News & Events

Ganz sicher? Systematischer Security-Rundumschutz für moderne vernetzte Fahrzeuge

hacker

Wenn sich Security-Experten am Rande einer Konferenz über Cyber-Security für Fahrzeuge unterhalten, ergibt sich schnell ein spannendes Gespräch über verschiedenste Kryptoalgorithmen, Anzahl der Schlüsselbits oder die neuesten Hacks von der DefCon. De facto sind ‚unser täglich Brot‘ oft genug aber ganz einfache Einfallstore wie: meist schnell bekannt gewordene „Geheimfunktionen“, zentrale Share-Ordner voller Krypto-Schlüssel oder der auswärtige Produktionsstandort wo immer wieder tausende Freischaltcodes „verloren gehen“.
 
Das heißt, der rationale Angreifer greift eben in der Regel vor allem dort an, wo er mit dem geringsten Widerstand rechnen muss und das sind wiederum oft die Stellen, an denen man es oft nicht gleich vermutet. Um solche Sicherheitslücken zu vermeiden, hilft ein – ganzheitlicher, systematischer Schutzansatz – der sich nicht nur auf die vermeintlichen Angriffspunkte konzentriert, sondern stets systematisch das gesamte „Schutzobjekt“ betrachtet. Und das geht in der Regel weit über die reine Technik hinaus. Der ganzheitliche Schutzansatz betrachtet neben möglichen technischen Schwachstellen des Gesamtsystems, das heißt vom einzelnen Steuergerät bis hin zur Cloud-Infrastruktur, auch mögliche Angriffspunkte innerhalb des gesamten Produktlebenszyklus, das heißt von der Entwicklung bis zur Ausmusterung sowie die gesamte sicherheitsrelevante Organisation des Herstellers und Betreibers, das heißt von der Secure-Coding-Richtlinie bis zum Datenschutzbeauftragten.
 
Im Falle eines modernen, vernetzten Fahrzeugs wird für den Rundumschutz der Fahrzeugtechnik typischerweise die Bottom-Up-Vorgehensweise angewandt. Basierend auf einem besonders geschützten Sicherheitskern (root of trust), der in der Regel durch einen physikalisch gesicherten, kryptografischen Hardware-Baustein wie der Secure-Hardware-Extension (SHE) oder einem Hardware-Security-Module (HSM) realisiert wird, bauen alle weiteren technischen Schutzfunktionen auf diese gesicherte Ausgangsbasis auf. Die in einem solchen Hardware-Security-Baustein gegen unerlaubtes Auslesen, Verändern oder Löschen geschützten kryptografischen Schlüssel und Algorithmen werden dann beispielsweise so eingesetzt, dass sie via Secure Boot mögliche Manipulationen an der Steuergeräte-Firmware erkennen können. Ist durch Secure Boot wiederum die Integrität der Steuergeräte-Firmware sichergestellt, können die in der Firmware enthaltenen software-basierten Security-Funktionen zur sicheren On-Board-Kommunikation verwendet werden. Mit geschützt kommunizierenden Steuergeräten und ebenso geschützten Netzwerkübergängen (gateways), welche Onboard-Netzwerke unterschiedlicher Sicherheitsstufen zuverlässig voneinander trennen, kann man wiederum sichere Fahrzeug-E/E-Architekturen erstellen, die dann auch die sichere Kommunikation mit anderen Fahrzeugen oder der IT-Infrastrukturen realisieren können. Diese Fahrzeug-IT-Infrastrukturen wie vernetzte Verkehrsleitsysteme, Cloud-Dienste des Herstellers oder das mobile Bezahlterminal müssen selbst wiederum mit Maßnahmen der klassischen IT-Sicherheit geschützt werden, um die IT-Sicherheit des Gesamtsystems nicht zu gefährden. Denn das perfekte geschützte Fahrzeug nützt am Ende wenig, wenn zum Beispiel die im Backend in Klartext gespeicherter Fahrzeugschlüssel durch einen einfachen Angriff auf den Server allesamt gestohlen werden können.
 

