White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

3

inhalt

Kein autonomes Fahren ohne it-sicherheit

Die GeFahr hat viele Gesichter

eine Firewall Fürs auto GenüGt nicht

Das BorDnetz muss sicherer werDen

Plötzlich Brauchen FahrzeuGe moBile security

viele BacKenDs haBen hintertüren

FahrzeuG-security im rücKsPieGel

auto unD security in Der Dna

Glossar

Quellen

4

5

7

9

12

14

16

17

18

19

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

4

Kein autonomes Fahren ohne it-sicherheit

Der Bedarf an Mobilität ist fest in unserer Gesellschaft verankert, und die Sicherheit von Menschenleben war seit jeher eine der Grundvoraussetzun-gen in der Automobil-Entwicklung. Erst fanden mechanische Sicherungen wie Knautschzone, Gurt und Spiegel ihren Weg ins Fahrzeug, dann ab Ende der 70er Jahre zunehmend auch elektronische Systeme wie ABS und ESP. Das war der Anfang der Digitalisierung des Autos: 2001 erhielt das erste Fahrzeug einen Internetzugang, heute verfügt ein modernes Fahrzeug über rund 100 Millionen Zeilen Programmiercode – siebenmal so viele wie eine Boeing 787 [s. Abb. 1] [Iib]. Das Fahrzeug ist also längst ein fahrender Computer – und ebenso wie ein Computer lässt es sich hacken, kann Opfer von Viren, Trojanern, Spam werden.

codebasen im Vergleich

Abb. 1. Quelle: Iib

gesamte Flugsoftwareboing 787

2009windows 7

mit Backend-Quellcodefacebook

autodurchschnittlicher moderner Oberklassewagen

100 MioQuellcode-zeilen

0 10 20 30 40 50 60 70 80 90

geFährliche schWachstellen Das gilt besonders für vernetzte Fahrzeuge, auf die Unbefugte aus der Ferne zugreifen könnten. Ziel von Angriffen könnte etwa das Sammeln von Daten wie der Fahrzeugposition und von Bewegungsprofilen sein oder die Manipulation von Fahrerassistenzsystemen – was für die Rei-senden gefährlich werden kann. IT-Sicherheit (engl. Security) ist zur Vor-aussetzung für Fahrsicherheit (engl. Safety) und Datenschutz im Auto geworden. Dieser Zusammenhang wird weiter wachsen und mit dem selbstfahrenden Fahrzeug seinen Höhepunkt erreichen. Trauriges Zeug-nis von der Bedrohung gibt das Jahr 2015, in dem mehr Fahrzeug-Hacks durch die Medien geisterten als je zuvor. Schwachstellen fanden sich unter anderem in Infotainmentsystemen und Funkschlüsseln. Deswegen müssen alle Datenströme im und rund um das Fahrzeug abgesichert werden.

Verunsicherte autoFahrerVielen Automobilherstellern fehlt noch eine Antwort auf die Bedrohung. In einer Studie gaben 75 Prozent der Automobil-Führungskräfte an, keine Strategie für den Fall eines Auto-Hacks zu haben. [McKinsey] Auf Seiten der Autofahrer macht sich derweil Verunsicherung breit. Die Hälfte der deutschen Internetnutzer fürchtet, dass Dritte über vernetzte Fahrzeuge unbefugt Daten sammeln [DsiN]. In den USA würden 82 Prozent der Verbraucher nur zögernd oder sogar nie bei einem Autohersteller kaufen, der gehackt wurde. [KPMG]

sichere technologieFührerDamit vernetzte und autonom fahrende Autos aber Erfolg haben, müssen die Autonutzer überzeugt sein, dass zuerst sie selbst, die Insassen und ihre Daten in den Fahrzeugen sicher sind. Für Automobilhersteller und Zulieferer heißt das: Die Technologieführerschaft beim selbstfahrenden Auto – also auf der Stufe fünf des automatisierten Fahrens auf der VDA-Skala [VDA] – kann nur erreichen, wer die notwendige IT-Sicherheit beherrscht. Sie entscheidet letztlich darüber, ob 2020 tatsächlich – wie von Gartner prognostiziert – 61 Millionen vernetzte Fahrzeuge gebaut werden. [Gartner]

standardisierung Fällt schWer

Für die Fahrsicherheit elektronischer Systeme in Kraftfahrzeugen bestehen klare Regeln, die entsprechende ISO-Norm 26262 wurde noch 2016 aktualisiert. Doch für die Security von Fahrzeugen fehlen noch klare Vorgaben. In die richtige Richtung gehen aber zum Beispiel das deut-sche IT-Sicherheitsgesetz sowie die Initiativen AUTOSAR und EVITA, die an Standards für Steuergeräte-Software und für sichere Fahrzeug-Bord-netze arbeiten. In den USA liegt ein erster Gesetzesentwurf vor, nach dem die US-Bundesbehörde für Verkehrssicherheit (NHTSA) Security-Standards für vernetzte Fahrzeuge festlegen soll. [Markey] Zudem können Automobilunternehmen auf bestehende IT-Security-Rahmenwerke, Technologien und Erfahrungen zurückgreifen, etwa aus Mobilfunk und Kommunikationstechnologie.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

5

die geFahr hat Viele gesichter

VielFältige motiVation

Die Erfahrungen in der Automobilbranche, warum jemand Fahrzeuge hackt, sind noch begrenzt. Bisher stehen hinter den meisten Auto-Hacks Forscher und Bastler, die ihre Ergebnisse veröffentlichen, um sich zu profilieren oder die Technik voranzubringen. Je nach Legalität ihres Vor-gehens werden sie White-Hat- oder Grey-Hat-Hacker genannt. Dies sind typischerweise die ersten Hacker in einem neuen Markt oder für ein Gerät [McAfee]. Doch diejenigen, die Schaden anrichten, folgen ihnen auf dem Fuße.

Ihre Absichten reichen von persönlichen Vorteilen über finanziellen Gewinn bis hin zum Willen, einfach nur Schaden anzurichten.

Autobesitzer erhöhen die Motorleistung des eigenen Fahrzeugs oder nutzen Features, die nicht freigegeben sind.

Händler stellen Kilometerstände zurück, um höhere Preise zu erzielen. Diebe entwenden Fahrzeuge oder Fahrzeugteile (Head Units) ohne

Gewalteinwendung bei Fenster und Türen. Erpresser legen eine große Zahl von Fahrzeugen lahm und fordern

Lösegeld von deren Hersteller. Betrüger surfen über die SIM-Karte eines fremden Autos kostenlos

im Internet. Hacker sehen das Knacken der Schutzmechanismen als „Sport“ an. „Am beunruhigendsten ist die Möglichkeit, dass sich Terroristen in

autonome Antriebssysteme hacken könnten und Unfälle verursa-chen, die eine bestimmte Einzelperson oder viele Menschen töten“, schreibt das Beratungshaus PwC in einer Studie. [PwC]

angriFFsPunKte

Früher war die Karosserie des Fahrzeugs die natürliche Grenze des Bordnetzverkehrs. Heutige Fahrzeuge kommunizieren aber immer stärker mit der Außenwelt:

Car-to-Backend-Kommunikation: Mit Rechenzentren des Automobil-herstellers und von Drittanbietern tauschen Fahrzeuge Daten wie Verkehrs- und Zustandsdaten aus und beziehen Software-Updates und vernetzte Dienste.

