So ein modernes Auto ist ein rollender Computer mit rund 100 Steuergeräten und Kilometern von Datenkabeln. Und es ist quasi ständig online, weiß dank GPS, wo es ist und kann mit dem Smartphone oder der Smartwatch geöffnet werden. Ein Fest für Hacker, die Polizei und andere Spitzbuben…
Digitale Forensik im Kontext von Fahrzeugvernetzung, eCall, KFZ-Unfalldatenschreibern und Smartphone-Kopplung
Die zunehmende Vernetzung von Fahrzeugen untereinander (Car2Car), mit Smartphones (Car2Phone) und zentralen Infrastrukturen (Car2Infrastructure) sowie optional bzw. zukünftig verpflichtend in KFZ zu implementierende Erweiterungen – wie Unfalldatenschreiber und das System „eCall“ – sind unter IT-Sicherheitsaspekten und Datenschutzbetrachtungen bisher weitestgehend unerforscht. Die Speicherung und der Austausch von Fahrzeug- und Bewegungsdaten wecken Begehrlichkeiten bei Polizei und Justiz (z.B. im Rahmen von Verkehrsüberwachung und -delikten, Strafverfolgung sowie Unfallrekonstruktion), Versicherungen und Dienstleistern, aber auch bei Kriminellen.
Die praktischen Untersuchungen und theoretischen Überlegungen dieser Forschungsarbeit zeigen eine Reihe von konkreten Schwachstellen im Bereich der mit einem Fahrzeug oder mit Fahrzeuginfrastrukturen gekoppelten IT-technischer Systeme (insbesondere Smartphone-Apps). Besonders auffällig war, dass bei der Entwicklung von Apps und IT-Systemen innerhalb und im Umfeld des Automobils auf vielfach etablierte Sicherheitsstandards wie Verschlüsselung und Hashing-Methoden verzichtet wurde und den Entwicklern typische Angriffsmuster von Hackern offenbar unbekannt sind.
Aus forensischer Sicht bringt die Forschungsarbeit zwei wesentliche Erkenntnisse. Zum einen lassen sich automobile Infrastrukturen und IT-Systeme tatsächlich nicht nur mit Werkzeugen aus der IT angreifen, sondern eben auch analysieren. Je mehr Fahrzeuge mit der IT vernetzt bzw. von ihr durchdrungen werden, umso mehr Möglichkeiten für eine forensische Analyse digitaler Spuren ergeben sich.
Im praktischen Teil der Forschungsarbeit wurde recherchiert und exemplarisch geprüft, welche Schnittstellen die verschiedenen Systeme besitzen, die forensisch angesprochen bzw. ausgewertet werden können. Hierbei wurde sowohl auf offen kommunizierte Standards und Zugänge zugegriffen als auch z.B. mittels Hacking- und Analysewerkzeugen mit Hilfe von Reverse-Engineering-Methoden eine Datenauswertung bzw. -manipulation versucht. Mittels Vorgehensweisen der digitalen Forensik und typischer Angreifer wurde an Beispielen geprüft, inwieweit technische und organisatorische Sicherungsmaßnahmen umgangen werden können, um Zugangssicherungen auszuhebeln bzw. welche Daten tatsächlich übertragen und gespeichert werden.
Zielsetzungen der Forschungsarbeit sind somit u.a., Aussagen über den Datenschutz und die Datensicherheit aus Sicht der Verwender (Benutzer) zu treffen, die forensischen Möglichkeiten und Rechte für Sachverständige und Ermittler zu beleuchten und einen Code of Conduct für Car2Car-, Car2Infrastructure- und Car2Person-Kommunikation zu definieren. Die im Lauf der Jahre aktualisierten Auflagen wurden zudem durch forensische Untersuchungen an Fahrerassistenzsystemen in Bezug auf deren Qualität und Zuverlässigkeit, einer Analyse des Unfalles eines voll-automatisiert fahrendes Fahrzeugs der Firma Uber mit Todesfolge und durch neue Veröffentlichungen anderer Forscher sowie einem Update in Bezug auf die Gesetzeslage ergänzt.