Sicherheit für das gesamte Fahrzeug-IT-System


Eine vollständige, aber rein technische Entwicklung schützt jedoch leider oft nicht nachhaltig, wenn die Maßnahmen zur Absicherung der Fahrzeug-IT mit dem Produktionsstart enden. Hier kommt ein wesentlicher Unterschied der IT-Sicherheit (security) im Vergleich mit der mindestens ebenso wichtigen IT-Zuverlässigkeit (safety) zum Tragen. Während die Randbedingungen der IT-Zuverlässigkeit im Wesentlichen auf Naturgesetzen und statistischen Vorhersagen beruhen, die auch nach Produktionsstart weitgehend gültig bleiben, können sich Annahmen und Randbedingungen der IT-Sicherheit von heute auf morgen zum Teil grundsätzlich ändern. So kann – zum Beispiel durch die Entdeckung einer neuen, besonders effizienten Angriffsmethodik – ein Sicherheitsmechanismus der eben noch Stand-der-Technik war, auf einmal nur noch unzureichenden Schutz bieten. Solche kritischen Durchbrüche sind in der IT-Sicherheitsforschung bereits mehrfach geschehen (vgl. die aktuell erfolgreichen Kollisionsangriffe auf die SHA1-Hashfunktion) und auch für die Zukunft nicht auszuschließen (vgl. Quantencomputer). Folglich müssen IT-Sicherheitslösungen auch nach Produktionsstart bis zur Außerbetriebnahme der Komponente oder des Fahrzeugs auf mögliche, neu entdeckte Schwachstellen überwacht und gegebenenfalls nachträglich angepasst werden. Das bedeutet zum Beispiel, dass wichtige Sicherheitslösungen von Beginn an für nachträgliche Änderungen und Erweiterungen ausgelegt werden müssen, beispielsweise in dem man zentrale Security-Parameter und Funktionen in änderbaren Speichern ablegt (z.B. HSM mit Firmware-Update-Möglichkeit), die verfügbaren IT-Ressourcen nicht von Beginn an 100% auslastet (z.B. freie Speicherbereiche), und effektive Updatemechanismen vorsieht (z.B. Software-over-the-Air). Das bedeutet aber auch, dass man den stetigen Fortschritt der Security-Landschaft ständig beobachten muss, um im Falle einer kritischen Entwicklung gut vorbereitet reagieren zu können.


Um die vielen Schutzmaßnahmen auch effektiv umzusetzen und zuverlässig zu betreiben, benötigt es nicht zuletzt auch eine effektiv aufgestellte Security-Organisation einschließlich aller notwendigen organisatorischen Bausteine wie Security-Prozesse, Security-Richtlinien, Security-Rollen und Security-Verantwortliche. Diese organisatorischen Security-Maßnahmen umfassen wiederum geschäftsübergreifend den gesamten Produktlebenszyklus und das gesamte IT-System eines Fahrzeugs.
Ausgangsbasis ist, wie bei praktischen allen OEM und großen Zulieferern üblich, eine dezidierte Fahrzeug-Security-Fachabteilung bzw. ein Vehicle Security Competence and Governance Center (VSC). Das VSC ist über den Chief Vehicle Security Officer (CVSO) im Idealfall direkt und ausschließlich der Geschäftsführung unterstellt. Dies verleiht dem VSC und den vom VSC in alle relevanten Abteilungen entsandten oder bestimmten Vehicle Security Officers (VSO) das notwendige Gewicht, um die unternehmensweit geltenden Fahrzeug-Security-Bestimmungen effektiv zu etablieren und durchzusetzen. Die VSOs der einzelnen OEM-Abteilungen arbeiten dabei eng mit den dezidierten Security-Gruppen des VSC zusammen die unter anderem:

  • den Entwicklungsprozess mit Security-Beratung, Security-SW/HW-Bausteinen, spezifischen Security-Entwicklungen und Security-Tests unterstützen,
  • die laufende Überwachung der IT-Sicherheitslandschaft gewährleisten (security monitoring), um im Ernstfall mit Rat und Tat zur Seite zu stehen (security incident response),
  • die Fahrzeug-Security-Bestimmungen den neuen Gegebenheiten anpassen und ausrollen,
  • die Mitarbeiter in Fahrzeug-Security aus- und weiterbilden sowie
  • die herstellerübergreifende Fahrzeug-Security-Thematik in relevanten Interessensvertretungen und Standardisierungsgremien weiterentwickeln.

Neben den hauptamtlichen Mitarbeitern der Fahrzeug-Security-Fachabteilung gehören zu einer schlagkräftigen Security-Organisation auch zahlreiche gemischte sowie externe Abteilungen und Projekte die z.B. temporär zur Entwicklung neuer Schutzmechanismen aufgestellt werden oder zusammen mit anderen Abteilungen gemeinsame Funktionen und Services entwickeln und betreiben. Ein Beispiel für eine solche gemischte Abteilung sind etwa die „vehicle security managed services“, wo die zentrale IT des OEM und das VSC gemeinsam ein sicheres Cloud-Backend betreiben. Dabei garantiert die Unternehmens-IT (oder auch ein externer Anbieter) die notwendige Leistungsfähigkeit und Verfügbarkeit der Cloud-Lösung während die Security-Fachabteilung sich um die ausreichende Absicherung und die Verwaltung der Zugriffsberechtigungen kümmert.
Erst mit der unternehmensweiten Integration aller organisatorischen Security-Maßnahmen und der ganzheitlichen Absicherung der Fahrzeug-E/E-Architektur einschließlich aller IT-Infrastrukturdienste über alle Lebenszyklen hinweg, kann ein nachhaltiger Rundumschutz für moderne vernetzte Fahrzeuge gewährleistet werden. Das erfordert, zugegeben, einen nicht unerheblichen Aufwand und Durchhaltevermögen für Aufbau und Betrieb, ist aber wohl die beste Möglichkeit um zu vermeiden, dass Sicherheitslücken der eigenen Fahrzeug-IT erst auf der DefCon öffentlichkeitswirksam bekannt werden.

 

Language:
ISO 9001-2008 Home