten: Dienste mit Wi-Fi und Bluetooth; Zertifikats- Management der Smartphone-App
  • Verletzbarkeit: verfügbare Dienste; Web-Interface

Kommunikationssicherheit

  • Ferngesteuerter Zugriff: Auto; Backend; V2V-Kommunikation
  • Verschlüsselung: Kommunikation; Protokolle

Kryptografie

  • Verschlüsselung: Wi-Fi; Bluetooth; Smartphone-App; Backend

Zugangskontrolle

  • Zugangs- & Autorisierungs-Sicherheit: Web-Interface; Smartphone-App
  • Passwort-Sicherheit: Wi-Fi; Bluetooth

 

Mehr lesen

Wer ist die Nummer eins? -

Mehr zum Thema

iPhone 4s, 5s und 6s
FBI gegen Apple

Die US-Bundespolizei hat das iPhone des Attentäters von San Bernardino geknackt – ohne Apple-Unterstützung.
WhatsApp
Messenger-App

Nicht alle Daten sind durch die WhatsApp-Verschlüsselung sicher. Wir erklären, welche Informationen unverschlüsselt bleiben.
Smartphone Datenschutz Sicherheit
Sicherheit

Der Kommunikationskonzern Telefónica will einen erneuten Versuch starten, Bewegungsdaten von O2-Kunden an Unternehmen zu verkaufen.
Neues iTunes-Logo
Passwort knacken

Sicherheitsforscher entdeckten eine Sicherheitslücke in iOS-10-Backups, die schnelle Brute-Force-Attacken erlaubt. Apple rät Nutzern bis zum Update…
iPhone 7 Wasser
Datenschutz

Apple erfasst mit iOS 10 die Tastatureingaben der Nutzer. Einen Hinweis auf die Datensammlung findet man im System dazu nicht.
Alle Testberichte
Acer Switch Alpha 12
Detachable
75,4%
Das Acer Switch Alpha 12 ist das erste lüfterlose 2-in-1-Gerät mit Core-i-Prozessor. Im Test hinterlässt es einen…
Huawei P9 Plus
5,5-Zoll-Smartphone
88,0%
Huawei optimiert das P9 und heraus kommt ein echter Überflieger: Wir haben das Huawei P9 Plus getestet.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.