TACHOMANIPULATION – TECHNISCH VORBEUGENIn den vergangenen Jahren haben die Automobilhersteller das Thema Tachomanipulation nicht allzu ernst

genommen, sagt der ADAC. Doch in den letzten Monaten gerieten die OEMs unter anderem durch das Engage-

ment des Verkehrsclubs unter Druck. Sie haben ein Imageproblem – und wenn sie auf ihre Mietwagen und Fuhr-

parks schauen, auch einen deftigen finanziellen Schaden, unterstreichen die Autoren. Der ADAC hat einen Forde-

rungskatalog aufgestellt. Manipulation soll so erschwert werden, dass sie sich nicht mehr lohnt. Die technische

Umsetzung ist schon heute möglich, da auf bestehende Elektronikkomponenten zurückgegriffen werden kann,

die bereits für Steuerungs- und Überwachungsfunktionen im Fahrzeug zum Einsatz kommen. Der Automobil-

hersteller muss hierzu nur zusätzliche Softwarefunktionalität bereitstellen, wie Infineon vorschlägt.

ENTWICKLUNG BORDNETZ

106

Bordnetz

SZENARIO DES BETRUGS

Der Kilometerstand in fast allen aktuellen Autos kann sehr ein-fach und schnell manipuliert werden [1-5]. Hierfür sind spezi-elle Manipulationsgeräte schon ab wenigen hundert Euro frei erhältlich. Nach Ermittlungen der Polizei werden jedes Jahr rund zwei Millionen Gebrauchtwagen allein in Deutschland manipuliert. Pro Fahrzeug entsteht im Schnitt ein Schaden von 3000 Euro. Das bedeutet einen Gesamtschaden von rund sechs Milliarden Euro pro Jahr – fast ausschließlich zu Lasten der Gebrauchtwagenkäufer.

Manipulationen des Kilometerstands sind in Deutschland schon seit 2005 verboten. Dieses Gesetz hatte in der Praxis aber leider keine relevante Wirkung, da zeitgleich die Manipulation allein über die Diagnosebuchse (OBD-Schnittstelle) gebräuch-lich wurde, sodass meistens keine Spuren zurück bleiben (und auch keine Tachos oder Steuergeräte mehr ausgebaut werden müssen). Die Bedienung der hierzu in Tausenderstückzahlen angebotenen speziellen Manipulationsgeräte ist einfach, ➊.

Die „Tachotrickser“ werben offen für ihre Dienste, kommen auf Wunsch zu einem beliebigen Treffpunkt, die Manipulation dauert meist nur wenige Minuten. Verändert werden bis über 80 Steuergeräte pro Fahrzeug, sodass in der Regel kein praxis-tauglicher Nachweis mehr möglich ist. Es werden auch Fehler-speichereinträge, Daten der Partikelfilterregeneration, Betriebs-stundenzähler etc. verfälscht.

Wenn neue Automodelle auf den Markt kommen, folgen kurz danach Software-Updates für die Manipulationsgeräte. Das bis-her 10.000 Euro teure Gerät, ➋, ist zwischenzeitlich in China kopiert worden und mit aktueller Software für unter 400 Euro frei Haus lieferbar. So könnte sogar jeder einzelne Fahrzeugbe-sitzer den Kilometerstand manipulieren und illegal mehr Geld beim Verkauf des Gebrauchtwagens verdienen.

ADAC-FORDERUNGEN

Der ADAC hat einen Forderungskatalog, der in regelmäßig tagenden Arbeitskreisen aufgestellt wurde und hier verkürzt erklärt wird, verfasst: : zeitgemäßer technischer Schutz der Gesamtwegstrecke mit

maximaler Abschreckung : keine versteckten „Hintertüren“ in der Software der Steuerge-

räte: diese sogenannten „Backdoors“ dienen unter anderem dazu, Probefahrten im Werk zur Qualitätsüberwachung zu

AUTOREN

ARNULF VOLKMAR THIEMEList technischer Redakteur beim

ADAC e. V. Fahrzeugtechnik in Landsberg am Lech.

