33624.jpg

Vector Consulting

Nachtfahrt auf der Autobahn. Das Kommunikationsdisplay flackert plötzlich und ein störender Pfeifton kommt abrupt aus den Lautsprechern. Der Fahrer reagiert falsch und verursacht einen Unfall. Zukunftsszenario oder Fiktion? Mit wachsender Komplexität und Vernetzung, der Nutzung von Standardkomponenten sowie offenen Schnittstellen werden die verschiedenen Elektroniksysteme, vor allem im Infotainment, zunehmend angreifbarer und müssen geschützt werden.

Was eigentlich ist Informationssicherheit (IS, Englisch: Security)? Grundsätzlich ist IS eine Systemeigenschaft und wirkt zusammen mit Verfügbarkeit, funktionaler Sicherheit, Robustheit und Performanz. Qualität in einem System bedeutet grundsätzlich, dass das System alles das tut, was von ihm erwartet wird. IS erweitert diese klassische Definition darüber hinaus im Sinne, dass das System selbst bei einem böswilligen Angriff nichts tut, was von ihm nicht erwartet wird.

Auf einen Blick

Security/Safety konkret im Auto umsetzen

Was für viele Autofahrer ein Fahrerlebnis mit tollen Funktionen ist, wird für Ingenieure zunehmend zum Sicherheitsrisiko. Immer mehr Systeme im zunehmend vernetzten Fahrzeug sind sicherheitskritisch. Auch funktionale Sicherheit braucht Informationssicherheit. Der Beitrag zeigt, wie Informationssicherheit in automobilen Systemen erfolgreich realisiert werden kann. Konkret geschieht dies über drei verschiedene Ansatzpunkte: die Informationssicherheit auf Systemebene, die Umsetzung von Sicherheitskonzepten in der Entwicklung, und die Informationssicherheit während After-Sales-Aktivitäten. Praxisbeispiele zeigen, dass Informationssicherheit sich fokussiert und mit überschaubarem Aufwand umsetzen lässt.

Neue Szenarien

Die Bedrohungsszenarien verändern sich in der Automobilbranche derzeit stark. Durch die zunehmende Vernetzung auf verschiedenen Ebenen, sowohl innerhalb des Fahrzeugs als auch nach außen hin, entsteht eine bisher nicht da gewesene Komplexität. Diese Komplexität führt dazu, dass nicht mehr alle Kombinationen von Ereignissen und Funktionen in gleichem Ausmaß wie bisher beherrscht werden. Es ist nur eine Frage der Zeit bevor hierdurch entstandene Schwächen identifiziert und missbraucht werden. Beispielsweise können derzeitige Bussysteme wie CAN von außen relativ leicht in Überlastsituationen gebracht werden, die dann zu Fehlverhalten führen.

Heute übliche Kommunikationssysteme, wie sie immer häufiger ins Auto integriert werden, bieten offene Schnittstellen, beispielsweise DVDs, USB, Bluetooth und Wartungsschnittstellen, über die Viren und Trojaner in die jeweiligen eingebetteten Betriebssysteme eingebracht werden können. Schließlich können fehlerhafter Code und Konfigurationen zu vielfältigen, unbekannten Angriffspunkten führen.

Besonders akut werden solche Risiken dort, wo IS und funktionale Sicherheit zusammen kommen, wie es das Beispiel des Slammer-Wurms zeigte, der 2003 die Sicherheitsüberwachung eines Kernkraftwerks lahm legte. Diese Bedrohungen wachsen, denn der zunehmende Einsatz von standardisierten Komponenten und offenen Schnittstellen ruft Hacker auf den Plan, die sich immer neue Herausforderungen suchen.

Bild 1: Ursachen und Beispiele für Sicherheitsrisiken im Automobil.

