Bild 1: Vernetzte Fahrzeuge bieten Hackern verschiedene Zugriffsmöglichkeiten.

Bild 1: Vernetzte Fahrzeuge bieten Hackern verschiedene Zugriffsmöglichkeiten. Magility

Noch vor wenigen Jahren bedeutete Sicherheit in der Automobilindustrie Unfall- und Diebstahlprävention. Heute sind Autos extrem komplexe Systeme, in denen mehrere Computer immer größere Datenmengen in Echtzeit austauschen. Weil die Automobilhersteller immer mehr Komfort- und Infotainment-Funktionen in immer kürzerer Zeit hinzugefügt haben, kamen zu den bestehenden unsicheren Systemen ständig neue in das Gesamtsystem hinzu: Anstatt die bestehenden Systeme zu sichern, nahmen die Verantwortlichen aus Zeitdruck neue Einfallstüren in Kauf. Welche Lücken in der Automotive-Cybersecurity klaffen, verdeutlicht schon die mediale Berichterstattung über Hacking-Vorfälle in den letzten beiden Jahren. Digitale Attacken auf Automobile und ihre digitalen Systeme sind heute eine allgegenwärtige Gefahr und eine große Herausforderung für Autobesitzer, -häuser, -hersteller und -zulieferer.

Cybersecurity reflektiert die Kundenbedürfnisse Zuverlässigkeit und Privatsphäre. Diesbezüglich war 2015 ein besonders aufregendes Jahr: Mehrere Vorfälle haben den Fokus der Medien und damit der Öffentlichkeit auf sich gezogen und dadurch der Thematik zu neuem Stellenwert verholfen. Manche dieser Vorfälle haben sogar handfeste Skandale ausgelöst. Den ersten direkt auf Cybersecurity-Probleme zurückzuführenden Rückruf von Fahrzeugen vermeldete Fiat-Chrysler; das war im Jahr 2015. Hackern war es damals gelungen, ein vernetztes Fahrzeug fernzusteuern.

Bild 2: Funktionsweise des IDPS (Intrusion Detection und Prevention System) von Argus.

Bild 2: Funktionsweise des IDPS (Intrusion Detection und Prevention System) von Argus. Magility

Auch auf den öffentlichen Security-Konferenzen Black Hat und Defcon kamen Missbrauchsfälle an die Öffentlichkeit, was eine Diskussion über die ethische Veröffentlichung von Automotive-Sicherheitslücken auslöste. Darunter befinden sich eine Man-in-the-Middle-Attacke eines vernetzten Fahrzeuges bei BMW, Volkswagens Insider-Attacke auf Emissionsregelungssysteme, das Hacking des BMW i3, um dessen Reichweite zu erhöhen, oder das Hacking der Türöffnungsfunktion der Smartphone-App von Nissan. Eine Lücke bietet auch das System Onstar von General Motors: Via App können Unbefugte mit dem Werkzeug Ownstar auf die gleichen Funktionen zugreifen und ein vernetztes Fahrzeug abfangen. Ebenso gefährlich ist der Cryptochip von Megamos, der Fahrzeuge durch Crypto-Cracking entriegelt.

Technische Grundlagen verstehen und verknüpfen

Computer und vor allem untereinander vernetzte Computer haben signifikante Beiträge zur Fahrzeugsicherheit und -funktionalität geleistet: von der Stabilitätskontrolle bis zur elektronischen Kraftstoffeinspritzung, von ADAS über das teilautonome bis zum automatisierten Fahren, von der Navigation bis zur Gefahrenabwehr. Seit diese Systeme zunehmend auf geteilten Informationen und In-Vehicle-Kommunikation beruhen, sind auch sie Cyberattacken ausgesetzt.

Bild 3: Ein digitales Mobility-Geschäftsmodell besteht aus einem Internet-basierenden Serviceangebot und einem digitalen Prozessmodell. Zusammen dienen sie der Steigerung von Effizienz und Effektivität.

Bild 3: Ein digitales Mobility-Geschäftsmodell besteht aus einem Internet-basierenden Serviceangebot und einem digitalen Prozessmodell. Zusammen dienen sie der Steigerung von Effizienz und Effektivität. Magility

Die E/E-Systeme in einem Automobil stammen für gewöhnlich von unterschiedlichen Herstellern. Diese nutzen alle dieselben Protokolle, um miteinander zu kommunizieren, obwohl sie eigentlich unabhängige Einheiten sind. Jedes Steuergerät (ECU) muss einzeln gesichert werden, abhängig von Zweck, Konstruktion und Platz im Netzwerk. So wie sich Fahrzeuge online vernetzen, steigen die Risiken exponentiell, und die große Herausforderung für OEMs besteht darin, sich Vertrauen und Kundenzufriedenheit zu verdienen. Cyber-Attacken können im Grunde auf drei Wegen stattfinden: Drahtlos über WLAN, Bluetooth oder Funkschlüssel; über Smartphones und andere Geräte, die mit dem Fahrzeug verbunden sind; sowie direkt über den CAN-Bus des Fahrzeugs via OBD2-Schnittstelle (Bild 6).

