Passwortsicherheit in der Automotive Security: Heute schon das Passwort geändert?

Hach, was waren das schöne Zeiten. Es gab ein Passwort, das war allen bekannt, und wupps, war man im Firmennetzwerk. Wie da nur jemals jemand Daten klauen konnte, unerklärlich. Ein Passwort für alles, mit einem Post It an den Bildschirmrand geklebt, one fits all. Doch dann kamen die Standards. Im privaten Bereich eroberten Zahlen und Sonderzeichen die schöne vierstellige Passwortwelt, für die Games gab es Steam und Blizzard Authenticators, und im unternehmerischen Bereich wurden nun Schlüssel generiert: Scheinbar zufällig generierte Kombinationen aus Zahlen, Buchstaben und Sonderzeichen. Diese einmalig generierten Schlüssel wandern direkt via API an einen Server oder direkt in die Cloud und authentifiziert dich. Den Schlüssel kennst nur du, kein Anderer kann ihn besitzen – praktisch, es lebe der Fortschritt.

Auch bis zu den unverbesserlichsten 1234-Passwort-Vergebern hat sich inzwischen herumgesprochen, dass man Passwörter zumindest hin und wieder ändern sollte. Und in der Automotive Security ist dieses Prinzip üblich: Die Schlüssel ändern sich regelmäßig, oft in sehr kurzen Zeitabständen. Das ist dank Neuerungen wie dem Digital Car Key im Grunde auch möglich, aber dennoch ein anderes Thema, wir erwähnen es nur der Vollständigkeit und des Querverweises halber. Die grundlegende Option, die digitalen Schlüssel beispielsweise per Softwareupdate zu wechseln, ist aber schon auf dem Schirm und sind mitunter den neuen UN ECE Regelungen wie der UN ECE R155 und R156 geschuldet.

Freilich ist der Zugangsschlüssel nur ein Beispiel von vielen, die eine Rolle in der Automotive Security spielen. Immerhin ist der Schritt zum vollständig vernetzten Auto, dem oft zitierten „Connected Car“ längst vollzogen. Fahrzeuge bieten zahlreiche Schnittstellen, teils direkt in die Herzen der OEM-Clouds. Auf letzteren laufen Dienste, ganze Systemarchitekturen, die grundlegend gehackt werden könnten. Die schon angedeuteten neuen Regelungen wie die UN ECE R155 und R156 sehen nun vor, dass Autohersteller die (Cyber-)Security des Fahrzeugs bis an dessen Lebensende gewährleisten müssen. Eine gewaltige Challenge, vor der die Branche steht und in der einige Aspekte relevanter als bislang werden.

Funktionale Sicherheit, Cyber Security, Hardware Based Security – Was ist was?

Für weniger Branchenbewanderte sei erwähnt, dass die Unterscheidungen zum homonymen Begriff „Sicherheit“ im Englischen etwas einfacher sind – hier wird nämlich schlicht in „Security“ und „Safety“ getrennt. Der Bereich der Funktionalen Sicherheit – einen spannenden Artikel zu dem Thema findet ihr hier – betrifft die „Safety“, also Sicherheit von beispielsweise Leib und Leben. Löst der Airbag im Fahrzeug nicht aus, betrifft dies die Funktionale Sicherheit, da hier etwas getestet wurde, inde nicht funktioniert, aber relevant für Leib und Leben ist. Sehr plastisch von unserem Kollegen Sebastian formuliert, heißt die Trageschale für Babys „Babysafe“ und nicht „Babysecure“.

Automotive Security indes betrifft das klassische Thema der Informationssicherheit, die bei uns durch die voranschreitende Digitalisierung und Vernetzung eine immer größer werdende Rolle spielt. Wieso dröseln wir das auf? Weil es im Bereich der Security zwei Gruppen gibt, Gegenspieler, die eine wichtige duale Rolle im Entwicklungsbereich der Security spielen, nämlich die Partei (in aller Regel beispielsweise ein OEM), die versucht, besagte Informationssicherheit sicherzustellen (pun intended). Demgegenüber steht die Gruppe, die versucht, diese zu kompromittieren. Das muss nicht immer direkt kriminelle Energie sein: Der berühmte Jeep Grand Cherokee Hack fand auf der „Black Hat“ Konferenz 2015 statt – ist aber tatsächlich eher ein „White Hat Hack“, also ein Hack mit guten Absichten: Die Hacker wollten der Autoindustrie Schwachstellen in der Automotive Security aufzeigen, die es zu verbessern gilt und die nicht zuletzt zu den genannten neuen UN ECE Regularien und zur ISO/SAE 21434 geführt haben. Dass es natürlich auch Hackversuche gibt, die negativem Profit dienen können oder gar politisch werden bis hin zu echtem Cyberterror, versteht sich – ist indes im Alltag zwar von hoher Wichtigkeit, aber häufig nicht so arbeitsintensiv wie die Suche nach Lücken, die der Security zuliebe geschlossen werden müssen. Ganze Firmen spezialisieren sich auf diese White Hat Hacks, beispielsweise in Form von Pen Tests.