Bild 1: Ursachen und Beispiele für Sicherheitsrisiken im Automobil. Vector Consulting

Die verschiedenen Ursachen für unzureichende IS sind anhand von Beispielen in Bild 1 dargestellt. Sie sind gemäß der ursächlichen Entstehungsszenarien im Produkt, also in Funktionen, Architektur und Konfigurationen, im Prozess, also bei Entwicklung, Prüfung und Kommunikation sowie im Feld, also bei Wartung, Updates und Erweiterungen, unterschieden.

Gemeinsam ist diesen verschiedenen Entstehungsszenarien, dass sie aus einem unzureichenden Bewusstsein und fehlender Aufmerksamkeit für IS resultieren. Informationssicherheit im Automobil findet heute zu wenig Beachtung und wird nicht systematisch gewährleistet. Derzeit kommen primär die folgenden Mechanismen zum Einsatz:

  • Einzelne Komponenten werden geschützt, beispielsweise durch eine verschlüsselte Freischaltung von Flashware.
  • Sensible Funktionen wie Motormanagement, Wegfahrsperre oder Diagnoseschnittstellen werden individuell geprüft.

Darüber hinaus finden Mechanismen der funktionalen Sicherheit (Englisch: Safety) Verwendung, die allerdings IS nicht abdecken, da sie von einem zufälligen Ausfall von Komponenten ausgehen und nicht von einem böswilligen Angriff. Ein Beispiel für solch einen Mechanismus ist die Orientierung an ASIL. Zudem liegt der Fokus heute primär auf einzelnen Komponenten, aber nicht auf einer systematischen Abhärtung auf Systemebene mit Netzwerken und Architekturen. Insofern müssen Sicherheitstechniken wie durchgängige Prüfung von kritischen Bedrohungsszenarien, Data Protection, Fehlerbehandlung, Monitoring oder Selbsttest im Rahmen von IS noch stringenter angewandt werden als bei der funktionalen Sicherheit.

Zwei wesentlichen Aspekte widmen die Unternehmen heute noch zu wenig Beachtung: Zum einen gehen Bedrohungsszenarien über Einzelfunktionen hinaus und greifen ein System im Zusammenspiel von Funktionen und Komponenten an. Zum anderen ist Informationssicherheit aufgrund intelligent und böswillig eingeschleuster Fehlerursachen sehr viel schwieriger zu gewährleisten als Fehlfunktionen einzelner Komponenten, wie sie bei funktionaler Sicherheit betrachtet werden.

Maßnahmen zur Informationssicherheit verlangen ein System- und Lebenszyklus-übergreifendes Konzept – vor allem, wenn deren Wirksamkeit zu einem späteren Zeitpunkt aus rechtlichen Gründen nachgewiesen werden soll. Wie bereits in der Kommunikationstechnik vor einigen Jahren erkannt wurde, reichen isolierte Mechanismen wie die Aufteilung in proprietäre Teilsysteme, der Schutz einzelner Komponenten, Gateways und Firewalls zwischen den Komponenten und das Testen von kritischen Funktionen allein nicht aus.

Bild 2: IS als Kausalkette von Technologieentwicklungen zu Angriffen in verschiedenen Branchen.

Bild 2: IS als Kausalkette von Technologieentwicklungen zu Angriffen in verschiedenen Branchen. Vector Consulting

Es besteht heute in der Automobilindustrie die einmalige Chance, Risiken der IS im Voraus zu vermeiden, die in anderen Branchen bereits zu substanziellen Problemen geführt haben. Bild 2 zeigt die Entwicklung von IS in verschiedenen Branchen. Die zeitliche Abfolge der Phasen Komplexität, Schwachstellen, Angriffe und Folgekosten ähnelt sich, wobei für die Automobilelektronik heute noch die Möglichkeit besteht, Angriffsmöglichkeiten gezielt zu eliminieren, während andere Branchen an den Symptomen mangelnder IS arbeiten.