Car-to-Car-Kommunikation: Fahrzeuge tauschen untereinander direkt Informationen wie ihre Geschwindigkeit aus, zum Beispiel um auf einer Autobahnspur mit geringem Abstand hintereinander zu fahren (Platooning).

Car-to-X-Kommunikation: Fahrzeuge sprechen mit anderen vernetzten Geräten. Ampeln melden Grünphasen, Smartphones liefern die Musik für die Autofahrt, Elektroautos koppeln sich mit Ladestationen.

Für die Außenkommunikation verfügen Autos über endsprechend viele Schnittstellen und jede von ihnen kann zum Einfallstor für Angreifer wer-den [s. Abb. 2, Seite 6].

anleitung aus dem internet

Technische Hilfe bekommen Hacker aus dem World Wide Web: Öffent-lich zugänglich finden sich dort viele technische Informationen und sogar Software für Fahrzeuge. „Diesen Trend treiben vor allem Auto-freaks, die sich ansehen, wie ein Fahrzeug getunt, kontrolliert oder je nach Bedarf verändert werden könnte, sowie Security-Bastler und - Forscher, die alles in öffentlichen Foren wie GitHub veröffentlichen, von Schaltbildern für Geräte bis hin zu Code“, schreiben drei Forscher von der Coventry University in einer Studie des Konferenzveranstalters TU Automotive. [TU Automotive] Zudem geben erfolgreiche Hacker ihren Erfolg gerne der Öffentlichkeit kund – ein weiterer Ansporn für Nachahmer.

Um mögliche Lücken in der IT-Sicherheit von Fahrzeugen zu finden, hilft es, sich in die Angreifer hin-einzuversetzen: Warum wollen sie Automobile oder daraus entstehende Datenströme hacken? Wie gehen sie dabei vor?

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

6

angriFFsziele

Dienstblockade: Anfang 2015 legten Hacker die Internetseiten der Bun-deskanzlerin Angela Merkel und des Bundestags lahm, indem sie diese mit massenhaften Anfragen überlasteten. In der Fachsprache heißt so etwas DDoS-Angriff (Distributed Denial of Service) und ist nur einer der Wege, um eine Dienstblockade (DoS) mutwillig herbeizuführen. Bei Fahrzeugen könnten Angreifer solche Angriffswege nutzen, um Dienste wie das Infotainment zu blockieren oder – als „Worst Case“ den Zugriff auf das Bordnetz vorausgesetzt - Fahrfunktionen zu stören. Umgekehrt könnten Fahrzeuge durch Laden unsicherer Internetseiten selbst zum Teil von Botnetzen werden, die mithilfe vieler infizierter, ferngesteuerter Rechner DDoS-Angriffe ausführen. Manipulation: Dienste und Funktionen im Fahrzeug lassen sich auch manipulieren. Mit einer veränderten oder komplett erzeugten Nachricht im Bordnetz (Antriebs-CAN-Bus) ließen sich zum Beispiel die Bremsen während der Fahrt betätigen. Mehr Motorleistung verspricht hingegen das Chiptuning, bei dem ein Chip eingesetzt oder neue Software für die Motorsteuerung installiert wird. Besonders ärgerlich wird es dabei für den Fahrzeughersteller oder Versicherer, wenn die Manipulation etwa zu einem Motorschaden führt, er das nicht beweisen kann und wegen der Garantie dafür aufkommen muss. Allerdings müssten dafür nicht nur die Daten im Fahrzeug, sondern auch die im Backend manipuliert werden.

das ÖKosystem „Vernetztes Fahrzeug“ und mÖgliche technische angriFFsPunKte

Abb.2.

schnittstellenPhysikalisch: OBD-Port, CD-Laufwerk, USB ...Funk: Wlan, Bluetooth, Mobilfunk ...Software: Apps, Firmware, Updates ...

backend

car-to-xobjekte

mobileendgerÄte

Standortverfolgung: Beim Tracking verfolgen Hacker die Position des Fahrzeugs, zum Beispiel in dem sie GPS-Daten abfangen oder herausfin-den, in welche Mobilfunkzelle sich das Fahrzeug einwählt. Mit diesen Daten könnten sie bestimmte Personen ausspionieren, den Aufenthalts-ort eines Oberklassefahrzeugs erfahren, das es sich zu stehlen lohnt, oder ein Fahrzeug an einer bestimmten Position lahmlegen. Zudem wer-den Bewegungsprofile als „Datenware“ gehandelt. Zum Beispiel bedeutet das Wissen, wer wann nicht zu Hause ist, eine erhöhte Einbruchsgefahr.

Abhören: Das Ausspionieren von Fahrzeuginsassen kann auch über Bewegungsprofile hinausgehen. Unternehmens- oder Staatsspione, Paparazzi, Ermittler und anders motivierte Hacker könnten über das Innenraum-Mikrofon Gespräche verfolgen, SMS und Sprachnachrichten abfangen oder erfahren, welche Websites Mitfahrer über den Innen-raum-Hotspot besuchen. Interessante Ziele für Hacker wären auch Rück-fahrkameras oder Kameras zur Innenraumüberwachung, die für autono-mes Fahren eingesetzt werden könnten.

Missbrauch der Netzdienste: Wie bei anderen Geräten mit SIM-Karte auch, könnten Betrüger Vorteile aus Mobilfunkverbindung oder -diens-ten im vernetzten Fahrzeug ziehen (engl. Fraud). Ein Beispiel: Ein Täter greift in einem Mietwagen über Schnittstellen auf dessen SIM zu und richtet eine Rufumleitung ein zu einem teuren Mehrwertdienst, den er selbst anbietet. Daraufhin zahlt der Mobilfunkanbieter dem Täter die Gebühren für den Dienst – zu Kosten des Automobilherstellers.

Spam: Die Hälfte aller weltweit versandten E-Mails sind Spam. [Sym] Davor sind auch vernetzte Autos nicht gefeit, denn sie können uner-wünschte E-Mails, SMS und Telefonate empfangen – oder als Teil eines Botnetzes selbst versenden.

Diebstahl: Immer mehr Fahrzeuge lassen sich mit Funksignalen öffnen – per Knopfdruck auf den Funkschlüssel, durch einen sich nähernden Schlüssel oder sogar per Smartphone. Bei Schwachstellen in solchen Systemen brauchen Diebe von Autos oder Autoteilen nicht mal mehr ein Brecheisen. In diese Angriffskategorie fallen aber auch das Stehlen von SIM-Karten und von Informationen aus dem Fahrzeug, zum Beispiel Bankdaten. Letztere lassen sich einfacher stehlen, wenn Dienste-Anbieter – wie Kfz-Versicherungen bei Pay-as-you-drive-Modellen – benötigte Daten gesammelt an einem Ort im Fahrzeug speichern. Ein Hacker muss dann keine Daten mehr zusammensuchen, sondern nimmt einfach den „Sammel-Ordner“ mit.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

7

eine FireWall Fürs auto genügt nicht

„Wenn Industrieentscheider an Informationssicherheit denken, fokussieren sie in der Regel auf In-Car-Systeme als Schwachstelle“, so das Beratungs-unternehmen PwC. „Aber die Bedrohung geht weit über die Dashboard-Oberfläche hinaus.“ [PwC] Deswegen müssen alle Daten im Ökosystem „Connected Car“ über ihren gesamten Lebenszyklus hinweg betrachtet werden: von der Entstehung über die Übertragung bis zur Speicherung. Das Ziel heißt: Ende-zu-Ende-Security.