DIPL.-ING. MARCUS JANKEleitet das IT-Sicherheitslabor

bei Infineon Technologies AG in München.

DIPL.-ING. BJÖRN STEURICHist verantwortlich für System-

marketing Powertrain bei Infineon Technologies AG in München.

➊ ADAC-Infogramm Tachobetrug

107 02I2013 8. Jahrgang

Bordnetz

vertuschen – oder irrtümlich ausge-tauschte Tachos, die gar nicht defekt sind, wieder aufzubereiten und als Ersatzteile zu verkaufen

: neutraler Nachweis für die Wirksam-keit dieses Schutzes, wie er sonst beim Diebstahlschutz praktiziert wird

: keine Sicherheitslücken beim Aus-tausch defekter Tachos.

SICHERHEITSANALYSE

Die Suche nach einem geeigneten Sicher-heitskonzept beginnt mit der Analyse der Bedrohungs- und Angriffsszenarien. Hierbei werden die verschiedenen Angriffsmöglichkeiten auf das System systematisch bewertet. Ein gutes Beispiel für solch eine Analyse der verschiedenen Bedrohungsszenarien ist die Dissertation von Prof. Dr. Stefan Goß [6]. ➌ zeigt eine zugehörige Systemübersicht.

In diesem Fall wird die Drehzahl und letztlich der Kilometerstand am Vorder-rad erfasst (alternativ oder auch ergän-zend kann die Laufleistung über Dreh-zahlerfassung an der Kurbel- oder Getriebewelle ermittelt werden). Nach der Verarbeitung in den verschiedenen Steuergeräten erfolgt dann die Anzeige auf dem Kombiinstrument.

Die roten Pfeile symbolisieren die Orte möglicher Manipulationsangriffe aus einer Angriffs- und Bedrohungsanalyse: Die einfachste Methode ist das eingangs beschriebene Umprogrammieren des Kilometerstands in den verwendeten Steuergeräten über die Diagnose-schnittstelle (OBD).

Desweiteren können die in Fahrzeu-gen verwendeten Bussysteme (CAN, LIN, Flexray, Most etc.) angegriffen werden, wie auch Dr. Wolf et al. bereits 2004 dargestellt [7] haben. Dazu bietet sich an, die Kontrolle über ein Steuer-gerät zum Bespiel durch das Einbrin-gen von Schadsoftware (Virus) zu übernehmen, die Nachrichtenübertra-gung durch das Einbringen von CAN-Filtern zu manipulieren oder das Netz-werk um ein weiteres Steuergerät zu ergänzen, welches gezielt Fehlinforma-tionen sendet.

Zudem besteht die Möglichkeit, kom-plette Steuergeräte oder Systemkompo-nenten auszutauschen (beziehungs-weise den verwendeten Mikrocontrol-ler), die geänderte Funktionalitäten aufweisen.

Als letztes mögliches Einfallstor ist die Manipulation von Drehzahlsenso-ren zu sehen. Dies birgt jedoch die Gefahr einer nicht unerheblichen Gefährdung sowohl der Insassen als auch anderer Verkehrsteilnehmer, da über die Drehzahlsensoren auch wei-tere Funktionen, wie ABS, gesteuert werden. Eine Absicherung der Senso-ren durch kryptographische Funktio-nen wird im Anschluss gezeigt.

Bei der anschließenden Festlegung der Sicherheitsziele geht es zunächst darum, die Drehzahl korrekt zu erfas-sen und die ermittelte Laufleistung in einem ge schütz ten Speicherbereich zu hinterlegen. Im nächsten Schritt soll der aktuelle Kilometerstand manipula-tionssicher an den Tacho übertragen

und dort zur Anzeige gebracht werden. Die nachfolgende Umsetzung der Sicherheitsziele im Rahmen der Hard-ware- und Softwaresystementwicklung erfolgt basierend auf gesicherten Mikro-controllerlösungen [8, 9].