Produkt: Informationssicherheit auf Systemebene

IS hat für Embedded-Systeme eine zunehmende Bedeutung aufgrund der vielfältigen Bedrohungsszenarien, die aus der wachsenden Vernetzung von Teilsystemen resultieren. Ein interessantes Beispiel ist die Industrieautomation, die aufgrund proprietärer Bussysteme (zum Beispiel auch CAN) bis vor kurzem die IS stark vernachlässigte. Dann häuften sich die Vorfälle, wo Maschinenführer eigene USB-Sticks nutzten, oder Service-Techniker ein falsch konfiguriertes Notebook anschlossen und so Fertigungsstraßen und Leitstände zu Fehlfunktionen brachten. Das Problem: Handelsübliche Technologien und offene Schnittstellen gemeinsam mit einer kaum beherrschten Komplexität und einer Architektur, die Sicherheit nur auf Komponentenebene unterstützt, laden Hacker und Zufälle geradezu ein. Korrekturen, Upgrades und nachträgliche Softwareverbesserungen lassen sich in solchen Konfigurationen nicht mehr hinreichend sicher verteilen.

Informationssicherheit im Automobil ist nicht mit den vom PC her bekannten Techniken wie Firewalls und Virenscannern gleichzusetzen. Ein heute übliches Netz in einem Kraftfahrzeug besteht aus einzelnen Teilnetzen, die über Gateways zusammengeschaltet sind. Während diese Gateways einfache Firewall-Technologien beinhalten, bieten sie auch Diagnose- und Update-Funktionen, die sie verletzlich machen. Firewalls können verhindern, dass unerlaubte Signale von einem (unsicheren) Netzwerk in ein anderes übertragen werden. Doch realistische Bedrohungsszenarien sind subtiler. Beispielsweise kann ein Angriff darauf zielen, dass eine Funktion dazu gebracht wird, zulässige aber trotzdem bezüglich Inhalt, Häufigkeit oder Zeitpunkt falsche Botschaften an andere Komponenten weiterzuleiten und dabei eine Störung zu verursachen, wie es unser obiges Beispiel der Nachtfahrt zeigte.

Als brauchbarer Startpunkt für die Gewährleistung von IS im Produkt hat sich die Technik der Bedrohungsszenarien, Misuse Cases und Negativ-Modelle herausgestellt. Bild 3 zeigt das Vorgehen anhand einer Fenstersteuerung im Fahrzeug. Man beginnt mit einem funktionalen Modell des Produkts, also Zustände und gewünschte Funktionen. Dann wird parallel zu diesem funktionalen Modell ein Negativmodell erstellt, das gezielt Missbrauchszenarien beschreibt (zum Beispiel: Fensteröffner wird bei abgeschalteter Zündung bedient), die dann mit weiteren funktionalen Szenarien korreliert werden (beispielsweise: Fenster muss für versehentlich eingeschlossene Personen zu öffnen sein). Aus diesen Bedrohungsszenarien werden konkrete Systemanforderungen abgeleitet und umgesetzt (zum Beispiel: Ausschluss aller nicht explizit erlaubten Szenarien, die zum Öffnen des Fensters führen können). Schließlich werden Prüfungen auf Komponenten-, System- und Netzwerkebene durchgeführt – und zwar vor allem mittels Codeanalyse, Szenario-Reviews und Angriffs-Tests.

Konkrete Maßnahmen

Um die Informationssicherheit im Produkt zu implementieren, empfehlen sich unter anderem die folgenden acht Maßnahmen:

  • Bauen Sie IS bereits in die Architektur Ihrer Komponenten oder Netze ein („Design for Security“). Beispiele sind ROM und Flashspeicher, deren Schlüssel zur Laufzeit geprüft wird, sowie Algorithmen und Steuergeräte, die sich zur Laufzeit authentifizieren müssen.
  • Trennen Sie Netze physikalisch und setzen Sie Lockkeeper-Tech­niken bei der Übermittlung von Signalen oder Upgrades ein. Niederwertige oder offene Netze dürfen niemals direkt Botschaften in sicherheitskritische Netze senden. Das Kommunikationssystem „Sync“ etwa, das in den USA 3 Millionen Mal verkauft wurde, ist von der sicherheitsrelevanten Elektronik komplett abgekoppelt.
  • Setzen Sie innerhalb von Gateways und bei externen Schnittstellen Intrusion-Prevention-Systeme ein, die gezielt den Datenstrom auf Unregelmäßigkeiten wie beispielsweise Denial-of-Service, Überlast oder Fehlersignale prüfen und gegebenenfalls unterbrechen oder indirekt die Regeln der Firewalls im Gateway anpassen.
  • Beachten Sie, dass Netze keine verlässliche QoS liefern. An einer befahrenen Kreuzung ist die LTE-Mobilfunk-Abdeckung, und damit ein darauf basierender Kollissionsschutz nicht gewährleistet. Authentifizierung und Informationszugriff von einem externen Netz oder von C2X-Kommunikation darf weder Voraussetzung für Schutz sein, noch dürfen relevante Informationen für sicherheitskritische Assistenzsysteme nur von außen kommen.
  • Vermeiden Sie die Ablage kritischer Parameter oder die Kommunikation auf Bussystemen in Klartext. Verschlüsseln Sie kritische Informationen und wenden Sie Prüfsummen an – egal ob es um eine Datenübertragung auf CAN oder die Ablage von Konfigurationsparametern geht.
  • Härten Sie die eingesetzten Bussysteme gegen die üblichen Fehler wie Überlast, Denial-of-Service, Adress- und Paketstörungen etc.
  • Sichern Sie alle äußeren Schnittstellen zu Standardbussystemen gleichermaßen mechanisch, elektrisch und kryptologisch.
  • Deaktivieren Sie alle Schnittstellen (beispielsweise USB im Auto oder Diagnose im Motorraum) sowie extern zugreifbare Bussysteme (zum Beispiel CAN im Außenspiegel) bei abgezogenem Zündschlüssel.

IS im Entwicklungsprozess

Prozesse zur Gewährleistung von IS sind ähnlich strukturiert wie Safety-Prozesse und müssen den gesamten Produkt-Lebenszyklus systematisch betrachten. Der Unterschied,  besteht darin, dass man es bei funktionaler Sicherheit mit mehr oder minderzufälligen Fehlern in Hardware und Software zu tun hat, während man bei Informationssicherheit mit dem schlimmsten anzunehmenden Fehlverhalten zur exakt falschen Zeit rechnen muss, da der Fehlerverursacher absichtlich und intelligent Fehler einschleusen kann.

Bild 3: Sicherheitsanalyse am Beispiel einer Fenstersteuerung (Ausschnitt).

Bild 3: Sicherheitsanalyse am Beispiel einer Fenstersteuerung (Ausschnitt). Vector Informatik

Qualitätsmanagement im Entwicklungsprozess muss gezielt die wesentlichen IS-Anforderungen und ihre Umsetzung sicherstellen. Dies beginnt bereits in der Spezifikationsphase (zum Beispiel Sicherheitsanforderungen, Misuse-Cases, Umgebungsanalyse, Security-Risikoanalyse, Common Criteria, Bedrohungsmodelle), setzt sich in der Implementierung und Integration fort (beispielsweise sichere Architekturen, Komponentenauswahl und -verifikation, Design- und Coderichtlinien, Verwundbarkeitsanalyse, Codeanalyse, Sicherheitstests), wird durch eine unabhängige Evaluierung auf Prozess- und Produktebene bestätigt und hat stringente Prozesse für die gesamte Lebensdauer des Automobils (zum Beispiel auch Patch-Management, Diagnose, Fehleranalyse). Bild 4 zeigt, wie verschiedene Maßnahmen zur IS im Entwicklungsprozess zusammen spielen müssen.

