CAN Bus Sicherheit: Der unsichtbare Cybersecurity-Kampf in vernetzten Fahrzeugen

Die zunehmende Integration digitaler Konnektivität in modernen Fahrzeugen hat die Bedeutung der Cybersicherheit erhöht, insbesondere im Controller Area Network (CAN) Bus-System.

Ursprünglich für eine effiziente Kommunikation zwischen Elektronischen Steuergeräten (ECUs) konzipiert, fehlt dem CAN-Bus die integrierte Sicherheitsmaßnahmen, was ihn zu einem Hauptziel für Cyber-Bedrohungen macht.

Dieses Papier untersucht die Schwachstellen des CAN-Bus, einschließlich des Fehlens von Authentifizierung und Verschlüsselung, der Anfälligkeit für Denial-of-Service- und Replay-Angriffe sowie der wachsenden Risiken, die durch drahtlose Konnektivität entstehen.

Um diese Herausforderungen anzugehen, präsentieren wir einen mehrschichtigen Ansatz zur CAN-Bus-Sicherheit, der Intrusion Detection and Prevention Systems (IDPS), Nachrichtenauthentifizierung und -verschlüsselung, sichere Gateways, Netzwerksegmentierung und Secure Boot-Mechanismen umfasst.

Ein wesentlicher Beitrag dieser Studie ist die Analyse von tiefen neuronalen Netzwerken zur Anomalieerkennung, die eine Echtzeiterkennung bösartiger Aktivitäten ermöglicht.

Darüber hinaus untersuchen wir die Wirksamkeit kryptografischer Authentifizierung und leichter Verschlüsselungstechniken zum Schutz der Fahrzeugkommunikation.

Die Ergebnisse heben den kritischen Bedarf an einer proaktiven Cybersicherheitsstrategie hervor, die KI-gesteuerte Sicherheitslösungen, post-quanten-kryptografische Verfahren und blockchain-basierte Schutzmaßnahmen betont, um sich gegen sich entwickelnde Angriffsvektoren zu wehren.

Durch die Implementierung dieser Verteidigungen kann die Automobilindustrie die Fahrzeugsicherheit erhöhen, die Datenintegrität schützen und das Vertrauen der Verbraucher in einer zunehmend vernetzten Landschaft stärken.

Einführung: Die unsichtbaren Bedrohungen in vernetzten Fahrzeugen

Da sich Fahrzeuge zu komplexen digitalen Maschinen entwickeln, war die Bedeutung der Cybersicherheit in der Automobilindustrie noch nie so groß.

Das Controller Area Network (CAN) Bus, ursprünglich entwickelt, um die Kommunikation im Fahrzeug zwischen Elektronischen Steuergeräten (ECUs) zu vereinfachen, ist zu einem Hauptziel für Cyber-Bedrohungen geworden.

Während seine Effizienz bei der Verwaltung von Fahrzeugfunktionen unbestreitbar ist, lässt das Fehlen integrierter Sicherheitsprotokolle moderne Fahrzeuge anfällig für eine neue Art von Cyberangriffen.

Cyberkriminelle nutzen zunehmend Schwächen in CAN-Netzwerken aus, was die Fahrzeugsicherheit, die Datenintegrität und das Vertrauen der Verbraucher gefährdet.

Mit der raschen Einführung von vernetzten und autonomen Fahrzeugen ist das Verständnis der Schwachstellen des CAN-Bus und die Implementierung modernster Schutzmechanismen keine Option mehr, sondern eine Notwendigkeit.

Warum die CAN-Bus-Sicherheit entscheidend ist

Die CAN-Bus-Sicherheit ist entscheidend, da moderne Fahrzeuge auf dieses Protokoll angewiesen sind, um alles von der Motorsteuerung und den Bremssystemen bis hin zu Infotainment- und Fahrerassistenzfunktionen zu verwalten.

Ein kompromittierter CAN-Bus kann katastrophale Folgen haben, einschließlich unbeabsichtigter Beschleunigung, Bremsversagen und Fernübernahme von Fahrzeugen.

