Security braucht Orchestrierung. (Bild: Escrypt)
Wie selten zuvor ist die Automobilindustrie derzeit von Wandel geprägt. Der schrittweise Abschied vom Verbrennungsmotor zugunsten der Elektromobilität, zunehmende Automatisierung, Digitalisierung und Konnektivität der Fahrzeuge bis hin zum vernetzten, autonomen Fahren und neuen Geschäftsmodellen im Sinne von Shared-Mobility. Prinzipiell sind die Automobilhersteller durchaus in der Lage, diese Umbrüche auf finanzieller, regulatorischer und technologischer Ebene zu managen. Sie sind perfekt darin, vielschichtige Entwicklungs-, Produktions-, Logistik- und Vermarktungsprozesse zu orchestrieren. Die digitale Disruption stellt die Automobilhersteller jedoch vor Herausforderungen jenseits ihres angestammten Kerngeschäfts. Eine dieser Herausforderungen ist die IT-Security, und die lässt sich sehr gut mit einem Orchester vergleichen.
Bild 1: Die Wahl des anforderungsgerechten Security-Ansatzes als Balanceakt zwischen Sicherheitsrisiko und Kosten. Escrypt
Vernetzte Fahrzeuge und ihre gesamte Kommunikation müssen zuverlässig gegen Cyber-Attacken und unbefugten Zugriff abgeschirmt werden – und zwar so, dass sie den Grad der Konnektivität und Digitalisierung der geplanten Fahrzeugplattform vorwegnehmen. Spätestens mit der digitalen Transformation wird Cyber-Security zur Erfolgsbedingung, denn Trial-and-Error gibt es in der IT-Security nicht. Jede einzelne Sicherheitslücke diskreditiert den OEM und erschüttert das Vertrauen in die neuen Technologien und Geschäftsmodelle.
Anforderungsgerechter Security-Ansatz
Darum gilt es, Security von vornherein zukunftssicher zu planen. Je stärker die Systeme der jeweiligen Fahrzeugplattform mit der Außenwelt vernetzt werden sollen, desto mehr Angriffsflächen bieten sich. Je komplexer die E/E-Architekturen und je ausgefeilter die elektronisch gesteuerten Fahrzeugfunktionen, desto komplexer ist auch die Risikoabwehr. Das bedeutet: Security muss vom Ende her gedacht und geplant werden. Es gilt, exakt den Security-Ansatz zu konzipieren und zu implementieren, der die vorgesehenen Fahrzeugfunktionen wirksam und anforderungsgerecht absichert – in vernünftiger Abwägung zwischen Fahrzeugschutz, Kosten und User-Experience. Dieser Ansatz muss zukunftsfest sein: IT-Sicherheit mit steigenden Anforderungen einfach fortzuschreiben ist kaum möglich.
Bild 2: Holistische Security muss die gesamte Fahrzeugplattform samt Infrastruktur, den Fahrzeuglebenszyklus und organisatorische Maßnahmen berücksichtigen. Escrypt
Der Security-Ansatz muss also einerseits die Erfordernisse für die geplanten Fahrzeugfunktionen nachhaltig abdecken, andererseits auch ökonomisch vernünftig darstellbar sein. Greift er zu kurz, dann besteht ein erhöhtes Risiko der Angreifbarkeit der Fahrzeugsysteme und entsprechend ein erhöhtes kommerziellen Risiko durch Rückrufaktionen und Haftungsansprüche. Schießt er über das Ziel hinaus und übererfüllt er die Security-Anforderungen, dann entstehen unnötige, überproportional hohe Kosten. (Bild 1)
Holistische IT-Sicherheit: Fahrzeugsystem, Lebenszyklus, Organisation
Die zentrale Frage lautet also: Welches ist der für die zukünftigen Konnektivitäts- und Digitalisierungsanforderungen der Fahrzeugplattform geeignete Security-Ansatz? Gleichzeitig gilt es, den Reifegrad des derzeitigen Security-Ansatzes zu ermitteln: Wo steht die Fahrzeugplattform in puncto Security heute? Erst im Abgleich von Soll und Ist ergibt sich, welche Maßnahmen im Einzelnen für Zielerreichung sowie – darüber hinaus – für Security-Betrieb und Revision vonnöten sind. Im Sinne holistischer Automotive-Security müssen diese Maßnahmen auf drei Ebenen konzipiert und umgesetzt werden:
Bild 3: Holistische Security-Konzepte müssen unterschiedlichen Softwaretechnologien, funktionalen Anforderungen und vielen verschiedenen Devices gerecht werden. Escrypt
- Die Technologieebene betrifft das gesamte Fahrzeugsystem und seine Infrastruktur – vom einzelnen Steuergerät bis zum angebundenen Cloud Backend.