Automotive Security und Cognizant Mobility – Gesucht, gesichert, gefunden!

Automotive Security-Anbieter gibt es durchaus in relevanter Zahl in der Automobil-Branche. Auch Cognizant Mobility bietet an, die Informationssicherheit rund ums Fahrzeug sicherzustellen und hat dies in zahlreichen Projekten praktisch umgesetzt. Ein entscheidender Vorteil ist dabei die fast schon verbindlich entstehende Verflechtung mit dem Bereich der Funktionalen Sicherheit: Stellt man sicher, dass ein System nicht gehackt werden kann, um etwas zu manipulieren – wie beispielsweise den schon erwähnten Airbag durch dessen Steuergerät und den Onboard-Informationsfluss – trägt dies zur Gewährleistung der Funktionalen Sicherheit bei. Der (Achtung: Wortspiel) Schlüssel zu dieser Sicherheit ist ein beim OEM hinterlegtes Zertifikat, mit dem der Schlüssel des Angreifers nicht zusammenpasst und in der Folge nicht akzeptiert wird.

Stellt man also gemäß der Säulen der Informationssicherheit, nun, sicher, dass ein System zwar immer verfügbar ist, die Daten aber unveränderlich sind (Stichwort „Hardware Based Security“) sowie der Verbindlichkeit unterliegen (indem im Sinne einer Blackbox Daten unveränderlich und dauerhaft gespeichert werden und somit nachvollziehbar und -verfolgbar bleiben), ist das System abgesichert.

Ja und jetzt? Wie sicher darf denn sicher sein?

Die gute Nachricht ist: Alles lässt sich im Rahmen der Automotive Security absichern, und zwar so gut, dass es praktisch kaum zu knacken ist. Allerdings sind nicht alle Aspekte in einem Fahrzeug gleichermaßen schützenswert. Das Steuergerät, dass die elektrische Heckklappe öffnet, ist nicht systemkritisch und daher auch nicht unglaublich schützenswert – unterliegt somit auch nicht den allerhöchsten, nur denkbaren Sicherheitsstandards. Freilich könnte auch eine Heckklappe abgesichert werden wie der Airbag, das ABS oder die OBD-Firewall – dann würde das Fahrzeug allerdings schnell sehr viel teurer werden, weil diese Entwicklung Geld kostet. Und: Je mehr Teile verbaut sind, desto schneller können diese veralten und unterliegen somit in Gesamtheit wieder dem Wandel der Zeit – Fallstricke im Strom der fortschreitenden Entwicklung. Ein altes Steuergerät eines Tier-1-Zulieferers war vor 15 Jahren so sicher, wie es der Standard zuließ. Damalige DES-Verschlüsselungen sind heute indes einfach keine Hürde mehr.

Das Generieren von Passwörtern und Keys über die Software ist also nur für unkritische Systeme eine Lösung. Wo hohe Sicherheitsanforderungen gewünscht oder notwendig sind, beispielsweise für das Hauptsteuergerät im Fahrzeug, sollten die Schlüssel direkt in der Hardware generiert werden, die tempering proof und somit unveränderlich ist. Außerdem kann hier echter Zufall generiert werden, der sichere Schlüssel ausspuckt – im Gegensatz zu softwarebasierten Generatoren von Schlüsseln, in denen der Zufall kein echter Zufall ist, was wiederum potentielles Einfallstor für Angriffe sein kann (scheinbarer Zufall kann via Kryptoanalyse berechnet werden).