Der berüchtigte Jeep Cherokee-Hack im Jahr 2015 zeigte, wie Angreifer die Funktionen eines Fahrzeugs aus der Ferne manipulieren konnten, was die Branche dazu veranlasste, die CAN-Sicherheit zu priorisieren.

Eine Studie von Miller und Valasek (2015) zeigte, dass CAN-Bus-Angriffe Lenk- und Bremsfehler verursachen könnten, was beweist, dass dies nicht nur ein theoretisches Risiko, sondern eine reale Bedrohung ist.

Mit dem Aufkommen der Vehicle-to-Everything (V2X)-Kommunikation, Over-the-Air (OTA)-Updates und cloud-verbundenem Flottenmanagement erweitert sich die Angriffsfläche von Fahrzeugen.

Forschungen von Petit und Shladover (2014) zeigen, dass drahtlose Angriffsvektoren das Potenzial für die Fernnutzung des CAN-Bus erheblich erhöhen, wodurch traditionelle Sicherheitsannahmen obsolet werden.

CAN-Bus-Schwachstellen: Eine eingehende Analyse

Trotz seiner Effizienz wurde das CAN-Protokoll nicht mit Blick auf Cybersicherheit entwickelt. Einige der wichtigsten Schwachstellen sind:

1. Fehlende Authentifizierung und Verschlüsselung

Im Gegensatz zu modernen Kommunikationsprotokollen fehlen CAN-Bus-Nachrichten Authentifizierungsmechanismen, was bedeutet, dass jedes ECU im Netzwerk Nachrichten senden und empfangen kann, ohne dass eine Überprüfung erfolgt.

Angreifer, die unbefugten physischen oder Fernzugriff ausnutzen, können bösartige Befehle injizieren und möglicherweise sicherheitskritische Funktionen außer Kraft setzen.

Studien von Woo und Kim (2015) zeigen, dass das Hinzufügen von Nachrichten-Authentifizierungscodes (MACs) Spoofing-Angriffe verhindern könnte, aber die Implementierung bleibt aufgrund von Bandbreitenbeschränkungen eine Herausforderung.

2. Broadcast-Kommunikationsmodell

Da alle ECUs denselben Bus teilen und alle übertragenen Nachrichten empfangen, kann ein einzelner kompromittierter Knoten das Verhalten des Fahrzeugs manipulieren.

Forschungen von Checkoway et al. (2011) fanden heraus, dass die Kompromittierung eines Infotainmentsystems eine seitliche Bewegung im CAN-Netzwerk ermöglichen kann, die kritische Fahrzeugfunktionen beeinträchtigt.

3. Denial-of-Service (DoS)-Angriffe

Ein häufiger CAN-Bus-Angriff besteht darin, das Netzwerk mit hochpriorisierten Nachrichten zu überfluten, das System zu überlasten und legitime Signale zu blockieren.

Eine Studie von Choi et al. (2018) zeigte, dass DoS-Angriffe zu Airbag-Fehlern, Bremsversagen und Anomalien im Armaturenbrett führen könnten.

4. Replay-Angriffe

Angreifer können gültige CAN-Nachrichten erfassen und später erneut senden, was es Fahrzeugen erschwert, zwischen legitimen und betrügerischen Befehlen zu unterscheiden.

Groll und Rieke (2019) schlagen kryptografische Zeitstempel vor, um Replay-Angriffe zu mindern, obwohl die praktische Umsetzung mit Herausforderungen durch den Rechenaufwand verbunden ist.

5. Fernangriffe und drahtlose Angriffsflächen

Die Integration von Wi-Fi, Bluetooth und mobiler Kommunikation erweitert die Angriffsvektoren über den physischen Zugriff hinaus.

Forschungen von Koscher et al. (2010) bestätigten, dass drahtlose Konnektivität ausgenutzt werden könnte, um CAN-Bus-Befehle aus der Ferne einzuspeisen, was die Notwendigkeit für verbesserte Gateway-Sicherheit demonstriert.

Sicherung des CAN-Bus: Gegenwart und Zukunft

Um diese Schwachstellen zu bekämpfen, setzen Branchenführer einen mehrschichtigen Ansatz ein, der Hardware- und Software-Sicherheitsstrategien kombiniert.