- Die Prozessebene umfasst den Gesamtlebenszyklus von der ersten Anforderungsanalyse bis hin zur Stilllegung des Fahrzeugs.
- Die Organisationsebene adressiert die gesamte Organisation von den festgelegten Security-Prozessen bis hin zu einer verbindlichen Security-Governance.
Auf allen drei Ebenen müssen viele verschiedene Parameter in die Status-Quo-Analyse einbezogen und mit den angestrebten Security-Zielen abgeglichen werden. Sei es der aktuelle Security-Organisationsgrad und das verfügbare Budget, sei es der Status der Security-Softwareentwicklung oder der entsprechenden Tests und Validierungen oder sei es das Security-Bewusstsein und die konkrete Umsetzung im Alltag. Bei diesem Abgleich zeigt sich, wo für die geplante Fahrzeugplattform welcher Handlungsbedarf besteht – und welche Akteure einzubeziehen sind. Spätestens hier wird klar, dass ein holistischer Security-Ansatz einer umfassenden Orchestrierung bedarf (Abb. 2).
Auf der nächsten Seite sind neue organisatorische Herausforderungen und die Kunst der Security-Orchestrierung Thema.
Neue organisatorische Herausforderungen
Eckdaten
Voraussetzung für einen umfassenden Schutz ist es, dass OEMs für jede Fahrzeugplattform anforderungsgerecht sinnvolle Security-Ziele definieren, auf dieser Basis ein holistisches Gesamtkonzept entwickeln und dann den Prozess der Umsetzung sowie des fortwährenden Security-Betriebs umsichtig orchestrieren. Letztlich werden sich die Security-Herausforderungen disruptiver Technologien nur mit einem vollbesetzten Ensemble verwirklichen lassen – sukzessive aufgebaut, holistisch entwickelt und über alle Stakeholder hinweg dirigiert.
Denn die Umsetzung der Security-Maßnahmen führt zu neuen organisatorischen Herausforderungen im Miteinander der Akteure. Wo sich Softwarearchitekturen verändern und eine steigende Zahl von Steuergeräten mit einer steigenden Zahl von Funktionen unter Beteiligung einer steigenden Zahl von Zulieferern abgesichert werden müssen, braucht es klare Verantwortlichkeiten. Security-Funktionen sind neue horizontale Features, die bei Tier-1s eine Zusammenarbeit über die jeweiligen Softwaredomänen hinweg sowie auf Seiten des OEMs Kooperationen mit mehreren Tier-1s und gerade im Bereich der Standardisierung auch eine Zusammenarbeit zwischen unterschiedlichen OEMs und Zulieferern erfordern. Hinzu kommt die Domäne der Connected-Services, teils über Cloud-Dienste. Es geht hier unter anderem auch um die Absicherung von OTA-Updates über die Luftschnittstelle.
Diese neue, horizontal verknüpfte Prozesswelt wirft eine zentrale Frage auf: Wer übernimmt die Führungsrolle für das Design und die Umsetzung der Security-Funktionen – Zentralbereiche oder die Anwendungsdomänen? Hierauf kann es bei genauem Hinsehen nur eine Antwort geben: Angesichts der äußerst heterogenen IT-Landschaften, die im Automotive-Bereich abzusichern sind, ist nur ein domänenübergreifender Ansatz praktikabel. Würde jede Domäne eigene Lösungsansätze verfolgen, käme es zur Kakophonie der Softwareprotokolle, Programmiersprachen und Datenübertragungswege, die IT-Security in Embedded Systems, zentralen Bordrechnern, Cloud- und Mobile-Services adressieren muss; ein funktionierendes Ganzes wäre kaum zu gewährleisten. Der Zeit- und Personalaufwand für die Implementierung und Abstimmung der heterogenen Cyber-Security-Maßnahmen und für ihren Betrieb über den Gesamtlebenszyklus der Fahrzeugplattform wäre unverhältnismäßig hoch (Bild 3).
Die Kunst der Security-Orchestrierung
Bild 4: Disruptive Security-Herausforderungen lassen sich nur mit einem zentralen Security-Management bewältigen, das ein „vollbesetztes Ensemble“ aller Security-Funktionen und -Stakeholder dirigiert. Escrypt
Tatsächlich erinnert die Aufgabe der Cyber-Security-Orchestrierung an die Aufgabe, ein Orchester zu dirigieren. So wie der Dirigent den Takt vorgibt, die Einsätze koordiniert und dabei mit feinem Gehör nachjustiert, braucht es ein zentrales Management, das sämtliche Security-Maßnahmen auf allen Ebenen steuert und taktet. Die Security-Maßnahmen auf der Technologie-, Prozess- und Organisationsebene sind zu eng verzahnt, als dass sie sich ohne eine solche zentrale Koordination vorantreiben ließen. Mangelnde Abstimmung würde den ganzheitlichen Security-Ansatz ad absurdum führen. Die Implementierung von IT-Sicherheitstechnik ohne entsprechende Organisationsentwicklung und begleitendes Lifecycle-Management wäre kaum zielführend.