SICHERHEITSMASSNAHMEN IN HARDWARE UND SOFTWARE

Als wesentliche Mikrocontrollerkompo-nente zum Implementieren der erfor-derlichen Schutzmechanismen kom-men die sogenannte Secure Hardware Extension (SHE) und das sogenannte Hardware Security Module (HSM) in Frage. Die Funktionalität von SHE wurde von der Hersteller-Initiative-Software (HIS) der deutschen Automo-bilhersteller spezifiziert [10]. Bei HSM handelt sich um eine im Rahmen des europäischen Forschungsprojekts Evita definierte Erweiterung der Sicherheits-funktionalität von SHE [11], wobei zur Realsierung des geschützten Kilometer-speichers die mittlere Evita-HSM-Vari-ante ausreichend ist. Mikrocontroller mit SHE beziehungsweise HSM werden bereits von verschieden Halbleiterher-stellern angeboten beziehungsweise ent-wickelt, so auch für eine Vielzahl unter-schiedlicher TriCore-Derivate von Infi-neon. Da SHE und HSM schon von einigen OEMs für Anwendungen wie Diebzahlschutz, Wegfahrsperre, Kompo-nenten-, IP- und Schutz vor Motortuning verwendet beziehungsweise zukünftig gefordert wird, und da diese Module Teil eines „Standard“-Applikationsprozessors sind, kann für eine Erschwerung von Manipulationsversuchen auf zusätzliche HW-Komponenten verzichtet werden.

Nachfolgend wird auf den Funktions-umfang des auf den 65-nm-Aurix-Mik-rocontroller implementierten HSM-Moduls eingegangen, bevor ein Vor-schlag zum Tachoschutz im Detail erläutert wird. Das HSM-Modul besteht im Wesentlichen aus folgenden IP-Blö-cken, ➍: : 32-bit-Prozessor mit MPU (Memory

Protection Unit) : zusätzlicher geschützte Flash-Spei-

cher für kryptographische Schlüssel und Daten, auf den nur das HSM zugreifen kann

: Hardware-Firewall mit kontrollierten Zugriffsrechten

: AES-128-Hardware-Beschleuniger für symmetrische Block-Chiffren➌ Systemübersicht

ENTWICKLUNG BORDNETZ

108

: echter Zufallszahlengenerator (TRNG).

Im Unterschied zur reinen Steuerlo-gik von SHE besitzt das HSM-Modul einen eigenen, multitaskingfähigen Prozessorkern, der unabhängig vom Applikationsrechner (TriCore CPU) für kryptographische Funktionen verwendet werden kann.

Der AES-128-Hardware-Beschleu-niger kann quasi-parallel unter-schiedliche Tasks abarbeiten und wurde um zusätzliche, symmetri-sche Rechenmodi erweitert. Ein wei-terer, wesentlicher Unterschied ist die Möglichkeit, neben den krypto-graphischen Schlüsseln auch Daten im geschützten Flash-Speicherbe-reich abzulegen.

Das absichernde Speichern des Kilometerstands kann wie folgt rea-lisiert werden: : Der Kilometerstand wird wie bis-

her während der Laufzeit in das interne Flash (Datenspeicher) des Mikrocontrollers geschrieben.

: Zusätzlich wird der Kilometer-stand im SRAM des HSM hinter-legt, am Ende des Fahrzyklus fahrzeugindividuell verschlüsselt und ebenfalls in den internen Datenspeicher geschrieben. Die Manipulationsgeräte kennen den notwendigen geheimen und indi-viduellen Schlüssel nicht.

: Manipulationsversuche können über eine Abweichung der beiden Kilometerstände oder über einen falsch verschlüsselten Wert erkannt werden.

: Als Zusatzoption vergleicht eine Software im HSM die beiden Kilo-meterstände zu Beginn des Fahr-zyklus und setzt gegebenenfalls ein Fehler-bit im Fehlerspeicher.