1. Intrusion Detection and Prevention Systems (IDPS)

Die signaturbasierte Erkennung ist eine grundlegende Technik, die in Intrusion Detection and Prevention Systems (IDPS) verwendet wird, um bekannte Cyber-Bedrohungen in automobilen CAN-Netzwerken zu identifizieren.

Diese Methode basiert auf einer Datenbank vordefinierter Angriffs-Signaturen, die einzigartige Muster im Zusammenhang mit bösartigen Aktivitäten, wie unbefugte Befehlsinjektionen, Replay-Angriffe oder gefälschte ECU-Nachrichten, umfasst.

Wenn der CAN-Bus-Verkehr überwacht wird, vergleicht das System jede Nachricht mit diesen gespeicherten Signaturen, um verdächtige Aktivitäten in Echtzeit zu erkennen und zu kennzeichnen.

Die Anomalieerkennung durch tiefe neuronale Netzwerke (DNN) ist eine fortschrittliche Methode, die speziell entwickelt wurde, um Schwachstellen im Controller Area Network (CAN) anzugehen.

Da der CAN-Bus keine nativen Sicherheitsfunktionen wie Authentifizierung und Verschlüsselung aufweist, wird er sehr anfällig für Cyber-Bedrohungen, einschließlich Ransomware-Angriffen.

Um dem entgegenzuwirken, schlugen jüngste Forschungen von Zhou et al. (2019) ein innovatives System vor, das tiefe neuronale Netzwerke zur Echtzeitanomalieerkennung von CAN-Bus-Nachrichten nutzt.

Diese Methode behandelt die Anomalieerkennung als ein Problem des domänenübergreifenden Modellierens, bei dem Sequenzen von CAN-Bus-Datenpaketen gleichzeitig verarbeitet werden.

Konkret werden Datenpakete in drei Gruppen organisiert – Anker (bekannte gute Daten), positiv (normale Betriebsdaten) und negativ (anomalous Daten) – und in eine Architektur eines tiefen neuronalen Netzwerks eingespeist, das eine gemeinsame Gewichtstraining-Strategie verwendet.

Dieser Ansatz nutzt ein eingebettetes Triplet-Verlustfunktionsnetzwerk, das ursprünglich in der Gesichtserkennung verwendet wurde, um die Abstände zwischen diesen Gruppen zu optimieren.

Das DNN zielt darauf ab, den Abstand zwischen Anker- und positiven Datenpunkten (normalen Verhaltensweisen) zu minimieren, während gleichzeitig der Abstand zwischen Anker- und negativen Datenpunkten (anomalem Verhalten) maximiert wird.

Das tiefe neuronale Netzwerk extrahiert charakteristische Merkmalsvektoren aus CAN-Bus-Nachrichten, die kritische Verhaltensmuster wie Nachrichtenfrequenzen, Nachrichten-ID-Sequenzen und Payload-Inhalte kapseln.

Wenn dieses System in Echtzeitszenarien eingesetzt wird, überwacht es kontinuierlich die eingehenden CAN-Nachrichten und identifiziert schnell Abweichungen vom gelernten Basisverhalten.

Bei der Erkennung von anomalen Aktivitäten, die auf Ransomware oder bösartige Manipulationen hindeuten, löst das IDPS sofortige Warnungen und automatisierte Schutzmaßnahmen wie Netzwerkisolierung oder ECU-Aussetzung aus.

Zur Ergänzung der anomaliebasierten Erkennung verstärkt die Netzwerksegmentierung die CAN-Bus-Sicherheit weiter, indem sie die interne Kommunikationsinfrastruktur des Fahrzeugs in isolierte Segmente unterteilt.

Dieser Ansatz trennt sicherheitskritische Systeme, wie Lenkung, Bremsen und Airbags, von nicht-kritischen Systemen wie Infotainment und Telematik. Gateway-Elektronische Steuergeräte (ECUs) setzen strenge Kommunikationsrichtlinien durch, die seitliche Bewegungen einschränken und verhindern, dass Ransomware sich über Fahrzeugnetzwerke ausbreitet.

