Eine spieltheoretische Untersuchung von Hacker-Angriffen auf vernetzte Fahrzeuge mit Fokus auf Erpressungsszenarien
Die Automobilindustrie befindet sich aktuell in einer Phase des Wandels. Die Elektrifizierung des Antriebsstrangs, die Transformation zum Mobilitätsanbieter, die Digitalisierung sowie das autonome Fahren erfordern Investitionen in Milliardenhöhe von den Autobauern. Die Auswirkungen dieser Trends sind dabei gleichermaßen weitreichend wie komplex. Insbesondere der Wunsch nach immer intelligenteren Assistenzsystemen sowie digitalen Services im Fahrzeug führen dazu, dass moderne Autos heutzutage mit fahrenden Computern vergleichbar sind. Sie besitzen weit über 50 Steuergeräte, eine umfassende interne Vernetzung und eine Vielzahl von Schnittstellen, über die Daten mit der Außenwelt ausgetauscht werden können. Den positiven Effekten dieser Innovationen steht gegenüber, dass Fahrzeuge nun auch zum Angriffsziel von Hackern werden können.
Die Machbarkeit eines Fahrzeug-Hacks wird in dieser Arbeit anhand einiger Praxisbeispiele bewiesen. Schließlich werden auf Basis von Cyber-Angriffen aus anderen Bereichen drei verschiedene automobile Angriffsszenarien hergeleitet. In allen Fällen wird vorausgesetzt, dass es einem Hacker gelungen ist, sich Zugang zu einer bestimmten Anzahl von Fahrzeugen zu verschaffen. Die Monetarisierung erfolgt jeweils über die Erpressung des Opfers. Je nach Szenario kann das Opfer entweder ein OEM, ein Flottenbetreiber oder ein privater Nutzer sein. Im Detail untersucht die eingereichte Dissertation folgende Angriffsszenarien:
- Ein OEM wird mit sicherheitsrelevanten Eingriffen in seine Fahrzeuge erpresst: Ein Angreifer droht damit, eine bestimmte Anzahl von Kunden des OEM verunglücken zu lassen, sollte der OEM einer bestimmten Lösegeldforderung nicht nachkommen.
- Erpressung privater Nutzer: Ein Angreifer hackt ein Fahrzeug und legt dieses still. Für die Freigabe des Fahrzeugs verlangt er ein Lösegeld vom Nutzer.
- Erpressung von Flottenbetreibern: Dieses Szenario gestaltet sich analog zu dem des privaten Nutzers, mit dem Unterschied, dass der Angreifer hier auch mehrere Fahrzeuge stilllegen kann.
Unter den Annahmen der ökonomischen Kriminalitätstheorie, die besagt, dass ein Angreifer bei der Entscheidung, eine Straftat zu begehen, Kosten und Erträge gegeneinander aufwiegt, verfolgt die spieltheoretische Analyse dieser drei Szenarien das Ziel, Antworten auf folgende zentrale Forschungsfragen herzuleiten:
- Unter welchen Voraussetzungen ist ein definierter Angriff auf ein vernetztes Auto für einen Hacker vorteilhaft?
- Welches Bedrohungspotenzial stellen definierte Angriffsarten / -szenarien dar?
- Welche geeigneten Verteidigungsmaßnahmen lassen sich ableiten?
So wird für jedes Szenario ein sequentielles Spiel entlang der Prozesse einer Erpressung entwickelt. Die Auszahlungen an den verschiedenen Endpunkten lassen sich aus der ökonomische Kriminalitätstheorie ableiten.
Die Arbeit kommt u. a. zu dem Ergebnis, dass insbesondere Angriffe auf Flotten, in denen die Fahrzeuge einen wesentlichen Teil zur Wertschöpfung beitragen, das – aus Sicht des Angreifers – lohnenswerteste Szenario darstellen. Hohe Schadensummen bedingt durch Fahrzeugausfälle führen zu einer hohen Zahlungsbereitschaft der Opfer (Flottenbetreiber) und können somit einen für den Angreifer ökonomisch tragfähigen „Business Case“ begünstigen.