Als eine Art Grundschutz ist der Kilometerstand in mindestens einem Steuergerät sicher hinterlegt und kann auf Anfrage eines möglichen Gebrauchtwagenkäufers beispiels-weise in einer vertrauenswürdigen Werkstatt oder einer unabhängigen Prüfstelle ausgelesen und mit der Anzeige im Kombiinstrument vergli-chen werden. Hierfür könnte ein bestimmter Obolus erhoben oder dieser Service kostenlos zur Neu-kundenbindung angeboten werden.

Benötigt der Automobilhersteller Zugang zum Ändern von Daten in

den Steuergeräten („Backdoor“), so kann diese mittels fahrzeugspezifi-schem oder steuergerätespezifi-schem Password geschützt und als „sichere“ Applikationsroutine auf dem HSM-Prozessor implementiert werden. Anstelle von „Security-By-Obscurity“ (dem Verstecken des Zuganges) kann ein durch das HSM kontrollierter und damit abgesicher-ter Zugang realisiert werden. Unbe-rechtigte Zugriffsversuche können damit abgewiesen und die Daten gesichert werden.

Befinden sich mehrere Mikrocont-roller mit entsprechender SHE- oder HSM-Funktionalität im Netzwerk-verbund (beispielsweise ABS und Motorsteuergerät), kann der Kilome-terstand im nächsten Schritt – bei-spielsweise geschützt durch einen digitalen Fingerabdruck einer digi-talen Signatur (Message Authentica-tion Code) – übertragen und nach Überprüfung der Authentizität mehrfach abgelegt werden [9]. Die vorher beschriebenen Möglichkeiten der Manipulation auf dem Bussys-tem durch Viren und Filter sind somit verhindert.

Erfolgt zusätzlich während des Fahrzeugstarts eine kryptographi-sche Challenge-Response-Authentifi-zierung [9] der am Tachoschutz beteiligten Steuergeräte untereinan-der, wird das Einbringen eine weite-ren Steuergerätes zum gezielten Sen-den von Fehlinformationen verhin-dert. Hinzu kommt auch die Möglichkeit, komplette Steuergeräte (oder Mikrocontroller) auszutau-schen (Komponentenschutz). Wird ein Mikrocontroller mit SHE oder HSM im Kombiinstrument verwen-det und die Kommunikation zwi-schen ABS und Kombiinstrument abgesichert, sollte es dann in der Zukunft sogar möglich sein, direkt die Tachoanzeige abzusichern.

Wie bereits erwähnt ist die Mani-pulation der Drehzahlsensoren sicherheitstechnisch äußerst bedenklich – nicht zuletzt auch, da die Manipulation schon während der Betriebsphase des Erstbesitzers erfolgen müsste. Für den Fall der Absicherung des Sensors würde es sich anbieten, die Sensorkommuni-kation möglichst kostengünstig, zum Beispiel durch ein Hardware-/

109 02I2013 8. Jahrgang

Smart Measurement Solutions

On any levelpotentialfrei messen

die Lösung für hochgenaue,potentialfreie Messung und Datenerfassung an:

• Hohe Genauigkeit18 bit Aufl ösung, 2 MS/s

• Höchste SicherheitGalvanische Isolation > 1 MVTischbetrieb bis zu 1000 V

• Großer Eingangsbereich±250 V max. Eingangsbereich

• Geringe EMV Abstrahlung30 Hz bis 1 GHz: 2 dBµV/m in 10 m

Mehr zum ISAQ 100 auf:www.omicron-lab.com/daq

• Hybridsystemen• Batterie-Ladesystemen• Akkumulatoren• el. Antriebssträngen

ISAQ 100

Das ISAQ 100 bietet:

Software-Co-Design abzusichern, wobei zusätzlich zur Authentifizie-rung eine bidirektionale Sensorschnitt-stelle (wie PSI5) notwendig wäre.

