On the State of Automotive Security

Bachelor Studiengang IT Security

Florian Ernst, BSc

Betreuer: FH-Prof. Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage

Autos bestehen schon lange nicht mehr nur aus einem Verbrennungsmotor und vier Reifen. Moderne Autos enthalten eine Vielzahl von kleinen Computern, und diese Steuereinheiten sind miteinander über ein autointernes Netzwerk verbunden. Jeder dieser Computer steuert eine spezielle Komponente im Inneren des Autos. Das Hinzufügen immer komplexerer Funktionen erfordert auch die Verwendung immer mehr dieser Mini-Computer und öffnet neue Einfallstore für Angreifer aller Art. Autohersteller versuchen neue Features so rasch wie möglich auf den Markt zu bringen, um gegenüber des Mitbewerbs einen Vorteil zu erlangen. Durch diese Praxis bleibt die IT-Sicherheit oft auf der Strecke.

Ziel

Das Ziel dieser Arbeit ist es, festzustellen, wie es um die IT-Sicherheit aktueller Automodelle steht. Hierzu werden mehrere unterschiedliche Aspekte wie mögliche Einfallstore, theoretische sowie praktische Angriffe als auch technische Komponenten analysiert. Eine kurze Übersicht erklärt diverse technische Komponenten, deren grundlegendes Verständnis elementar für den weiteren Verlauf der Arbeit ist. Ein Kapitel ist vollständig dem Reverse Engineering von CAN-Nachrichten gewidmet. Dieses gibt einen Überblick der benötigten Hard- und Software und beschäftigt sich anschließend mit diversen Techniken in diesem Bereich.

Durch diesen praktischen Ansatz soll aufgezeigt werden, wie einfach sich diverse Angriffe durchführen lassen.

Ergebnis

Das Ergebnis dieser Arbeit ist ein umfassender Überblick über die aktuelle Landschaft der IT-Sicherheit in Automobilen. Anhand diverser potentieller Angriffe wurden Szenarien definiert. Die Analyse einer Vielzahl vergangener sowie aktueller Arbeiten zeigt auf, dass sich in den letzten Jahren wenig bis gar nichts im Bereich der Fahrzeugsicherheit verändert hat. Zum Einsatz kommen immer noch die gleichen Bus-Systeme, die selbst vor 10 Jahren schon gravierende Sicherheitsmängel aufgezeigt haben. Viele Probleme, wie die fehlende Kryptografie, können nur durch zusätzliche oder leistungsstärkere Komponenten gelöst werden, was wiederrum Kosten verursacht – für Features, die der Endanwender bzw. die Endanwenderin im Idealfall nicht mitbekommt und die deshalb kaum zusätzlichen Gewinn für die Autohersteller generieren.