Bedrohungsanalyse

Eine detaillierte Automotive-Cybersecurity-Bedrohungsanalyse ist die Basis für die Gestaltung und Implementierung eines Cybersecurity-Konzeptes. Hierzu sind mehrere Schritte notwendig, darunter ein Audit der eingesetzten und geplanten Cybersecurity-Technologien und -Konzepte, also Fahrzeug, Backend und Internet-Cloud. Ebenfalls unverzichtbar ist eine Überprüfung der Cybersecurity-Organisation (Rollen und AKV) sowie der internen Cybersecurity-Prozesse entlang des kompletten Produktlebenszyklus‘ inklusive PLM, Produkt- und Softwarefreigaben. Ferner sind die Festlegung und Implementierung von Automotive-Cybersecurity-Standards entlang der kompletten Wertschöpfungskette vonnöten sowie vorbeugende Maßnahmen für kommende oder zu erwartende staatliche Cybersecurity-Regulierungen. Eine solche Cybersecurity-Risikoanalyse zeigt den jeweils aktuellen Handlungsbedarf auf und stellt eine gute Basis für das folgende Konzept dar.

Bild 4: Die vier Grundformen digitaler Service-Modelle.

Bild 4: Die vier Grundformen digitaler Service-Modelle. Magility

Neben der Risikoanalyse lassen sich auch aktive Penetrationstests als simulierte Hackerangriffe durchführen. Diese Angriffe können auf Ebene von Komponenten wie zum Beispiel der TCU (Telematic Control Unit), des Gesamtfahrzeuges oder des Gesamtsystems aus Fahrzeug und Backend erfolgen. Hierfür ist ein tiefes Verständnis der Hard- und Software sowie der möglichen Angriffsprozedere notwendig. Die hieraus gewonnen Kenntnisse fließen wiederum in das Cybersecurity-Konzept ein. Die konsequente Auslegung der Fahrzeug-E/E-Architektur, die eingesetzten Firewalls, die Verschlüsselung des notwendigen Datenverkehrs und die laufende Überwachung des Datenverkehrs auf den Datenbussen zur Feststellung von Anomalien ermöglicht so die Überwachung des Cyber-Health-Status einer gesamten Fahrzeugflotte.

Bild 5: Nur durch das gezielte Zusammenwirken der einzelnen Prozessdomänen ist eine Steigerung der Effizienz möglich.

Bild 5: Nur durch das gezielte Zusammenwirken der einzelnen Prozessdomänen ist eine Steigerung der Effizienz möglich. Magility

Sicherung von Automotive-Systemen

Für die Sicherung von Automotive-Systemen müssen beim Entwurf einer Automobil-Cybersecurity-Lösung folgende Rahmenbedingungen erfüllt sein:

  • Perimeter-Sicherheit, also die Isolation der kritischen elektronischen Steuergeräte des Fahrzeugs von anderen potenziell kompromittierten ECUs
  • Weitestgehende Begrenzung des Datenverkehrs von potentiell beeinträchtigten ECUs zum Rest des Fahrzeugs
  • Monitoring des CAN-Bus-Verkehrs, um fortgeschrittene Cyberattacken zu erkennen.
  • Befehle von Fernbedienungen (mit Ursprung außerhalb des Fahrzeugs) sollten nur nach entsprechender Authentifizierung zulässig sein.

Zudem muss die Sicherheitslösung dynamisch sein und auf neue Bedrohungen reagieren können. Ein minimaler Speicherplatzbedarf auf dem E/E-System bezüglich Latenz, Durchsatz, CPU, Speicher, Energieverbrauch und Bandbreite muss ebenfalls gewährleistet sein.

Bild 6: Entwicklungsstufen digitaler Systemarchitekturen mit Beispielen aus der Mobilitätsindustrie.

Bild 6: Entwicklungsstufen digitaler Systemarchitekturen mit Beispielen aus der Mobilitätsindustrie. Magility

All dies erfüllt das IDPS (Intrusion Detection and Prevention System) von Argus. Diese Automotive-Cybersecurity-Lösung erkennt und verhindert Cyberangriffe, ohne das Fahrzeug negativ zu beeinflussen (Bild 2). Durch Überwachung des Datenverkehrs auf dem CAN-Bus erkennt es Anomalien, die im Verdacht stehen, Cyber-Angriffe zu sein. Im Backend begleiten die „360 Cloud-Services” von Argus das Fahrzeug-IDPS-Modul, wobei diese Cloud-Dienste als Flotten-Frühwarnsystem dienen. Durch Big-Data-Analysen, die auf Informationen von allen mit dem IDPS ausgerüsteten Fahrzeugen in einer Flotte basieren, lassen sich neu erkannte Bedrohungen und Angriffe erkennen und analysieren. Damit lässt sich eine gesamte Fahrzeugflotte effektiv nach einem Angriff immunisieren und schützen.