Das zentrale Management muss den Takt daher sowohl in der Technologieentwicklung als auch bei der Planung und der Implementierung der Security-Lifecycle-Prozesse angeben und beim Aufbau schlagkräftiger Organisationsstrukturen die Führung übernehmen. Dabei bezieht es alle internen und externen Stakeholder ein. Es orchestriert also die vielschichtige, hoch komplexe Planung und Umsetzung des holistischen Security-Ansatzes – und behält dabei sowohl die Details als auch die grobe Linie der Umsetzung im Blick.
Thema auf der nächsten Seite: Vom Streichquartett zum Symphonieorchester.
Vom Streichquartett …
Im Bild der Orchestrierung lässt sich auch die Anpassung der Security-Maßnahmen an unterschiedlich stark vernetzte Fahrzeugplattformen erläutern. Bei geringer Konnektivität entspricht der Aufwand der Anleitung eines Streichquartetts. Für den Schutz isolierter Steuergeräte genügen Secure-Boot- und Secure-Flashing-Funktionen sowie eine Krypto-Bibliothek. Der OEM gibt Leitlinien vor und bestimmt, wie Sicherheitsexperten sowie die Verantwortlichen für die geschützten Funktionen zusammenarbeiten.
Für ein vernetztes Fahrzeug, in dem Funktionen auf mehrere vernetzte Steuergeräte verteilt sind und das über Kommunikationsschnittstellen zeitweise mit der Außenwelt in Kontakt steht, wird die Cyber-Security-Orchestrierung komplexer. Sie gleicht dem Dirigieren eines Kammerorchesters. Das zentrale Management plant und steuert die Umsetzung einer sicheren E/E-Architektur im Fahrzeug; es bezieht Verantwortliche aus Entwicklung, verteilten Produktionsstätten, Rechtsabteilungen sowie Security-Dienstleister in die Sicherheitskonzeption und den laufenden Security-Betrieb ein und es schafft die organisatorischen Rahmenbedingungen für ein kryptografisches Schlüsselmanagement, damit sich Akteure vor jedem Zugriff auf Fahrzeugsysteme und -software authentifizieren können. Ein solcher Ansatz ist gut kalkulierbar – aber eben nur begrenzt skalierbar.
… zum Symphonieorchester
Security braucht Orchestrierung. Escrypt
Die Absicherung disruptiver Technologien – sei es autonomes Fahren, die vollständige bi-direktionale Vernetzung mit Car-to-X-Kommunikation oder ein Rundum-Betrieb von Carsharing-Flotten – lässt sich dagegen nur mit einer durchgehenden Orchestrierung sämtlicher Akteure, Stakeholder und Prozesse sowie aller Connected-Services bewerkstelligen. Es bedarf somit der höheren Kunst der Cyber-Security-Orchestrierung, die in ihrer Komplexität, Vielschichtigkeit und Aufgabenfülle mit der Anleitung eines ganzen Symphonieorchesters vergleichbar ist (Bild 5).
Der Dirigent – sprich, das zentrale Security-Management – muss dabei viele unterschiedliche Partituren interpretieren und dirigieren. Er muss sämtliche Stakeholder ausbilden und koordinieren, und er leitet sämtliche Prozesse an, um die Risiken über den Gesamtlebenszyklus der Fahrzeugplattform in allen Schritten der Entwicklung vernetzter Fahrzeugsysteme sowie in der Fertigung zu minimieren. Weil zum Zeitpunkt der Entwicklung nicht bekannt ist, welche Methoden Cyberkriminelle zehn oder gar 15 Jahre nach dem Start der Produktion für Angriffe auf Bordnetze verwenden, muss er die fortlaufend aktualisierte Immunisierung vernetzter Fahrzeugsysteme sicherstellen – etwa durch ein lernendes System aus Angriffserkennung per IDS, Angriffsanalyse und Entwicklung von Abwehrmaßnahmen durch angeschlossene Backend Services, zum Beispiel in Gestalt eines Security Operations Center (SOC) sowie durch OTA-Security-Updating für die gesamte Fahrzeugflotte.
Dipl.-Ing. Holger Breuing
Dipl.-Ing. Christian Schleiffer
Dr. Marko Wolf
(av)