Fahrzeug-entWicKler müssen mitdenKen

Umsetzen können Automobilhersteller diese Kriterien einer sicheren Kommunikation nur, wenn IT-Sicherheit und Datenschutz schon in der Planung neuer Fahrzeugmodelle, -bauteile und -software bedacht wer-den. „Security und Privacy by Design“ muss also Grundsatz in der Ent-wicklung sein – genauso wie Kraftstoffeffizienz, Strömungswiderstand cw und Motorleistung. Dieser Grundsatz erstreckt sich auch auf alle Hardware- und Software-Lieferanten von Tier-1 bis Tier-n, mit denen Daten ausgetauscht werden – zum Beispiel über Hardware-Backdoors oder Online-Zugänge.

„Bislang interpretiert die Automobilbranche die Kritikalität von Daten unterschiedlich“, sagt Mark Großer, Experte für Risk, Security und Compliance für die Automobilindustrie bei Detecon. „Das muss sich ändern.“ Die IT-Sicherheit des Fahrzeugs wird künftig stark davon abhängen, dass Security über die gesamte Lieferkette und den gesamten Lebenszyklus des Autos gleich verstanden und umgesetzt wird [s. Kasten, Seite 8]. Zu den notwendigen Maßnahmen zählen etwa Vorgaben für Steuergeräte-Software von Zulieferern sowie Regeln, welche Updates wann und wie ausgeführt werden [s. Seite 11].

über das Fahrzeug hinausgedacht

Für Ende-zu-Ende-Sicherheit brauchen Automobilunternehmen zudem Konzepte, die alle drei Bereiche des digitalen Ökosystems Fahrzeug ein-schließen:

das Fahrzeug, [s. Seite 9] seine Funkkommunikation [s. Seite 12] und das Backend des Automobilherstellers [s. Seite 14].

Wenn das Wasser von allen Seiten kommt, reicht ein Wasserschutzdamm nicht aus. Das Gleiche gilt für das vernetzte Fahrzeug: IT-Sicherheit erfordert nicht nur sichere Bordnetze. Die gesamte IT- und Telekommunikationsinfrastruktur muss gegen den Zugriff von Unbefugten geschützt werden, also zum Beispiel auch das Backend des Herstellers und die Schnittstellen zu Drittanbietern.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

8

security braucht zusammenarbeit

„In der Automobilindustrie ist es üblich, sein Know-how für sich zu behalten“, sagt Mark Großer von Detecon. „IT-Sicherheit erfor-dert aber Kooperation. Deswegen müssen Hersteller und Zuliefe-rer umdenken.“ In einigen Bereichen funktioniert das bereits, etwa bei Daten-Plattformen für das Connected Car. Auch zum anony-men Austausch von Angriffs-Indizien (Indicators of Compromise) gab es privatwirtschaftliche und staatliche Vorstöße. Das IT-Sicher-heitsgesetz beinhaltet zudem eine Meldepflicht für Unternehmen, die mehr als eine bestimmte Menge Zertifikate ausstellen. Doch die Ansätze, eine gemeinsame Cyber-Abwehrfront zu bilden, schei-nen bisher nicht erfolgreich.

Hersteller und Zulieferer können voneinander lernen, wenn sie offen über Schutzbedarfe, Angriffsvektoren, Sicherheitslücken und funktionierende Maßnahmen sprechen: je Zuliefer-Produkt, je Fahr-zeug und in der jeweiligen Unternehmens-IT generell. Dass sich dieses Vorgehen lohnt, haben bereits Initiativen wie der „Cyber Security Sharing and Analytics e.V.“ gezeigt. In diesem Verein tauschen Großkonzerne wie Siemens, BASF und die Deutsche Telekom ihre Erfahrungen bei Cyber-Security aus. Zudem sind auch in der Automobilbranche Lieferanten-Audits üblich – auch schon zur Informationssicherheit –, jedoch nicht konsequent aus-gerichtet auf die Produkte oder das Internet der Dinge insgesamt.

Auch die Zusammenarbeit mit White-Hat- und Grey-Hat-Hackern kann sich lohnen. Zwar fürchtet mancher Automobilhersteller und -zulieferer noch, damit mehr Attacken auszulösen und mit den Pat-ches – also der Fehlerbehebung – nicht hinterherzukommen, besonders, wenn Zulieferer involviert sind [Wired]. Doch schlech-tere Alternativen sind, dass gutmütige Hacker ihre Ergebnisse ohne Vorwarnung veröffentlichen, oder dass Schwachstellen beste-hen bleiben und destruktive Black-Hat-Hackers darauf stoßen. Des-wegen haben Unternehmen wie Tesla und Fiat Chrysler bereits „Bug Bounties“ eingeführt, also Prämien-Programme für Hacker, die Bugs melden [BC]. Bei großen Internetkonzernen wie Google und Facebook ist das schon seit Jahren gängige Praxis.

Das bedeutet, Security-Maßnahmen für jeden Bereich aufzusetzen und diese Maßnahmen bereichsübergreifend zu nutzen. Entdeckt ein System im Bordnetz eine Nachricht, die von der Norm abweicht, könnte es sich auch um eine seltene Sondernachricht handeln. Wenn aber gleichzeitig im Backbone Anomalien auftreten, steigt die Wahrscheinlichkeit eines Hackerangriffs. Um solche Bezüge herzustellen, empfiehlt es sich, alle Sicherheitssysteme in einem Big-Data-Analysetool zusammenzuführen.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

9

zu Wenig gePrüFtAls sicherheitskritischster Fahrzeugbus erfordert der Antriebs-Bus auch die höchste IT-Sicherheit. Allerdings sieht das meist eingesetzte CAN-Bus-Protokoll aus den 80er Jahren keine Security-Maßnahmen vor. Zum einen müssen sich die Steuergeräte nicht authentifizieren, um miteinander zu kommunizieren. Das bedeutet: Sobald jemand Zugriff auf das Bordnetz hat, gilt er als integer, also vertrauenswürdig. Zum anderen werden eingehende Nachrichten im Bordnetz in der Regel nicht validiert, sondern auch dann verarbeitet, wenn sie keinen Sinn ergeben. So wäre es zum Beispiel möglich, ein Signal zum Zünden eines Airbags zu senden, obwohl das Fahrzeug gerade ungebremst mit 100 km/h fährt.

das bordnetz muss sicherer Werden

automobile bussystemen mit beisPielhaFten teilnehmern

Abb.3.

mostcanantriebs-can komfort-can

navigation

cd-player

soundsystem

radio

motor

getriebe

abs/esp

airbag

zentral-verriegelung

fensterheber

lichtanlage

lenkrad

abstands-regelung

gateway und diagnoseinterface

schWachstellen und risiKen

state oF the bordnetzHeutige Bordnetze bestehen aus verschiedenen Feldbussen [s. Abb. 3]. Über einen Antriebs-CAN-Bus kommunizieren in der Regel die Steuer-geräte, die für das Fahren zuständig sind, zum Beispiel die Motor-, Getriebe- und Airbag-ECUs. Am Komfort-CAN hängen weniger sicher-heitskritische Systeme wie Fensterheber und Lichtanlage. Das Infotain-mentsystem arbeitet bisher mit dem Multimedia-Bus MOST, künftig aber immer häufiger mit Automotive Ethernet. Verbunden werden die Busse meist über ein zentrales Gateway inklusive Firewall, die zum Beispiel ein MOST-Steuergerät daran hindert, ungerechtfertigte Befehle an einen CAN-Bus-Teilnehmer zu schicken.