ZUSAMMENFASSUNG

Ein sicheres Speichern des Kilometer-stands ist mit Einführung von HSM mög-lich. Durch zusätzliche Controller mit SHE- oder HSM-Funktionalität und sichere Kommunikation, sollte zukünftig auch eine „sichere“ Kilometerstands-anzeige möglich sein. Da es sich um „Standard“-Applikationsprozessoren han-delt, deren Funktionalität schon für eine Reihe von anderen Überwachungsfunkti-onen verwendet wird, ist der erwartete

monetäre Zusatzaufwand überschaubar. Die Wirksamkeit der Sicherheitsfunk onalität könnte zusätzlich von unabhän-giger Stelle, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) evaluiert und gegebenenfalls zerti-fiziert werden. In diesem Kontext ist auch die enge Verknüpfung zwischen funktionaler Sicherheit und Datensicher-heit zu erwähnen, die in Zukunft wesentliche Impulse für zusätzliche Sicherheitsfunktionalität im Fahrzeug liefern wird (Cyber-War).

Dennoch kann davon ausgegangen werden: Das Wettrennen zwischen Auto-industrie und Angreifern wird kontinu-ierlich weitergehen.

LITERATURHINWEISE[1] Dominsky, S.: Tacho-Manipulation – Gelegenheit macht Diebe. In: kfz-betrieb (2012), Nr. 49, S. 16-22[2] Truscheit, K.: Milliardenschaden durch Tacho-Betrug. In: FAZ (2012), Nr. 43[3] Voswinkel, S.: Hier verschwinden 140.000 km … und dieser Benz ist 6000 Euro mehr wert. In: Autobild (2011), Nr. 38, S. 30-34[4] Fuchs, F.: Am großen Rad gedreht. In: Süddeut-sche Zeitung (2012), Nr. 78, S. R2[5] Imhof, T.: Tachobetrüger haben den Dreh raus. In: Die Welt (2012), Nr. 33, S. M3[6] Goß, S.: Informationssicherheit in Automobilen. Aachen: Shaker, 2009[7] Wolf, M.; Weimerskirch, A.; Paar, C.: Security in automotive bus systems. Bochum, Embedded Secu-rity in Cars Workshop, Proceeding, 2004[8] Scheibert, K.; Steurich, B.: Datensicherheit im Antriebsstrang – Aktuelle Mikrocontroller-Lösungen. In: ATZelektronik (2011), Nr. 6, S. 34-39[9] Scheibert, K.; Steurich, B.: Sichere Mikropro-zessorarchitekturen - Lösungsansätze aus der Halb-leiterindustrie. Berlin, VDI/VW-Gemeinschaftsta-gung Automotive Security, Proceeding, 2011[10] Escherich, R.; Ledendecker, I.; Schmal, C.; Kuhls, B.; Grothe, C.; F. Scharberth, F.: SHE –Secure Hardware Extension – Functional Specifica-tion. Version 1.1. Hersteller Initiative Software (HIS) AK Security, 2009[11] Weyl, B.; Wolf, M.; Zweers, F.; Gendrullis, T.; Idrees, M.S.; Roudier, Y.; Schweppe, H.; Platzdasch, H.; El Khayari, R.; Henniger, O.; Scheuermann, D.; Fuchs, A.; Apvrille, L.; Pedroza, G.; Seudié, H.; Shokrollahi, J.; Keil, A.: “Secure on-board architec-ture specification”, EVITA Deliverable D3.2, 2010

➍ HSM-Module

DOWNLOAD DES BEITRAGSwww.ATZonline.de

READ THE ENGLISH E-MAGAZINEorder your test issue now: springervieweg-service@springer.com

ENTWICKLUNG BORDNETZ

110

Markttrends in der Klebtechnik

MARKTÜBERSICHT

Die Hersteller von Dichtstoffen im Überblick

WÄRMEAKTIVIERBARE DISPERSIONSKLEBSTOFFE

Lange Topfzeit dank Polycarbodiimid-Vernetzer

KUNSTSTOFF-METALL-HYBRIDTECHNIK

Im Spritzguss stoff-schlüssig verbunden

7-8 2012 JG 56 • www.adhaesion.com

Induktionsthermografie in der Klebfertigung

Klebschichtfehler zerstörungsfrei aufspüren

Handbuch Klebtechnik 2012300 Seiten. Broschiert. Euro 25,90ISBN 978-3-658-00401-9

Jetzt bestellen unter www.adhaesion.com