Ein weiteres Ergebnis dieser Arbeit ist die Herausstellung von verschiedenen Verteidigungsstrategien je nach Szenario und Angreifer-Typ. Hilft gegen nicht-monetär motivierte Angreifer ausschließlich eine maximale Erhöhung der Sicherheitsbarrieren, so können monetär motivierte Angreifer insbesondere durch solche Maßnahmen abgeschreckt werden, die die Zahlungsbereitschaft der Opfer reduzieren. Diese Maßnahmen zeichnen sich dadurch aus, dass sie den vom Angreifer initiierten Schaden abmildern und können sowohl öffentlich-rechtlicher als auch privatwirtschaftlicher Natur sein. So verringert zum Beispiel eine entschärfte Produkthaftung die Zahlungsbereitschaft eines OEM, der mit sicherheitsrelevanten Eingriffen in seine Fahrzeuge erpresst wird. Genauso können geeignete Versicherungsprodukte helfen, Privatpersonen und Flottenbetreiber vor der Stilllegung ihrer Fahrzeuge zu schützen, indem sie die Zahlungsbereitschaft der Opfer so weit reduzieren, dass die Erträge des Angreifers nicht mehr ausreichen, um seine Kosten zu kompensieren.The automotive industry is currently in a phase of change. The electrification of the powertrain, the transformation into a mobility (service) provider, digitization and autonomous driving require billions of euros in investment from carmakers. The effects of these trends are as far-reaching as they are complex. In particular, the desire for increasingly intelligent assistance systems and for digital services in the vehicle means that modern cars today are comparable to mobile computers. They have well over 50 control units, comprehensive internal networking and a large number of interfaces through which data can be exchanged with the outside world. The positive effects of these innovations are offset by the fact that vehicles can now also become the target of hackers.
The feasibility of a vehicle hack is demonstrated in this dissertation by means of some practical examples. In conclusion, along with cyber attacks from other areas, three different automotive attack scenarios are derived. In all cases it is assumed that a hacker has succeeded in gaining access to a certain number of vehicles. In each case, the monetization is achieved by blackmailing the victim. Depending on the scenario, the victim can be either an OEM, a fleet operator or a private user. In detail, the submitted dissertation examines the following attack scenarios:
- An OEM is blackmailed with security-relevant interventions in its vehicles. This means that an attacker threatens to cause accidents for a certain number of the OEM's customers if the OEM refuses to meet a certain ransom demand.
- Blackmailing private users. An attacker hacks a vehicle and decommissions it. In order to release the vehicle, he demands a ransom from the user.
- Blackmailing fleet operators. This scenario is similar to the one for private users, except that the attacker can also decommission several vehicles.
Under the assumptions of the economic theory of crime, which states that an aggressor outweighs costs and profits when deciding to commit a crime, the game theoretical analysis of these three scenarios aim to derive answers to the following central research questions:
- Under what conditions is a defined attack on a connected car beneficial for a hacker?
- What threat potential do predefined attack types/scenarios represent?
- Which suitable defense measures can be derived from this?
For each scenario, a sequential game is developed along the processes of blackmail. The payoffs at the various end points can be derived from the economic theory of criminality.
The dissertation comes to the conclusion, among other things, that attacks on fleets in which the vehicles make a significant contribution to the value added are the most worthwhile scenario from the attacker's point of view. High amounts of damage, caused by vehicle failures, lead to a high willingness to pay on the part of the victims (fleet operators) and can thus favor an economically viable "business case" for the attacker.
Another result of this dissertation is the highlighting of different defense strategies depending on the scenario and attacker type. If only a maximum increase of security barriers helps against non-monetary motivated attackers, monetary motivated attackers can be deterred especially by such measures which reduce the willingness of victims to pay. These measures are characterized by the fact that they mitigate the damage initiated by the attacker and can be of public or private nature. For example, less stringent product liability reduces the willingness to pay of an OEM who is blackmailed into making security-relevant interventions in its vehicles. Similarly, suitable insurance products can help protect both private individuals and fleet operators from having their vehicles decommissioned by reducing their willingness to pay to the extent that the attacker's earnings are no longer sufficient to compensate for his costs.