Kern des vernetzten Fahrzeugs ist sein Bordnetz, an dem alle elektronischen Komponenten und mehr als 100 Steuergeräte (Electronic Control Units, ECU) hängen. Um diesen Kern zu schützen, müssen sowohl die internen Kommunikationssysteme (Feldbusse) als auch deren Schnittstellen gesichert werden.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

10

Vorgehen beim relais-angriFF auF schlüssellose schliesssysteme

Abb. 4. Quelle: c’t

autofahrerauto

ca. 1m ca. 5m

max. 400m

dieb 1 dieb 2

trojaner als musiK getarntDoch wie greift der Angreifer überhaupt auf das Bordnetz zu? Zum Beispiel über physische Schnittstellen im Fahrzeug-Innenraum wie USB. Dazu gehört auch die gesetzlich vorgeschriebene Diagnose-Schnittstelle OBD-2, die den Zugriff auf fast alle Steuergeräte erlaubt. An solchen Schnittstellen lässt sich Schadsoftware einspeisen, etwa über ein Smart-phone – oder eine Musik-CD: US-amerikanische Forscher infizierten 2011 ein Fahrzeug mit einem Trojaner, der als Musik getarnt auf einer CD gespeichert war und über die Auto-Soundanlage auf den Bordcom-puter zugriff [PC World].

Im vernetzten Auto brauchen Angreifer aber nicht unbedingt einen physi-kalischen Zugang zum Fahrzeugnetzwerk. OBD-2-Stecker („Dongle“) zum Beispiel nutzen Bluetooth, um Diagnosedaten an ein Smartphone zu senden. Günstige Varianten verzichten dabei mitunter auf das manuelle Bestätigen beim „Pairing“ der Geräte. Umso leichter können Angreifer eigene Geräte mit dem Fahrzeug verbinden. Das würde sogar nach dem Ausschalten des Motors funktionieren, denn die Steuergeräte benötigen einige Zeit, um sich abzuschalten, oder hängen gar an Klemme 30 und damit dauerhaft am Strom. Ein Angreifer könnte zum Beispiel über einen Supermarkt-Parkplatz laufen und per Smartphone nachsehen, welches Fahrzeug einen offenen Bluetooth- oder auch WLAN-Zugang hat. Auch integrierte Luftschnittstellen wie eine SIM-Karte könnten zum Einfallstor werden [s. Seite 12].

Wenn der schlüssel FremdgehtAuch Fahrzeugdiebe ändern ihr Vorgehen. 2020 wird es weltweit fast 65 Millionen „schlüssellose“ Fahrzeugzugangs-Einheiten geben [GIA]. Das Prinzip: Auf Knopfdruck sendet das Fahrzeug ein schwaches Funksignal. Befindet sich der Schlüssel in dessen Reichweise, öffnet er mit einer ver-schlüsselten Antwort die Fahrzeugtüren. Komfortabel für den Autofahrer, aber kritisch für die IT-Sicherheit. Denn mit zwei Relais-Funkgeräten lässt sich die Reichweite der Signale verlängern. Diebe können so ein Fahrzeug öffnen und starten, wenn es zum Beispiel vor dem Haus des Besitzers parkt und der Schlüssel im Hausflur hängt [s. Abb. 4]. Der ADAC testete mehr als 20 Fahrzeugmodelle mit „Keyless“-Systemen, alle ließen sich per Relais-Angriff in Sekunden öffnen, fast alle auch wegfahren [ADAC].

Die nächste Generation an Fahrzeugen wird sich sogar per Smartphone öffnen und starten lassen. Das bringt sicher einen hohen Nutzen an Komfort – zum Beispiel wenn jemand sein Auto spontan verleihen will –, birgt aber neue Angriffsvektoren für Diebstahl, Vandalismus oder die ungewollte Nutzung des Fahrzeugs.

Auch Funkschlüssel sind in Sachen IT-Sicherheit gefährdet. Das zeigt unter anderem der Hack funkgesteuerter Auto-Schließsysteme zahlreicher Hersteller, veröffentlicht im August 2016 [Heise].

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

11

securitymassnahmen

Keine zeit Für FehlerAnders als beim Laptop gibt es im Fahrzeug keine Zeit für eine erneute Prüfung, wenn eine Nachricht erst einmal akzeptiert und im Bordnetz angekommen ist: Die Zeit, in der Hacker unerkannt Zugriff haben („Hacker-Freetime“), ist beim Fahrzeug extrem kritisch. Insbesondere während der Fahrt: Dann lässt sich nicht jeder beliebige Rechner einfach ausschalten oder in den Offline-Modus versetzen. Immerhin gibt es meist einen sogenannten „Fall-back-Modus“, in dem ein Fahrzeug nur eine gewisse maximale Geschwindigkeit fahren kann und über einge-schränkte Funktionen verfügt. Dies sollte aber natürlich nur der letzte Ausweg sein.

sichere bordnetze Für die zuKunFtDer Grundsatz für die IT-Sicherheit im Bordnetz lautet: „Wichtiges klar trennen“. Kritische Busse wie der Antriebs-CAN müssen physikalisch und logisch von weniger kritischen Bussen wie dem Infotainment-MOST getrennt sein, die busübergreifende Kommunikation streng geregelt und geprüft. Das Gateway zwischen den Bussen spielt damit eine zentrale Rolle für die IT-Sicherheit [s. auch Kasten, Seite 11].

Die Automobilindustrie ist bereits mit Hochdruck dabei, erste Security-Maßnahmen für den CAN-Bus umzusetzen. Unerlässlich ist dabei, dass sich Steuergeräte künftig bei jeder Kommunikation authentifizieren – je nachdem als berechtigter Sender oder Empfänger von Daten. Dazu werden sie mit digitalen Zertifikaten ausgestattet. [s. Seite 13]. Hinzu kommt eine „Input Validation“, eine Prüfung aller eingehenden Nachrichten auf Plau-sibilität. Damit ist zum Beispiel eine Airbag-Zündung bei voller Fahrt nicht mehr möglich.

sicherheitsKritische daten VerschlüsselnZudem wird die fahrzeuginterne Datenkommunikation künftig immer häufiger verschlüsselt. Die Herausforderung: Das erfordert mehr Rechen-kapazität und damit auch mehr Hardware. Diese in jedem Steuergerät zu verbauen, wäre aber teuer. Zwei Ansätze machen die Verschlüsselung künftig trotzdem möglich. Erstens werden nur die sicherheitskritischen Daten verschlüsselt, wie die Vehicle Identification Number (VIN) und Motorsteuerdaten. Das senkt den Rechenaufwand. Zweitens werden Steuergeräte nicht mehr aus einzelner Hardware bestehen, sondern als Software auf einem zentralen Rechner laufen.

soFtWare-deteKtiV Für bordnetze

Wie jeder Rechner benötigen Fahrzeuge ein ständiges Sicherheits-Monitoring, bei dem alle Erkenntnisse zentral ausgewertet werden – zum Beispiel in einem „Security Operations Center“ (SOC). Die Basis ist eine Detektionslösung im Fahrzeug, wie etwa das Intrusion-Detection-System von T-Systems. Dieses setzt direkt im zentralen Gateway an und prüft die Nachrichten auf „normalen Datenverkehr“ oder „Anomalienverhalten“. Die Reaktion auf eine Anomalie wird gemeinsam mit dem Automobilhersteller festgelegt – zum Beispiel, ob der Fahrer nur eine Warnung bekommt oder ob die Software beispielsweise Netzwerkteile abschaltet. Auffälliges Verhalten wird an ein Backend übermittelt, das die Daten mit modernen Machine-Learning-Algorithmen untersucht. Die Erkenntnisse fließen an die „Detektive“ in allen Fahrzeugen zurück.