2. Nachrichtenauthentifizierung und -verschlüsselung

Die Nachrichtenauthentifizierung stellt sicher, dass Nachrichten von legitimen Quellen stammen und während der Übertragung unverändert bleiben. Techniken wie Hash-Based Message Authentication Codes (HMAC) bieten eine zuverlässige und effiziente Lösung.

Zhang et al. (2021) demonstrierten die Wirksamkeit der Kombination von HMAC mit dem Tiny Encryption Algorithm (TEA), der starken Schutz gegen unbefugte Nachrichtenänderungen und Replay-Angriffe bietet und gleichzeitig minimale Leistungsüberlastung verursacht.

Darüber hinaus verwenden hardwarebasierte Authentifizierungsmethoden, wie Physikalisch Unklonierbare Funktionen (PUFs), einzigartige Herstellungsmerkmale von ECUs, um sichere kryptografische Identifikatoren zu generieren, wodurch das Risiko unbefugten Zugriffs erheblich reduziert wird.

Die Verschlüsselung ergänzt die Authentifizierung, indem sie die Vertraulichkeit von Nachrichten schützt und sicherstellt, dass nur autorisierte ECUs die übermittelten Daten interpretieren können.

Symmetrische Verschlüsselungsmethoden werden aufgrund ihrer minimalen Rechenanforderungen für den Automobilgebrauch bevorzugt, da sie eine schnelle und effiziente Nachrichtenverschlüsselung ermöglichen, die für die Echtzeitkommunikation geeignet ist.

Protokolle wie Lightweight Encryption and Authentication Protocols (LEAP) sind speziell für automobile Umgebungen konzipiert und bieten ein Gleichgewicht zwischen robuster Sicherheit und Leistungsanforderungen.

LEAP nutzt leichte, sicherheitsverbesserte Stromverschlüsselungsalgorithmen, um gleichzeitig Authentifizierung und Verschlüsselung bereitzustellen und somit sichere CAN-Kommunikationen zu gewährleisten, ohne signifikante Latenz oder Ressourcenbeschränkungen einzuführen.

3. Sichere Gateways und Netzwerksegmentierung

Die Netzwerksegmentierung hat sich als entscheidende Cybersicherheitsstrategie zum Schutz von automobilen Controller Area Network (CAN)-Bussen vor Cyber-Bedrohungen herausgestellt.

Dieser Ansatz beinhaltet die logische Unterteilung des internen Netzwerks des Fahrzeugs in mehrere isolierte Segmente, von denen jedes über eigene Sicherheitsprotokolle verfügt.

Durch die Einschränkung der Kommunikation zwischen diesen Segmenten minimiert die Segmentierung effektiv das Potenzial für Angreifer, sich seitlich im Netzwerk zu bewegen, und begrenzt erheblich die Verbreitung von Bedrohungen.

Selbst wenn ein Segment kompromittiert wird, stellt die Segmentierung sicher, dass kritische Systeme – wie Bremsen, Lenkung oder Sicherheitskontrolle – sicher und betriebsfähig bleiben.

Fortgeschrittene Implementierungen der Netzwerksegmentierung nutzen Gateway-Elektronische Steuergeräte (ECUs), die strenge Kommunikationsregeln durchsetzen und den Netzwerkverkehr in Echtzeit überwachen.

Diese Gateways fungieren als dedizierte Sicherheitskontrollpunkte, die kontinuierlich Nachrichtenflüsse auf abnormale oder unbefugte Aktivitäten analysieren.

Wenn bösartiges Verhalten erkannt wird, erfolgt sofort die Isolation des betroffenen Segments, um sicherzustellen, dass kritische Funktionen geschützt bleiben.

Diese Methode verhindert nicht nur die Eskalation von Cyber-Bedrohungen, sondern ermöglicht auch eine schnelle Reaktion und Wiederherstellung, um die Sicherheit und betriebliche Integrität der automobilen Systeme aufrechtzuerhalten.

4. Secure Boot und Firmware-Integritätsprüfung

Die Gewährleistung der Integrität und Authentizität von Firmware ist von größter Bedeutung, um das Controller Area Network (CAN) vor potenziellen Cyber-Bedrohungen zu schützen.

