Oftmals hinterfragt man gar nicht, wer Zugriff auf die eigenen Daten hat, Datenschutz wird im Namen der Bequemlichkeit gleich dreimal belächelt. Doch was passiert, wenn man unwissend sein Auto an einer vertrauenserweckenden Ladesäule ansteckt und im Nachgang bestenfalls Opfer von Cyberkriminalität wird? Alternativ könnte man nach so einem Angriff mit dem selbstfahrenden Auto im Graben landen oder es „verschwindet“ ohne äußere Einwirkung ins Ausland. Besonders Fahrzeuge mit einem Keyless-Schlüsselsystem oder NFC-Funktion sind vulnerabel für solche Angriffe. Das hört sich erst einmal nach einer unrealistischen Horrorstory an, es gab jedoch bereits einige Fälle von autonom fahrenden E-Autos, die von der Ferne aus gehackt und gesteuert wurden. Wie kann so etwas überhaupt passieren und noch wichtiger: Was kann man dagegen unternehmen? Das Forschungsteam vom Campus Vilshofen mit dem Schwerpunkt Cybersecurity widmet sich mit dem Projekt ELISA, genau dieser Fragestellung.
Exkurs: Wie E-Autos und Ladesäulen miteinander kommunizieren
Seit drei Jahren verdanken E-Autofahrer dem DIN EN ISO 15118-20 ISO-Standard das automatisierte vereinfachte Laden. Mit Hilfe von Zertifikaten – also digitalen Ausweisen, die die Identität von Personen, Geräten oder Diensten bestätigen – können E-Autos beim Andocken mit einer Ladesäule, alle relevanten Infos und Protokolle für den Ladevorgang austauschen. Die Betreiber der Ladesäulen und Stromanbieter verfügen ebenfalls über Zertifikate, mit denen Kommunikation ermöglicht wird. Es ist entsprechend nicht mehr notwendig eine Ladesäule vom eigenen Stromanbieter zu suchen oder die Zahlungsdaten bei jedem Ladevorgang einzugeben. Diese Anwendung nennt man praktischerweise „Plug & Charge“, da die fahrende Person nichts weiter tun muss, als das Auto anzustecken. Nun, da der persönliche digitale Schlüssel im Auto die notwendigen Protokolle signieren und zertifizieren kann, ist es essenziell ihn vor unbefugten Zugriffen und Angriffen zu schützen. Zwar ist es unwahrscheinlich, dass ein Angreifer Schwachstellen in der verschlüsselten Kommunikation findet, es gibt jedoch einige Schnittstellen, die man nutzen könnte, um beispielsweise den Zertifikats- und Signierschlüssel des Autos zu entwenden und für eigene Zwecke zu nutzen. Zur Veranschaulichung: Es ist schwieriger eine Überweisung abzufangen, als die Online-Banking-Daten zu stehlen. Besonders in Hinblick auf Autonomes Fahren, Carsharing und „Plug & Charge“ sind Bedenken in der Datensicherheit ernst zu nehmen und undurchdringbare Strukturen einzusetzen.
Das kleine Testfahrzeug mit dem eingebauten TPM-Chip wurde beim Tag der offenen Tür des Campus Vilshofen präsentiert.
Klein, aber oho!
Normalerweise macht der Nachwuchs damit den Garten unsicher und übt darin das Cruisen. Am Campus Vilshofen hat das Forschungsteam von Prof. Dr. Martin Schramm jedoch einen anderen Plan für das kleine elektrische Auto: Sie haben es zu einem Testfahrzeug in Miniaturausgabe umfunktioniert. Es ist für die Veranschaulichung ihres Cybersicherheits-Projektes durch die geringe Größe besser geeignet und nachhaltiger als ein E-Auto in Lebensgröße. Das kleine Testfahrzeug ELISA ist mit einer Ladesteckdose versehen und kann in einem „Plug & Charge“-Anwendungsfall mit einer intelligenten Ladesäule kommunizieren. Sowohl die Ladesäule als auch das Testfahrzeug selbst wurden mit erweiterten Kommunikationsprotokollen der neuen DIN-Norm angepasst. Diese Protokolle sollen es ermöglichen, eine standardisierte, sichere und wechselseitige Datenübertragung zwischen E-Auto und der Ladeinfrastruktur zu gewährleisten.