Last but not least wurde in den auf die ursprüngliche Arbeit aufbauenden jüngeren Auflagen mehr und mehr auch auf aktuelle Entwicklungen sowie politische und öffentliche Diskussionen rund um das vernetzte und automatisiert fahrende Automobil eingegangen. Hier sind nach Meinung des Autors sowohl bei den Fahrzeug-Herstellern als auch in der Politik (national wie international) Tendenzen zu erkennen, die einen grundlegenden Wandel der Art und Weise darstellen, wie der Einzelne Mobilität erleben wird. Das wird erhebliche Auswirkungen auf Wertschöpfungsketten in Ländern wie Deutschland haben, in denen die Automobilindustrie ein wesentliches Rückgrat der Wirtschaft darstellt. Effekte, die durch die Abgas-Problematik der jüngeren Vergangenheit (Diesel-Skandal, Verschärfung der Emissions-Grenzwerte bzw. Diskussion um die Umweltfreundlichkeit von Elektro-Fahrzeugen) sind hierbei nur am Rande erwähnt, da sie nicht Schwerpunkt dieser Forschungsarbeit sind.
Im Rahmen der Forschungsarbeit wurden im Detail folgende Aspekte, Systeme und Technologien betrachtet:
- Angriffsszenarien für Automotiv-Smartphone-Apps; u.a. Prüfung, ob aktuelle Automotiv-Apps Geo-Positionen und Daten loggen, die forensisch ausgewertet werden können.
- Betriebssicherheit von Kfz (Safety Critical): Prüfung, welche Manipulationsmöglichkeiten von sicherheitsrelevanten Steuergeräten zur Provozierung von Unfällen es gibt und welche Maßnahmen die Kfz-Hersteller ergreifen bzw. denkbar sind, um das Einschleusen von Schadcode (Trojaner) zu erschweren.
- IT-Sicherheit (Security Critical) bei Kfz und Car-Kommunikation an Beispielen wie „BMW ConnectedDrive“, „my Audi“ „Mercedes Connect Me“ o.ä. durch Untersuchung der entsprechenden Apps; Empfehlungen für sichere Kopplung von Fahrzeug und Endgerät.
- Car2X – Stand der Technik aus Sicht der Forensik und des Datenschutz
- Unfalldatenschreiber und Haftungsfragen sowie Datenschutz beim automatisierten Pilotieren von Kfz – Diskussion eines möglichen Design-Entwurfs.
- Automatisches Notruf-System eCall sowie der Unfallmeldedienst des Gesamtverbands der deutschen Versicherer (GDV) – Datenschutzbetrachtung und Missbrauchsszenarien.
- Untersuchung von Zugriffsmöglichkeiten auf Steuergeräte über OBD / CAN-Bus
- Forensische Maßnahmen zur Aufdeckung von Sicherheitsmängeln (auch in Bezug auf die funktionale Sicherheit z.B. bei modernen Assistenzsystemen).
- Notwendige Rechtsreformen für automatisiertes Pilotieren von Kfz (Grundlagen) und Entwicklung eines Codes of Conduct für den Zugriff auf im Kfz gespeicherte Daten.
Die Forschung bzgl. sicherheitstechnischer Fragestellungen im Automotive-Umfeld wird weitergeführt, da dies ein kontinuierlicher Prozess ist und ständig neue Aspekte, Diskussionsergebnisse und natürlich auch Schwachstellen und Angriffsmöglichkeiten gefunden werden. Dem wird in einer kontinuierlichen Pflege der Dokumentation und des hier nun bereits in einer überarbeiteten 5. Auflage des Forschungsberichts Rechnung getragen.
Der Autor – Dipl.-Ing. Thomas Käfer – hat den berufsbegleitenden Masterstudiengang Digitale Forensik an der Hochschule Albstadt-Sigmaringen erfolgreich mit dem Titel „Master of Science“ absolviert und befasst sich in seiner alltäglichen beruflichen Tätigkeit seit vielen Jahren mit den Themen Datenschutz und IT-Sicherheit. Aus der im Frühjahr 2014 entstandenen Idee für die Abschlussarbeit ist das umfangreiche Forschungsprojekt „Car-Forensics“ entstanden.
Als gebundenes Buch DIN A4 ISBN 9783738635393 oder eBook ISBN 9783739262659 mit zahlreichen farbigen Illustrationen und rd. 340 Seiten erhältlich;
Mit dem Kaufpreis von 280,- € unterstützen Sie die Forschungsarbeit, die komplett aus privaten Mitteln ohne staatliche oder Unterstützung dritter erstellt wurde.