Zwei kritische Mechanismen, die zur Erreichung dieses Ziels eingesetzt werden, sind Secure Boot und Firmware-Integritätsprüfung. Diese Prozesse arbeiten zusammen, um die Ausführung unbefugter Codes zu verhindern und die Vertrauenswürdigkeit der Systeme im Fahrzeug aufrechtzuerhalten.

Secure Boot: Etablierung einer Vertrauenskette

Secure Boot ist ein Sicherheitsprotokoll, das sicherstellt, dass das eingebettete System eines Fahrzeugs nur mit verifiziertem und vertrauenswürdigem Software bootet.

Es etabliert eine Vertrauenskette (CoT), die mit einem unveränderlichen Root of Trust (RoT) beginnt, der in der Hardware eingebettet ist und jede nachfolgende Softwareebene vor der Ausführung überprüft.

Dieser Prozess verhindert das Laden von bösartigem oder manipuliertem Code während des Bootvorgangs.

Die Implementierung von Secure Boot umfasst:

2. Root of Trust (RoT): Eine unveränderliche Komponente, die oft im Read-Only Memory (ROM) gespeichert ist und den ursprünglichen Code und die kryptografischen Schlüssel enthält, die für den ersten Verifizierungsschritt erforderlich sind.

3. Bootloader-Verifizierung: Der RoT überprüft die digitale Signatur des Bootloaders mithilfe asymmetrischer Kryptografie (z. B. RSA oder ECC). Wenn die Signatur gültig ist, wird der Bootloader ausgeführt; andernfalls wird der Bootvorgang gestoppt.

4. Betriebssystem- und Anwendungsüberprüfung: Der nun vertrauenswürdige Bootloader überprüft das Betriebssystem und die Anwendungen auf ähnliche Weise, um sicherzustellen, dass jede Komponente vor der Ausführung authentifiziert ist.

Dieser mehrschichtige Verifizierungsprozess stellt sicher, dass nur authentifizierte Software geladen wird, wodurch das CAN-Netzwerk vor potenziellen Cyber-Bedrohungen geschützt wird.

Firmware-Integritätsprüfung: Gewährleistung kontinuierlichen Vertrauens

Über den anfänglichen Bootprozess hinaus überwacht die Firmware-Integritätsprüfung kontinuierlich die Integrität der Firmware während der Laufzeit. Dies umfasst:

• Kryptografisches Hashing: Erzeugung eines Hashs des Firmware-Codes und Vergleich mit einem bekannten guten Wert. Jede Abweichung weist auf eine mögliche Manipulation hin.

• Digitale Signaturen: Verwendung digitaler Signaturen zur Überprüfung, dass Firmware-Updates von vertrauenswürdigen Quellen stammen und während der Übertragung nicht verändert wurden.

Diese Maßnahmen stellen sicher, dass unbefugte Änderungen an der Firmware umgehend erkannt werden, wodurch die Sicherheit des CAN-Netzwerks aufrechterhalten wird. 

Implementierung in Automobilsystemen

Die Implementierung von Secure Boot und Firmware-Integritätsprüfung in Fahrzeugen erfordert die Integration dieser Mechanismen in die Elektronischen Steuergeräte (ECUs), die verschiedene Funktionen im Fahrzeug verwalten. Diese Integration erfordert:

• Hardwareunterstützung: ECUs müssen mit Hardware-Sicherheitsmodulen ausgestattet sein, die in der Lage sind, kryptografische Operationen durchzuführen, die für Secure Boot und Integritätsprüfungen erforderlich sind.

• Softwarearchitektur: Die Software muss so gestaltet sein, dass sie sichere Bootsequenzen und Integritätsprüfungen zur Laufzeit unterstützt, ohne die Leistung zu beeinträchtigen.

Eine Studie zum S32G274A-Fahrzeugnetzwerkprozessor demonstrierte die praktische Integration post-quanten-sicherer Bootmechanismen und hob die Machbarkeit und Bedeutung dieser Sicherheitsmaßnahmen in modernen Automobilsystemen hervor. 

Fazit: Der Weg nach vorn für die Cybersicherheit im Automobilbereich

Die rasante Entwicklung vernetzter Fahrzeuge hat beispiellosen Komfort gebracht, aber auch kritische Schwachstellen in der CAN-Bus-Architektur offengelegt.