Um die Informationssicherheit im Entwicklungsprozess zu implementieren, empfehlen sich unter anderem die folgenden sieben Maßnahmen:

  • Steigern Sie das Bewusstsein für Informationssicherheit in der Entwicklung. Trainieren Sie Entwickler ganz gezielt durch IS-Spezialisten aus verschiedenen Branchen.
  • Spezifizieren Sie IS als nichtfunktionale Anforderung mit bezogenen funktionalen Anforderungen. Setzen Sie Sicherheitsanforderungen, Misuse Cases, und Bedrohungsmodelle ein, die gezielt Bedrohungsszenarien spezifizieren.
  • Definieren und setzen Sie verbindliche Design- und Code-Standards ein. Prüfen Sie die Umsetzung dieser Standards.
  • Definieren und setzen Sie verbindliche Verifikations- und Validierungstechniken ein. Nutzen Sie Werkzeuge zur statischen und dynamischen Code-Analyse, die gezielt für Informationssicherheit konfiguriert sind.
  • Stellen Sie durch Richtlinien und Audits sicher, dass es keine im Feld nutzbare Angriffsmöglichkeiten gibt, die beispielsweise als Diagnoseunterstützung vorgesehen waren. Auch kunstvoll versteckte Schlupflöcher lassen sich nicht geheim halten!
  • Machen Sie Informationssicherheit von den Anforderungen bis zum Produkt systematisch nachvollziehbar und prüfbar. Lassen Sie die getroffenen Maßnahmen regelmäßig durch externe Spezialisten auditieren.
  • Lassen Sie Security-Experten gezielte Angriffe auf Ihre Produkte und die Systeme, in die sie eingesetzt werden (zum Beispiel Diagnosesysteme, Telematiklösungen), durchführen.

Informationssicherheit im Feld

Informationssicherheit wird nach aller Erfahrung am stärksten kompromittiert, wenn das Produkt entwickelt und freigegeben ist. Häufig werden Änderungen spontan eingearbeitet und folgen nicht mehr den ursprünglichen Anforderungen und Freigabekriterien. Dies gilt insbesondere für IS-Anforderungen auf Systemebene, denn häufig wird der zusätzliche Aufwand für Prüfungen und Konsistenzsicherung bei vermeintlich kleinen Anpassungen oder Erweiterungen nicht spendiert. Änderungen in einzelnen Funktionen oder Komponenten müssen einer weit reichenden Einflussanalyse unterzogen werden, um die potenzielle Auswirkung auf das IS-Konzept auf Systemebene zu bewerten. Dies gilt bei der Freigabe von neuen Entwicklungsständen aber auch bei Austausch und Einbau von neuen Komponenten im Feld. Vor dem Einbau muss eine Konsistenzprüfung der dadurch neu entstehenden Systemkonfiguration erfolgen, um zu erkennen ob durch die Änderung Kompatibilitätsprobleme auftreten und ob die Aktualisierung weiterer Komponenten notwendig ist. Ein Beispiel sind Fehlallokationen von Speicherplatz oder simple Überläufe von Eingangsspeichern.

Bild 4: Maßnahmen zur Informationssicherheit im Entwicklungsprozess.

Bild 4: Maßnahmen zur Informationssicherheit im Entwicklungsprozess.Vector Consulting

Um die Informationssicherheit im Feld zu implementieren, empfehlen sich unter anderem die folgenden sechs Maßnahmen:

  • Sichern Sie auf der Systemarchitekturebene ab, dass bei der Änderung im Feld eine Konsistenzprüfung der daraus neu entstehenden Systemkonfiguration durchgeführt wird und dass unzulässige Konfigurationen gar nicht aktiviert werden können.
  • Stellen Sie einfache Prüfungen zur Informationssicherheit für Betrieb und Service zur Verfügung – beispielsweise Integritätschecks bei der Übertragung von neuen Softwareständen.
  • Installieren Sie ein effektives und effizientes Wartungs-Management, damit Notfalllösungen schnell und weltweit ausgebracht werden können.
  • Machen Sie als Komponentenlieferant die Informationssicherheit zu einem Marketingthema. Vermitteln Sie IS und ihre Bedeutung anstatt auf Probleme zu warten.
  • Kommunizieren sie Risiken und Lösungen schnell und wirksam an Betroffene. Machen Sie sich als OEM klar, dass IS zu einem guten Teil auch Kommunikation und Wahrnehmung ist. Kunden sind sensibel dafür, wie Sie mit Zwischenfällen umgehen, und Hacker beobachten genau, welche Schlupflöcher existieren.
  • Instruieren Sie Ihre Unternehmenskommunikation, Vorstände und Marketing, wer welche Rolle bei Notfällen mit Informationssicherheit in Ihren Produkten hat. Schnelligkeit und Klarheit zählen, sobald solche Nachrichten öffentlich sind – selbst wenn sie technisch gesehen haltlos sind.

Zusammenfassung

OEMs vernetzen zunehmend Systeme unterschiedlicher Hersteller in einem Fahrzeug und kombinieren Komponenten in verschiedenen Konfigurationsständen. Die daraus resultierende Komplexität wird auf Systemebene kaum mehr beherrscht. Heute eingesetzte Techniken wie proprietäre Teilsysteme, Schutz einzelner Komponenten, Firewalls zwischen den Komponenten sowie Testen von kritischen Funktionen genügen nicht mehr. Intelligente Bedrohungsszenarien erwachsen aus ungewohnten Richtungen (zum Beispiel Angriffe auf ungeschützte Verbindungen, eingeschleuste gefährliche Code-Segmente durch offene Schnittstellen, Viren, Eindringen und Rekonfigurationen) und zeigen, dass Informationssicherheit zu einem Querschnittsthema mit hoher Managementpriorität werden muss. Maßnahmen müssen sowohl im Produkt im Entwicklungsprozess und im Feld umgesetzt werden. Architekturen, Systeme und Protokolle müssen spezifisch entwickelt werden, bereichsübergreifende Kompetenzen aufgebaut, und die Mitarbeiter einzeln für Informationssicherheit entlang des gesamten Lebenszyklus trainiert werden. Am wichtigsten aber ist, dass die Beteiligten alle getroffenen Maßnahmen systematisch umsetzen, prüfen und in ihrer Wirkung, also Effektivität und Nutzeffekt, messen. Nur dann lassen sich Sicherheitsmaßnahmen zielorientiert verbessern.

Die in diesem Beitrag vorgeschlagenen Maßnahmen unterstreichen, dass Informationssicherheit sich auf der Basis eines etablierten Qualitätsmanagements, wie es heute in der Automobilentwicklung üblich ist, fokussieren und mit überschaubarem Aufwand umsetzen lässt. Nur wenn OEMs gemeinsam mit ihren Partnern zu solchen übergreifenden Sicherheitskonzepten auf Produkt-, Prozess- und Feld-Ebene kommen, können sie die zunehmenden Risiken der Informationssicherheit beherrschen. Dann können OEMs und Lieferanten das Thema Sicherheit auch zunehmend vermarkten und damit bei ihren Kunden als Garant für Sicherheit stehen.

Der Nutzeffekt ist groß. Die Projekte bei Vector Consulting zeigen, dass die Kosten für Sicherheitslösungen durch Test und Patch dreimal teurer – und oftmals wirkungslos – sind als umfassende Lösungen, die hier in diesem Beitrag vorgestellt wurden. Kein Hersteller will durch unzureichende Informationssicherheit seine Marke gefährden. Informationssicherheit ist zudem Voraussetzung für funktionale Sicherheit und muss daher genauso systematisch umgesetzt werden.