Wie ELISA sensible Daten schützt
Da bei ELISA sozusagen das Misstrauen getestet werden soll, ist es für die Forschenden wichtig die Vertraulichkeit, Integrität und Authentizität der Kommunikation zu sichern. Schließlich soll das System erkennen können, was unter vertrauliche Kommunikation zählt, um diejenigen Versuche zu blockieren, die nicht-vertrauenswürdig sind. Hierfür werden Zertifikate für Signatur und Verschlüsselung erstellt, vergleichbar mit Zertifikaten, die man bei der erstmaligen Einrichtung von zum Beispiel „eduroam“ benötigt. Diese Zertifikate – oder digitalen Ausweise – stellen sicher, dass nur autorisierte Systeme am Ladevorgang teilnehmen können und Daten nicht manipuliert werden. Wie stellt man jedoch sicher, dass auch die Quelle der Zertifikate vertrauenswürdig ist? Ein erfahrener Hacker könnte doch bestimmt eines dieser Zertifikate duplizieren und an anderer Stelle verwerten. Um nicht nur die Validität des digitalen Ausweises, sondern auch den Ursprung dieses zu verifizieren, kommen sogenannte Hardware-Vertrauensanker (engl. Hardware Trust Anchors, HTA) ins Spiel. Sie sind eine sichere Grundlage für die Verwaltung von kryptographischen Schlüsseln und Zertifikaten, die sicherstellt, dass die Identität von Geräten nicht gefälscht werden kann. In diesem Anwendungsfall spricht man von einem Trusted Platform Module (TPM), das in Form eines Chips in das Auto eingebaut werden kann.
Dieser kleine Chip verwaltet sämtliche kryptographische Information, die für einfaches aber sicheres "Plug & Charge" notwendig ist.
ELISA vertraut niemandem
Man kann sich das Konzept von HTAs etwa vorstellen wie eine bei der Bank angestellte Person A, die den Schlüssel zu dem Tresor von Person B bei der Bank aufbewahrt. Da der Tresorschlüssel nur von dieser dort angestellten Person A verwaltet werden darf, ist er sicher und unfälschbar, weil der Ursprung des Tresorschlüssels nicht bestritten werden kann – nicht einmal die Tresor-Besitzende Person B hat Zugang zu dem Schlüssel. So ist es auch mit dem eingebauten TPM bei ELISA. Das Module übernimmt Aufgaben wie die sichere Schlüsselerzeugung, Zertifikatsverwaltung und Integritätsüberprüfung des Systems und dient damit als zentrale Sicherheitskomponente. Dieses Sicherheitskonzept fügt sich nahtlos in eine sogenannte „Zero-Trust-Architektur“ ein. Wie der Name schon andeutet, handelt es sich hierbei um Strukturen, bei denen nicht mehr automatisch vertraut wird, dass interne oder externe Systeme sicher sind. Jede Kommunikation, jede Komponente wird kontinuierlich überprüft und authentifiziert. Lediglich das TPM als hardwaregestützte Vertrauensbasis kann die eindeutige Geräteidentität sicherstellen. Es verhindert somit, dass nicht autorisierte oder korrupte Systeme in die Kommunikationskette eindringen können. Wenn ein Ladevorgang gestartet wird, werden die Daten von Ladesäule und E-Auto auf den TPM-Chip geladen, dieser verifiziert und entschlüsselt die Daten und gibt sie dann zur wechselseitigen Kommunikation zwischen Ladesäule und Auto verschlüsselt weiter.
In erweiterter Ausführung soll ein solches Modul auch bei Smartphone Apps für Carsharing und CarAccess Anwendung finden. Hierzu wollen die Forschenden in Zukunft weitere Aspekte der Datensicherheit durch HTA-Systeme erforschen und Lösungsansätze erweitern bzw. entwickeln. So sollen E-Autos in Zukunft auch beim Laden an öffentlichen Ladesäulen vor allen möglichen Cyberangriffen geschützt sein. Auch wenn die kleinen E-Autos wie das von ELISA ursprünglich für den sicheren Fahrspaß der Autofahrenden von Morgen konzipiert wurden, ebnet dieses kleine Testauto bereits den Weg für den bedenkenlosen Fahrspaß der E-Autofahrenden von Heute.