Grundlagen Digitaler Mobility-Geschäftsmodelle

Eine Veränderung durch die rapid zunehmende Digitalisierung macht auch vor Automobil- und Mobilitätsindustrien keinen Halt, denn innovative Telematik-Technologien und digitale Geschäftsmodelle wirken sich unmittelbar auf die notwendige Cybersecurity der Mobilitätsanbieter aus.

Bild 7: Das Management des digitalen Service Life Cycles als kritischer Erfolgsfaktor für Unternehmen.

Bild 7: Das Management des digitalen Service Life Cycles als kritischer Erfolgsfaktor für Unternehmen. Magility

Digitale Mobility-Geschäftsmodelle (Bild 3) bestehen aus einem Internet-basierenden Serviceangebot zur Steigerung der unternehmerischen Effektivität und einem digitalen Prozessmodell zum Optimieren der Effizienz. Basisanforderung hierfür sind ein durchgängiges Datenmodell sowie die Beachtung von Cybersecurity-Kriterien. Die vier Grundtypologien digitaler Mobility-Servicemodelle (Bild 4) ermöglichen dabei die Steigerung der Effektivität: das Ein-Algorithmen-Modell, das vernetzte digitale Agenten-Modell, das digitale Hub-Modell sowie das agentenoptimierte Modell.

Die Prozessoptimierung (Bild 5) zur Effizienzsteigerung erfolgt schwerpunktmäßig für die Prozessdomänen Time-to-Market, Order-to-Delivery, Service, After Sales und Downstream Business sowie Corporate Functions. Dabei umfasst die Time-to-Market Forschung Produktentwicklung, Verfahrensentwicklung, Logistik- und Produktionsplanung, während es bei Order-to-Delivery um den Kundenauftragsprozess, Vertrieb und Produktion geht. Zu den Corporate Functions gehören Finance & Controlling, Human Resources und Marketing. Kritischer Erfolgsfaktor ist hier das gezielte Zusammenwirken der einzelnen Prozessdomänen und ein durchgängiges Datenmodell.

Eckdaten

Erkennt das IDPS (Intrusion Detection und Prevention System) von Argus bei der Überwachung des Datenverkehrs auf dem CAN-Bus eine Anomalie, verhindert es in Abhängigkeit von der IDPS-Konfiguration die Verteilung einer anomalen Nachricht auf dem fahrzeuginternen Netzwerk. Seine Flexibilität sowie die geschlossene Rückkopplungsschleife zwischen der Flotte und dem zentralen Management-Server ermöglichen Flottenbetreibern oder OEMs, schnell auf neue Bedrohungen zu reagieren und Fahrzeuge so aktiv gegen neue Bedrohungen zu schützen.

Neben der Gestaltung innovativer Geschäftsmodelle wird auch die Fähigkeit zum Design digitaler Systemarchitekturen zur Kernkompetenz von Unternehmen. Derzeit existieren bereits vier Basistypologien von Mobility-Systemarchitekturen (Bild 6): IT-Enabled Infrastructure, IT-Enabled Products, IT-Enabled Services und IT-Enabled Network-of-Enterprises. Bei den IT-Enabled Infrastructures handelt es sich um intelligente Infrastrukturen, die sich digital steuern lassen. Hierbei lassen sich ganze Standorte oder sogar der Global-Footprint eines Unternehmens erfassen und optimieren.

IT-Enabled Products sind Produkte, die mit Elektrik und Elektronik, Software, Sensorik, Konnektivität und Aktuatorik ausgestattet sind. IT-Enabled Services bezeichnet skalierbare Dienstleistungen, die auf Algorithmen bauen und über Internet-basierende Netzwerkplattformen erhältlich sind. Die Meta-Netzwerkplattformen IT-Enabled Networks-of-Enterprises verknüpfen mehrere Serviceanbieter miteinander und optimieren so den Kundennutzen weiter. Neben dem Design von innovativen Geschäftsmodellen und der Fähigkeit zur Gestaltung digitaler Systemarchitekturen wird das Management des digitalen Service Life Cycles (Bild 7) zu einem kritischen Erfolgsfaktor für Unternehmen. Aufgrund der steten, schnell getakteten Veränderungen stellt es hohe Herausforderungen an das Management und die betriebliche Organisation.