Die Vorteile: Das Gesamtgewicht sinkt, Verschlüsselung wird kostengünstig und das Bordnetz weniger komplex. Letzteres unterstützt die IT-Sicher-heit, weil sich einfache Vorgänge auch einfacher überwachen lassen: Bisher erfordert zum Beispiel schon ein Blinker-Setzen das Mitwirken mehrerer Steuergeräte.

Wichtige rolle: uPdates Ohne regelmäßige Updates geht es nicht: Sie beheben Verwundbarkeiten in der Fahrzeugsoftware und passen diese nach neuen Erkenntnissen über Angriffsmuster an. In der klassischen IT oder in der Software von End-geräten sind Patches oder Updates eine wichtige und etablierte Stütze der IT-Sicherheit. Ob sie eingespielt oder bewusst nicht eingespielt werden, etwa um auf einen Test oder eine Sicherheitsprüfung zu warten – dahinter steht ein aktiv gesteuerter Prozess. Dieser muss zukünftig auch für das Auto, den „fahrenden Rechner“, gelten. Für die Automobilbranche erfordert das ein Umdenken, denn bisher hat sie Updates bei Bedarf auf-gespielt – viel Zeit für Hacker, um Schwachstellen auszunutzen.

Updates sind also eine Securitymaßnahme, gleichzeitig aber auch eine Sicherheitsschwachstelle: nämlich, wenn Hacker über manipulierte Updates Schadsoftware in Fahrzeuge einspielen. Deswegen muss auch der Update-Prozess gesichert werden. Hier bietet sich ein mehrstufiges Vorgehen an:

1. Sicherheitskritische Updates werden nur in der Werkstatt per Kabel eingespielt, die Daten sind verschlüsselt, Sender und Empfänger müssen sich mehrstufig authentifizieren.

2. Weniger sicherheitskritische Updates nutzen eine verschlüsselte und abgesicherte Funkverbindung. Die Daten sind verschlüsselt, eine ein-stufige Authentifizierung reicht.

3. Content-Updates gelangen über eine ungesicherte Funkverbindung ins Fahrzeug, der Content muss nicht zwingend verschlüsselt sein. Eine einfache Authentifizierung oder digitale Signatur reicht. [Detecon]

schlüssellos sicherGegen den Relais-Angriff auf schlüssellose Schließsysteme gibt es in Zukunft mögliche Gegenmittel. Bei Rolling-Codes zum Beispiel nutzen Sender und Empfänger identische Codier-Tabellen, deren Codes sie der Reihe nach benutzen, – ähnlich wie bei TAN-Listen. Genaue Messungen der Signallaufzeiten helfen zudem zu erkennen, wenn der Schlüssel zu weit vom Fahrzeug entfernt ist.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

12

schWachstellen und risiKen

angriFFsziel sim-KarteBei Fraud-Attacken nutzen Kriminelle die SIM-Karte eines Fahrzeugs unrechtmäßig aus. Sie telefonieren beispielsweise zu hochpreisigen Hotline-Nummern, auf Kosten der rechtmäßigen Besitzer. Der Zugriff auf die SIM kann entweder über physikalische Schnittstellen (z. B. OBD) bzw. Luftschnittstellen (z. B. Mobilfunk, WLAN und andere) erfolgen oder durch Diebstahl. Allerdings lassen sich eingebaute elektronische SIM-Karten (eSIMs) nicht so leicht ausbauen. Zugriff auf die SIM-Karten könnten Angreifer auch durch „Phishing“ erhalten, also dem Abfragen von Passwörtern etwa über gefälschte E-Mails und Webseiten. Das Ziel: die auf eSIMs gespeicherten SIM-Profile entwenden und auf anderen eSIMs aktivieren. Ob dies nur Theorie bleibt oder künftig echte Angriffs-szenarien darstellt, wird die Zukunft zeigen.

immer sicherere mobilFunKstandardsZum Schutz des Fernmeldegeheimnisses muss Mobilfunkkommunika-tion (wie auch Festnetzkommunikation) verschlüsselt werden. Die Ver-schlüsselung ist von Mobilfunk-Generation zu Mobilfunk-Generation sicherer geworden – von 2G (z.B. GSM) über 3G (z.B. UMTS) bis hin zu 4G (z.B. LTE). Das wird sich auch mit dem künftigen Standard 5G fort-setzen, der ab 2020 zum Einsatz kommen soll. Die 3GPP, eine welt-weite Kooperation von Standardisierungsgremien, arbeitet derzeit an der Spezifikation von 5G und bezieht dabei den aktuellen Stand der Technik in Sachen IT-Sicherheit ein. In der aktuellen Phase werden sämtliche 5G-Anforderungen aufgenommen und im nächsten Schritt die entsprechende Lösung entworfen.

securitymassnahmen

ein geFühlt eigenes netzEine der grundlegenden Securitymaßnahmen für die mobile Kommuni-kation sind virtuelle private Netzwerke (VPNs). Diese transportieren Daten durch sichere Tunnel im Netz vom Sender bis zum Empfänger. Sie erlauben nur bekannten Nutzern Zugang und verschlüsseln sämtli-chen Datenverkehr. Zu den VPN-Technologien, die für vernetzte Fahr-zeuge infrage kommen, zählen zum Beispiel TLS und IPsec. Zudem empfiehlt es sich, private APNs (Access Point Name) - also Zugangs-punkte zum Mobilfunknetz - einzusetzen, um das Fahrzeug über eine private Verbindung sicher mit dem Automotive-Backend zu verbinden.

PlÖtzlich brauchen Fahrzeuge mobile security

Die wichtigste Funktechnologie für das Fahrzeug der Zukunft ist der Mobilfunk, der künftig auch die Echtzeit-Kommunikation ermöglichen wird. Den Zugang zum Mobilfunknetz erhält das vernetzte Fahrzeug über eine SIM-Karte. Es wird also zum mobilen Endgerät – mit denselben Konsequenzen für die IT-Sicherheit wie bei Smartphones und Tablets. Damit Angreifer nicht bequem von Zuhause auf eine Vielzahl vernetzter Fahrzeuge zugreifen können, bedarf die IT-Sicherheit der Mobilfunkstrecken und ihrer Endpunkte besonderer Aufmerksamkeit.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

