HECA

„Der physische Zugang zum Fahrzeug ist oft der erste Schritt zu weiteren Attacken“, sagt Hannah Nöttgen und beschreibt damit ihren Schwerpunkt im Projekt. „I’m the wireless guy“, stellt sich Matteo Varotto mit einem Augenzwinkern vor. Er fokussiert sich auf Funksignale. Beide beobachten ein mangelndes Bewusstsein für Datenschutz in Kombination mit Autos. „Datensicherheit beim Smartphone haben viele inzwischen im Blick. Aber die wenigsten machen sich Gedanken darüber, was ihre Autos alles über sie verraten“, sagt Matteo. „Moderne Autos sind Datenkraken“, warnt Hannah.

Fahrzeuge haben längst Mobilfunk, GPS, WLAN, Bluetooth und USB-Buchsen an Bord. Diese Kommunikationswege und Schnittstellen – Angriffsvektoren – nimmt das Team unter die Lupe. Hinzu kommen fahrzeugtypische Angriffspunkte. Zunächst einmal die OBD2-Schnittstelle: die seit Anfang der 2000er-Jahre gängige On-Board-Diagnose. Über die meist im Fahrerfußraum verbaute Buchse lassen sich nicht nur die Funktionen von abgasrelevanten Systemen und Steuergeräten auslesen. „Viele Hersteller implementieren darüber inzwischen auch Firmware-Updates“, weiß Christoph Krauß.

Angriffsvektoren ergeben sich zudem durch die zunehmende drahtlose Kommunikation moderner Autos mit anderen Fahrzeugen, Verkehrsteilnehmern oder smarter Infrastruktur, fachsprachlich: „Vehicle-to-Everything“ (V2X). HECA hat aber auch unscheinbarere potenzielle Angriffspunkte auf dem Radar, betont Krauß: „Auch DAB-Radios wurden schon manipuliert.“ Ballermann lässt grüßen.

„Am Anfang haben wir spielerisch ausprobiert, um ein Gefühl für Ansatzpunkte und gangbare Wege zu bekommen“, verrät Krauß. Danach wurden passende Methoden ausgewählt. Beim iterativen Vorgehen wechseln sich zwei Phasen immer wieder ab: „Zuerst machen wir Angriffsvektoren aus und simulieren Angriffe – dann entwickeln wir Maßnahmen, um die Fahrzeuge zu härten.“ Das „Härten“ im Projekttitel stammt vom englischen „hardening“ und meint in der Computertechnik, die Sicherheit eines Systems erhöhen. „Für uns ist es entscheidend, Datenströme zu differenzieren und klassifizieren“, sagt Krauß. Beispiel: Im Einsatz muss die Navigation möglich sein, wozu das Fahrzeug Karten- und Verkehrsdaten herunterlädt. Zugleich soll es aber potenziellen Angreifern seinen Standort nicht mitteilen. Expliziter Auftrag an das Projektteam: Die Maßnahmen sollen nicht-invasiv sein – also keine Kabel durchtrennen oder Antennen abbrechen – und zeitlich flexibel, also temporär aktivierbar.

„Wir schauen uns Angriffsvektoren umfassend und auf verschiedenen Ebenen an – Physik, Kommunikation oder Kryptografie“, erklärt Stefan Valentin. „In HECA untersuchen wir systematisch: Was senden die Fahrzeuge raus, was geht rein?“ Dabei kommt „Software Defined Radios“ (SDRs) eine wichtige Rolle zu. „Das sind programmierbare Sender und Empfänger“, sagt Valentin. „Der Computer generiert Funksignale in Software, die sich mit minimalem Hardware-Einsatz auf die Antenne bringen lassen.“ So lasse sich ausprobieren, demonstrieren und prototypisch implementieren, wozu man früher Chips bauen und programmieren musste. SDRs können Funksignale empfangen, aufzeichnen und analysieren, aber auch abspielen, also aufgezeichnete Signale reproduzieren oder manipulierte Signale generieren.

Anwendungsbeispiel: Bei den heute üblichen Keyless-Schließsystemen lässt sich die Autotür öffnen und das Fahrzeug starten, ohne dass der Schlüssel in ein Schloss gesteckt oder ein Knopf auf dem Schlüssel gedrückt werden muss. Das nutzen Angreifer für sogenannte Relay-Attacken: Sie positionieren Sender und Empfänger zwischen Fahrzeug und Schlüssel, fangen das Funksignal ab, leiten es um und können das Fahrzeug dann aufschließen. Verhindern soll das die von den Fahrzeughersteller entwickelte Abstandsschätzung auf Basis von Ultra-Wideband-Funksignalen. „Eine herausfordernde Aufgabe im Projekt ist ein Angriff auf diese Abstandsschätzung, der dieses Sicherheitsmerkmal aushebelt“, verrät Valentin.

Im und vor dem Gebäude D21 nimmt das Team einen gebrauchten VW Passat, einen neuen Mercedes-Benz Vito und einen vollelektrischen VW ID.3 in die Mangel. „Wir arbeiten mit aktuellen Fahrzeugen, haben aber auch zukünftige technische Herausforderungen im Blick“, sagt Christoph Krauß. Zum Beispiel die Ladeanschlüsse von Elektrofahrzeugen, über die auch Informationen mit der Ladeinfrastruktur ausgetauscht werden.

Eine andere Maßnahme, die das HECA-Team ausprobiert: die gezielte Störung der Funkkommunikation durch Störsignale. „Wir sprechen von Jamming“, sagt Valentin. Dabei sendet ein Störer Signale, die die tatsächliche Kommunikation ausschalten. Die entwickelten Jammer haben eine geringe Reichweite, sodass sie nur das Fahrzeug stören und nicht etwa Notrufe im Umfeld. Valentin nennt ein typisches Anwendungsbeispiel: „Das kann vor Ausspähen schützen, indem man das Aussenden der Standortdaten des Fahrzeugs verhindert.“

Die meisten der gewonnenen Erkenntnisse sind auf jene Fahrzeuge übertragbar, die unter der Notrufnummer „112“ ausrücken. Was nicht weniger wichtig ist: Würde der Löschzug der Feuerwehr zum falschen Ort gelotst oder käme der Rettungswagen nicht vom Fleck, könnte das schnell Menschenleben kosten. Viele Ergebnisse könnten sogar noch grundsätzlicheren Nutzen haben, sagt Krauß: „Polizeifahrzeuge haben ja dieselbe technische Basis wie normale Pkw. Damit ist das meiste, das wir erarbeiten, auch für Standardfahrzeuge relevant.“ HECA könnte also nicht nur die mit Blaulicht und Funkgerät ausgerüsteten Fahrzeuge sicherer machen.

In der ersten Projekthälfte hat das HECA-Team die Fahrzeuge im Stand oder bei Schritttempo bearbeitet. Demnächst schalten sie in die höheren Gänge. „Als Nächstes planen wir Angriffe bei schneller Fahrt in abgesicherter Umgebung“, verrät Krauß. Ein Polizei-Übungsplatz sei schon angefragt. Das HECA-Team der h_da gibt also alles, um Angreifern das Einhacken in die Fahrzeugsysteme zu erschweren. Damit es stattdessen für Mister X und seine Kumpane heißt: „Access denied – Zugriff verweigert“.