Da Cyber-Bedrohungen weiterhin an Komplexität zunehmen, ist die Sicherung automobilen Netzwerke nicht mehr optional, sondern zwingend erforderlich.

Die in diesem Artikel hervorgehobenen Forschungen und realen Angriffe zeigen den dringenden Bedarf an einer proaktiven, mehrschichtigen Verteidigungsstrategie.

Durch die Integration von KI-gesteuerter Anomalieerkennung, kryptografischer Authentifizierung, sicheren Gateways und regulatorischer Compliance können Automobilhersteller die CAN-Bus-Sicherheit gegen aufkommende Cyber-Bedrohungen stärken.

Mit dem technologischen Fortschritt muss die Branche auch in zukunftsorientierte Lösungen wie post-quanten-kryptografische Verfahren, blockchain-basierte Sicherheit und selbstheilende Netzwerke investieren, um den sich entwickelnden Angriffsvektoren einen Schritt voraus zu sein.

Die Zukunft der Cybersicherheit im Automobilbereich hängt von einer Zusammenarbeit zwischen Herstellern, politischen Entscheidungsträgern und Cybersicherheitsexperten ab.

Nur durch kontinuierliche Innovation und Wachsamkeit können wir sicherstellen, dass die Fahrzeuge von morgen sicher, widerstandsfähig und vertrauenswürdig bleiben.

In diesem hochriskanten Cybersecurity-Kampf geht es nicht nur darum, Daten zu schützen, sondern auch darum, Leben auf der Straße zu sichern.

Referenzen

2. Miller, C., & Valasek, C. (2015). “Remote Exploitation of an Unaltered Passenger Vehicle.”

3. Petit, J., & Shladover, S. E. (2014). “Potential Cyberattacks on Automated Vehicles.”

4. Koscher, K., Czeskis, A., Roesner, F., et al. (2010). “Experimental Security Analysis of a Modern Automobile.”

5. Woo, S., & Kim, J. (2015). “A Practical Message Authentication Code for CAN Bus Security.”

6. Choi, W., Woo, S., & Kim, Y. (2018). “Denial-of-Service Attacks on CAN Networks.”

7. Dorri, A., Kanhere, S. S., Jurdak, R., & Gauravaram, P. (2017). “Blockchain for IoT Security and Privacy.”

8. Thiruloga, S., Kukkala, V. K., & Pasricha, S. (2021). “AI-Based Anomaly Detection in Automotive Networks.”

9. Zhou, Aiguo & Li, Zhenyu & Shen, Yong. (2019). Anomaly Detection of CAN Bus Messages Using a Deep Neural Network for Autonomous Vehicles.

10. Zhang, et al. (2021). “Authentication Method Combining HMAC-SHA256 with Tiny Encryption Algorithm for CAN Bus Security.” SAE International.

11. Siddiqui, et al. (2017). “Secure Communication over CAN Bus: A PUF-Based Mutual Authentication Framework.” ResearchGate.

Bildquellen

• Bild 1 Quelle: Emad Aliwa, Omer Rana, Charith Perera und Peter Burnap. 2021. Cyberangriffe und Gegenmaßnahmen für In-Vehicle-Netzwerke. ACM Comput. Surv. 54, 1, Artikel 21 (Januar 2022), 37 Seiten. https://doi.org/10.1145/3431233

• Bild 2 Quelle: Zhou, & Li, & Shen,. (2019). Anomaly Detection of CAN Bus Messages Using A Deep Neural Network for Autonomous Vehicles. Applied Sciences. 9. 3174. 10.3390/app9153174.

• Bild 3 Quelle: Forschungsartikel von embeddedcomputing „Secure Boot: Ein integrales Sicherheitsmerkmal für Code-Speicherung, Betriebssysteme und Datenspeicherung“ Link: https://embeddedcomputing.com/technology/storage/secure-boot-an-integral-security-feature-for-code-storage-operating-systems-and-data-storage

Diese Geschichte wurde ursprünglich am 21. Mai 2024 veröffentlicht.