13

starKe authentiFizierung einsetzenUm berechtigte Nutzer zu authentifizieren, arbeiten VPN-Lösungen jedoch meist mit statischen Passwörtern – die sich automatisiert knacken lassen. Deswegen empfiehlt sich für VPNs – ebenso wie für die gesamte Fahrzeugkommunikation – der konsequente Aufbau einer skalierbaren Public-Key-Infrastruktur (PKI). Diese stellt digitale Zertifikate aus, verteilt sie, prüft sie und ruft sie zurück. Über diese Zertifikate weisen sich alle Kommunikationsteilnehmer aus, wie Steuergeräte im Auto, Backend und Ampeln. Das Problem: Das Ökosystem „Vernetztes Fahr-zeug“ benötigt eine Vielzahl an Zertifikaten. Allein jedes Steuergerät arbeitet mit einer mittleren bis hohen Zahl befristeter Zertifikate sowie einem langfristigen Zertifikat [Moser]. Diese Masse an Zertifikaten zu erzeugen und zu prüfen, erfordert entsprechend hohe Hardware-Kapazi-täten. Deswegen muss eine PKI-Struktur hardware- und software-seitig skalierbar sein.

stolPersteine legen – standardmassnahmen ergreiFen„Finden trotz vorbeugender Maßnahmen Angriffe auf die Mobilfunkver-bindung statt, müssen Maßnahmen getroffen werden, um den Missbrauch zu erkennen“, sagt Christian Olt, Experte für Fraud-Management bei der Deutschen Telekom. Entsprechende Erkennungssysteme arbeiten dabei mit Regeln, die mögliche Angriffe offenbaren. Zwei Beispiele:

Limit-Monitoring bei der Datennutzung: Über ein Online-Portal geben Automobilhersteller z.B. Limits für das Datenvolumen ihrer SIM-Karten an.

Fraud-Detection bei der Sprachnutzung: Rufnummern-Listen legen unter anderem fest, welche Rufnummern eine Fahrzeug-SIM anrufen darf, zum Beispiel den Notruf. Kontaktiert die SIM eine Rufnummer, die nicht auf der Liste steht, wird die Anruf- oder die SMS-Verbindung zwar hergestellt. Die Auffälligkeit wird aber gleichzeitig an den Hersteller gemeldet, der entsprechende Analysen und Gegenmaßnahmen einleitet.

mobilFunKKommuniKation im blicKTelekommunikationsanbieter (TK-Anbieter) dürfen nach deutschem Recht (TKG 100.3) in ihren Netzen Verkehrsdaten (auch „Verbindungs-daten“) und Bestandsdaten zur Sicherung ihres Entgeltanspruches analysieren, um Missbrauchsfälle (Fraud) aufzudecken und zu unter-binden – allerdings nur, wenn eine rechtswidrige Inanspruchnahme des Telekommunikationsnetzes oder -dienstes vorliegt. Für Automobil-hersteller bedeutet dies: Wenn der Automobilhersteller den Status eines TK-Anbieters hat, darf er im vorgegebenen rechtlichen Rahmen die Missbrauchserkennung selbst ausführen oder einen Dienstleister damit beauftragen. Als Nicht-TK-Anbieter muss er nach der Art der Untersuchung unterscheiden: Eine eingeschränkte Missbrauchserken-nung darf der Automobilhersteller selbst durchführen. Weitergehende Untersuchungen, insbesondere wenn Verkehrsdaten verwendet wer-den, darf nur der betreffende TK-Anbieter. Daher muss vor jeder Ent-scheidung über die Missbrauchserkennung der Status geklärt werden.

Eine Entscheidung, die das Geschäftsmodell „Vernetztes Fahrzeug“ stark beeinflusst. Als TK-Anbieter dürfen Autobauer zum Beispiel selbst Datenkontingente für einen Hotspot im Auto an die Fahrzeugbe-sitzer verkaufen, anstatt einen externen TK-Anbieter zwischenschalten zu müssen. Damit einhergehen aber auch gesetzliche Pflichten, etwa das Einrichten einer automatisierten Auskunft über Rufnummern-Inha-ber für die Bundesnetzagentur [TKG §112].

hilFe bei der mobilFunK-überWachung

Unterstützung bei der Fraud-Detektion bekommen Automobilunternehmen von T-Systems. Zunächst führen die Partner eine Fraud-Risk-Analyse durch. An deren Ende steht ein klares Bild, welche Fraud-Risiken im Umfeld des Kunden bestehen (Transparenz), wie Missbrauch verhindert werden kann (Prevention), wie Einzelfälle erkannt werden (Detection) und welche Gegenmaßnahmen Sinn machen (Reaction). Welche Daten das Automobilunternehmen rechtlich zur Fraud-Erkennung erheben darf, richtet sich unter anderem nach seinem Status als TK-Anbieter und wird im Vorfeld in enger Abstimmung mit der Bundesnetzagentur und den Datenschutz-Experten von T-Systems vereinbart. Diese Vorgaben setzt T-Systems technisch um – verknüpft Systeme, um die entsprechenden Daten zu sammeln, und erstellt Regeln, welche Vorfälle bei Telefonie, SMS und Daten als „ungewöhnlich“ einzustufen sind. Entdeckt das System einen Verdachtsfall, informiert es darüber per E-Mail und stellt die Verdachtsfälle in einem Portal bereit. Darüber führt der Automobilhersteller auch die Analysen durch, und leitet bei Bedarf entsprechende Gegenmaßnahmen ein, wie eine Kundeninformation, SIM-Karten-Sperre oder polizeiliche Ermittlung.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

14

Viele bacKends haben hintertüren

sicheres bacKend-KonzePt mit schnittstellen nach aussen

Abb.5.

backend

zulieferer

infotain-ment

abrechnungechtzeit-verkehrs-informationen

navigation reifendruck kontroll-system

schliess-system

Virtuelle fachliche Backends

Z.B. Teile, Software, Dienste

Das Backend betreibt in der Regel der Autohersteller selbst. Hier liegt die Datenbasis für Apps und Services, die im Fahrzeug zur Verfügung gestellt werden. Das Backend erfüllt zudem wichtige Security-Funktionen. Denn es speichert, pflegt und schützt die digitale Identität des Fahrzeugs – bestehend aus der Fahrzeug-Identifikationsnummer (VIN), den IDs aller Bauteile, Zertifikaten und Informationen zu den Softwareversionen. Das Backend fungiert also als „Hüter der Geheimnisse“ für das vernetzte Auto. Umso wichtiger ist sein Schutz gegen Hacker-Angriffe.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

15

schWachstellen und risiKen

geselliges rechenzentrumDas Backend ist mit verschiedenen externen Kommunikationspartnern vernetzt [s. Abb. 5]:

mit dem Fahrzeug, dem es zum Beispiel Verkehrsdaten liefert, mit Zulieferern, zum Beispiel Hersteller von Sound-Systemen (Head

Unit) oder Lieferanten von Software oder Kartendaten mit Endkunden, also Autobesitzer, die zum Beispiel gewisse Fahr-

zeugdaten über ein Online-Portal oder eine Smartphone-App abrufen können.

grundsätzlich sicher – aber…Die Backends der Automobilhersteller erfüllen heute alle die grundle-genden Anforderungen an die IT-Sicherheit von Rechenzentren. Zu den Maßnahmen gehören zum Beispiel die physikalische Absicherung der Server und Speicher, regelmäßige Schwachstellen-Scans (Vulnerability Scans), das Simulieren von Hacks (Penetrations-Test), eine dauerhafte Sicherheitsüberwachung mit Alarmfunktion und regelmäßige Umsetzung-Prüfungen (Audits).

achtung bei neuen schnittstellenAllerdings eröffnet das vernetzte Auto auch im Backend neue Möglich-keiten für Hacker: nämlich über die Schnittstellen zum Fahrzeug und zu Zulieferern für vernetzte Dienste wie Infotainment-Apps – wobei manche Zulieferer auch direkt mit Fahrzeug oder Kunden-Endgerät kommunizieren.