In der Hardware Based Security (einem Teilbereich der Automotive Security) setzt man für diesen Zweck Kryptohardware ein, die ein höheres Sicherheitsversprechen einhalten kann. Die Hardware ist teils zertifiziert (z.B. gemäß „Common Criteria“ oder FIPS), ebenso wie deren Algorithmen. Im Rahmen dieser Zertifizierung unterläuft beides aufwendige, mehrstufige Checks und kann somit als wirklich „sicher“ angesehen werden.

Durch die Unveränderlichkeit und die stets neu generierten, tatsächlich zufälligen Schlüssel bieten diese hardwarebasierten Lösungen genau das hohe Maß an Sicherheit, das in der heutigen Zeit in der Automotive-Welt dringend vonnöten ist.

Automotive Security und die Quanten-Zukunft dank Postquantenalgorithmen?

Der Endgegner, den es als nächstes zu bezwingen gibt, hat noch kein Gesicht, aber einen Namen: Quantencomputer. Noch ist er Legende (oder zumindest ist er noch nicht leistungsfähig genug und mit zu wenigen Q-Bits ausgestattet), aber vermutlich in nicht allzu ferner Zukunft werden Quantencomputer und die damit mögliche Quantenkryptographie einen hohen Stellenwert in automobiler Safety und Automotive Security einnehmen. Algorithmen, die bestehende Schlüssel knacken, gibt es heute schon: Shor’s Algorithm ist ein 1998 entwickelter quasi-Quantenalgorithmus, der die meisten bestehenden asymmetrischen Verschlüsselungsverfahren brechen kann. Und das betrifft einen Großteil der heutigen Verschlüsselungsverfahren, nicht nur in der Automotive Security, sondern auch in der übrigen Industrie. Die weit verbreiteten RSA-Schlüssel (damals schon mit PGP gerne genutzt – hat nichts mit den RSA-Türöffnern gemein) gehen vor einem handgebauten, 25 Jahre alten Algorithmus ebenso in die Knie wie die etwas sichereren elliptischen Kurven. Was Quantencomputer erst vermögen, steht in den Sternen, verheißt aber wenig, das Anlass zum Frohlocken gäbe. Bis es Quantenmethoden gibt, die herkömmliche Verschlüsselungsverfahren (wie z.B. RSA, das auf der Fakturierung zweier extrem großer Primzahlen basiert) in extrem kurzer Zeit knacken, ist es eigentlich nur eine Frage der Zeit. Alle Nachrichten der Firmenhistorie, oder der Regierungs-, Amts- oder Staatshistorie, rückwirkend, alphabetisch sortiert – ein Horrorszenario für die Meisten. Und hieran wird mit Hochdruck gearbeitet, schließlich bietet das Quantencomputing auch viele Gelegenheiten.

Die Branche und vor allem Anbieter wie die Cognizant Mobility hat aber aus den Fehlern der Vergangenheit gelernt, möchte man zumindest glauben, und so stellt sich das Team Informationssicherheit erneut für die Zukunft auf: Vor Quantenkryptopgraphie sichere Algorithmen, sogenannte „Postquantenalgorithmen“ werden bereits von der Industrie entwickelt. Mehr noch, Standardisierungsprozesse laufen seit Jahren, unzählige Vorschläge wurden und werden eingereicht.

Dies hat auch bereits Auswirkungen auf den realen, jetzt stattfindenden Projektalltag in der Automotive Security und befähigt Anbieter wie Cognizant Mobility, Erfahrungen zu sammeln, Architekturen aufzubauen und umfangreiche Vorbereitungen zu treffen: Schon jetzt planen viele OEMs Servicepacks mit Support für Postquantenalgorithmen. Schließlich müssen die heute verbauten Steuergeräte schon jetzt mit entsprechenden Kapazitäten in Sachen Rechenleistung ausgestattet sein, um auch in einem Jahrzehnt handlungsfähig zu sein. Die Planungen sind weitreichend, benötigen Jahre in der Vorbereitung und sind daher schon jetzt Teil jeder sinnvollen und vorwärts gerichteten Automotive-Entwicklung.

Und so geht es weiter, das Spiel von Protagonisten und Antagonisten, Black Hat vs White Hat, Automotive Security gegen den Verlust der Informationssicherheit. Fest steht, dass der Wandel weiter um sich greift, und dass sich die Entwicklung, die Dinge an sich und die Passwörter auch weiterhin ändern werden.

Und zwar mit Sicherheit.