Ein möglicher Angriffsweg Richtung Backend: Ein Hacker simuliert, dass ein Fahrzeug eine Nachricht sendet, und schleust darüber Schad-software in das Backend ein. Wenn diese ein geplantes Update mani-puliert, betrifft die Attacke plötzlich alle Fahrzeuge des Herstellers. Oder noch weitergedacht: Weil jedes Fahrzeug eine digitale Abbildung im Backend besitzt, lässt sich auch eine unechte digitale Identität erstellen. Als Sender der Schadsoftware gibt der Angreifer somit ein Fahrzeug an, das es gar nicht gibt. Ist aber die Schnittstelle zum Fahr-zeug genügend gesichert, könnte ein Hacker zum Beispiel einen Head-Unit-Zulieferer ins Visier nehmen und dessen regelmäßige Updates manipulieren. Wenn das Backend des Autoherstellers solche Manipulationen nicht erkennt, gelangen die Updates in die Fahrzeuge.

security massnahmen

grenzen ziehenFür das Backend gilt derselbe Leitsatz wie für die Bordnetze: „Wichtiges klar trennen“. Gemeint sind damit einzelne Dienste rund um das ver-netzte Fahrzeug wie Infotainment, Verkehrsinformationen und Abrech-nung. Die Rechen- und Speicherkapazitäten für diese Dienste müssen virtuell voneinander getrennt sein, in sogenannten „Fachlichen Backends“. In der Praxis bedeutet dies zum Beispiel die Nutzung dienste-spezifischer Zertifikate auf der Anwendungsebene sowie gemeinsam genutzte Sicherheitsfeatures, etwa auf TLS-Ebene. Die virtu-elle Trennung sorgt dafür, dass ein Hacker, der einen Dienst adressiert, nicht auch auf alle anderen Dienste im Backend Zugriff erlangt.

Fahrzeug-aKte PFlegenDie digitalen Identitäten der Fahrzeuge müssen geschützt werden und stets aktuell sein. Welche Bauteile, Software und Zertifikate gehören zu welchem Fahrzeug? Welche Updates stehen noch aus? Sind die VIN als kritische Information und die digitale Identität des Fahrzeugs regelgerecht gespeichert und auch in der Übertragung nicht ausles-bar? Nur wenn das Backend diese Fragen beantworten kann, kann es berechtigte Kommunikationsteilnehmer von unberechtigten unter-scheiden und dafür sorgen, dass alle Fahrzeuge stets über den aktuellen Softwarestand verfügen. Auch muss das Backend jederzeit wissen, welche Fahrzeuge als gestohlen gemeldet sind. Die entsprechenden SIM-Karten wandern dann zum Beispiel auf eine Blacklist, sodass das Backend eine unberechtigte Nutzung sofort erkennt und blockiert. Für gestohlene oder ausgetauschte Fahrzeugteile müssen die Zertifikate zurückgerufen bzw. ersetzt werden.

Wichtig ist zudem, dass die verwendeten Kryptographie-Verfahren und Kommunikationsprotokolle auf dem neuesten Stand sind. Sie müssen daher regelmäßig einer Prüfung unterzogen werden.

FireWall Fürs FahrzeugEine weitere wichtige Funktion des Backends: Es filtert externe Daten – wie Updates von Zulieferern – und wird somit zur Firewall für das ver-netzte Fahrzeug. Manche Externe kommunizieren jedoch auch direkt mit Fahrzeug und Endgerät, zum Beispiel, wenn ein Fahrzeug auf Spracher-kennungssoftware im Internet zugreift, um eine eingesprochene Nach-richt seines Fahrers in Text umzuwandeln. Welche Kommunikation welchen der beiden Wege nimmt, ist eine Grundsatzentscheidung.

helFende hand statt hintertüre

Automobilunternehmen müssen die Securitymaßnahmen ihrer Backends einer genauen Prüfung unterziehen. Gewährleisten sie auch in Zeiten von vernetzten Fahrzeugen die maximal mögliche IT-Sicherheit? Wo liegen Schwachstellen? Wie lassen diese sich sichern? Bei der Beantwor-tung dieser Fragen unterstützt T-Systems die Automobilbranche. Auf Wunsch hilft das Unternehmen auch beim Betrieb: Für Daimler hostet das Unternehmen zum Beispiel das Backend für das Multimedia-System COMAND Online und gewährleistet weltweites Management rund um die Uhr.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

16

Fahrzeug-security im rücKsPiegel

blicKWinKel Weiten

Die Bedrohung aus dem Cyberspace kann vielfältige Gestalten annehmen: Die Angreifer verfolgen verschiedene Ziele wie finanziellen Gewinn und reinen Wettbewerb, und gehen ganz unterschiedlich vor – ob sie Daten stehlen oder Autos, Bluetooth-Schnittstellen nutzen oder Lücken im Backend. Deswegen kommen Automobilunternehmen nicht umher, IT-Sicherheit ganzheitlich zu denken. Ganzheitlich bedeutet, dass jede Datenübertragung im, vom und zum Fahrzeug folgende Kriterien erfüllt: Der richtige Sender überträgt die richtigen Daten über den rich-tigen Weg an das richtige Ziel. Verdächtig ist es zum Beispiel, wenn das Infotainmentsystem einen Bremsbefehl Richtung Brems-Steuergerät sendet.

„Die Automobilbranche muss also Security-Maßnahmen für alleBereiche des digitalen Ökosystems Fahrzeug umsetzen und diese ver-knüpfen“, sagt Thomas Fischer, Leiter Embedded Engineering & Process Solutions bei T-Systems, „für das Fahrzeug selbst, dessen Funkverbindungen und das Backend im Rechenzentrum bis hin zu den Zulieferern.“ Security müsse entlang aller Datenströme und über den gesamten Produktlebens-zyklus gedacht werden – zum Beispiel für Gebrauchtwagen, den Aus- und Umbau oder den Diebstahl von Teilen sowie die Verschrottung. Das gelte jetzt schon und künftig ganz besonders für das autonome Fahren.

Wachhunde als letzte bastion

Zu diesen Maßnahmen gehören sowohl vorbeugende als auch aufde-ckende. Zu den wichtigsten vorbeugenden zählen die technisch und prozessual komplett durchdachte Lösung des (Krypto-)Schlüssel- und Zertifikate-Managements, um alle kritischen Daten zu verschlüsseln, sowie eine starke Authentifizierung, bevor ein Nutzer autorisiert wird. Trotz aller Prävention werden Automobilunternehmen aber nie alle Schwachstellen schließen können. Schon alleine durch die „Asymmetrie“ des täglichen Cyberkriegs: Während Angreifer zielgerichtet einzelne Bereiche angehen, müssen Unternehmen ihre IT breitflächig schützen und sind damit im Nachteil.

„Deswegen brauchen sie Systeme, die als ‚Wachhunde‘ dienen und bei Angriffen Alarm schlagen“, sagt André Bücker, Projektleiter Automotive bei T-Systems. Solche Detektions-Mechanismen analysieren beständig Kommunikationsdaten, um Anomalien aufzuspüren. Diese Maßnahmen sollten bei allen Kommunikationsverbindungen vernetzter Autos umge-setzt werden: bei der Kommunikation im Bordnetz, mit der Verkehrsinfra-struktur, mit anderen Fahrzeugen und vernetzten Geräten und mit dem Backend.

Nur wenn die Automobilindustrie höchste IT-Sicherheit umsetzt, wird sie die Autofahrer davon überzeugen können, dass sie selbst und ihre Daten im vernetzten Fahrzeug sicher sind. Und nur dann hat auch das autonome Fahren eine Chance, von einer Vision zur Wirklichkeit zu werden.

Das Fahrzeug wird zum Ziel von Hackern, denn es arbeitet mit einer wachsenden Zahl elektronischer Systeme und wird zunehmend vernetzt – und ist damit auch aus der Ferne angreifbar. Greifen Unbe-fugte auf Fahrfunktionen zu, kann das sogar Menschenleben gefährden. IT-Sicherheit wird somit zur Voraussetzung für Fahrsicherheit.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

17

Durch die ständige Überwachung ihres Kernnetzes ist die Telekom über aktuelle Angriffsmethoden jederzeit informiert. Dazu sind weltweit mehr als 180 Lockvogelsysteme im Einsatz: Die sogenannten „Honey-pots“ (Lockstoffe) täuschen Schwachstellen wie etwa Sicherheitslücken bei Smartphones vor, um Cyberangriffe zu provozieren und dienen damit als effizientes Frühwarnsystem.

Mit ihrer Geschäftskundensparte T-Systems steht die Telekom auch Autoherstellern und -zulieferern mit ihren Lösungen zur Seite, um die Ende-zu-Ende-Sicherheit der IT- und Telekommunikations-Infrastruktur rund um das vernetzte Fahrzeug zu gewährleisten. In der neu gegründeten Security-Einheit im Telekom-Konzern „Telekom Security“ ist das Security-Portfolio für die Automobilindustrie ein wichtiger Branchen-Baustein. Das breite Automotive-Know-how im Konzern mit rund 5.000 Automobil-experten wird hier gepaart mit Security- und Datenschutzlösungen made in Germany.

mass der dinge beim security-outsourcing

2016 wählten die Leser von Auto Motor Sport und Chip die Telekom zum dritten Mal in Folge auf den ersten Platz für das beste Mobilfunk-netz im Fahrzeug. [Telekom] Als langjähriger Partner der Automobilbran-che stellt T-Systems ihre Sicherheitskompetenz täglich unter Beweis, wie Analysten bestätigen. So sieht die Experton Group die Deutsche Tele-kom im Security Vendor Benchmark 2016 als führenden Anbieter von Sicherheitslösungen. [Experton] Auch beim immer gefragteren Security-Outsourcing präsentiert sich der Konzern als vertrauenswürdiger Partner: Laut Benchmark ist die Telekom im Markt für Managed Security Services „sowohl hinsichtlich der Portfolio-Attraktivität als auch der Wettbewerbs-stärke das Maß der Dinge“. Das Telekom-Portfolio bietet geringe Investi-tionskosten sowie das stets aktuelle Wissen über sich ständig ändernde Cyber-Bedrohungen. Für eine Ende-zu-Ende-Verantwortung deckt es zudem die gesamte Bandbreite von Sicherheitsdiensten ab.

Ohne IT ist das Auto heute nicht mehr denkbar – mit ihren Ende-zu-Ende-Lösungen sorgt die Telekom dafür, dass auch das Fahrzeug der Zukunft sicher ist.

auto und security in der dna

IT-Security tief in der DNA verankert: Als eines der ersten DAX-Unternehmen hat die Deutsche Telekom das Thema IT-Security auf Vorstandsebene gehoben. Inzwischen beschäftigen sich rund 1.500 Mitarbeiter des Konzerns ausschließlich mit IT- und Netzwerksicherheit.

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

18

glossar

3GPP 3rd Generation Partnership Projects; Kooperation für die Standardisierung im Mobilfunk

ABS Antiblockiersystem

Angriff / Attacke [BSI] unberechtigte Handlung, um sich Vorteile zu verschaffen oder Schaden anzurichten

Bedrohung [BSI] ein Umstand oder Ereignis, das Verfügbarkeit, Integrität oder Vertraulichkeit von Daten beeinträchtigen kann

Bestandsdaten Kundendaten in der Telekommunikation

Black-Hat-Hacker Hacker, der illegal vorgeht und Schaden anrichten will

Botnetz System aus infizierten Rechnern, das sich für Cyberangriffe fernsteuern lässt

Broadcasting Kommunikationsvorgehen im CAN-Bus, bei dem alle Nachrichten an alle Teilnehmer gesendet werden

Bugfix Fehlerbehebung in Programm-Quellcode

CAN Controller Area Network; Feldbus

Datenschutz Schutz personenbezogener Daten

Datensicherheit Schutz von Daten mit und ohne Personenbezug

DDoS Distributed Denial of Service; Angriff, der Dienste durch Überlastung blockiert

eCall automatischer Notruf; ab Ende 2018 in der EU Pflicht

ECU Electronic Control Unit; Steuergerät im Fahrzeug

eSIM embedded SIM; eingebauter SIM-Speicher

ESP Elektronisches Stabilitätsprogramm

Feldbus physikalische Kommunikationsverbindung für mehrere Teilnehmer entlang derselben Leitungen

Grey-Hat-Hacker Hacker, die niemandem schaden, aber teils illegal agieren

Head Unit Kern des Sound-Systems im Fahrzeug

Internet der Dinge Gesamtheit aller Geräte und Objekte, die per Internet kommunizieren

IPsec IP Security Protocol; Protokoll für Transportverschlüsselung auf der OSI-Ebene 3

IT-Sicherheit / Security Sicherheit der IT und Telekommunikation gegenüber Zugriffen von Unbefugten

MOST Media Oriented Systems Transport; Feldbus

OBD-2 On-Board-Diagnose-System der zweiten Entwicklungsstufe

Phishing Passwörter-Abfrage durch Betrüger über gefälschte E-Mails und Internetseiten

Risiko [BSI] Vorhersage eines möglichen Schadens im negativen Fall oder eines möglichen Nutzens im positiven Fall

Safety funktionale Sicherheit

Schwachstelle [BSI] sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution

Signatur, digitale asymmetrischer elektronischen Schlüssel, mit dem sich ein Nutzer ausweist

TLS Transport Layer Security; Protokoll für Transportverschlüsselung auf der OSI-Ebene 5

Verkehrsdaten technische Daten, die bei der Nutzung eines Telekommunikationsdienstes anfallen, wie z.B. der Zeitpunkt der Nutzung

White-Hat-Hacker gesetzestreue Hacker, die keinen Schaden anrichten

White PaPer IT-SIcherheIT für daS verneTzTe fahrzeug

19

Quellen

[3GPP] http://www.3gpp.org/news-events/3gpp-news/1785-nb_iot_complete

[ADAC] https://www.adac.de/infotestrat/technik-und-zubehoer/fahrerassistenzsysteme/keyless/default.aspx?ComponentId=257251&SourcePageId=8749&quer=keyless

[BSI] Bundesamt für Sicherheit in der Informationstechnik (BSI) https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html Abgerufen 05.10.2016

[c’t] http://www.heise.de/ct/ausgabe/2015-26-Autodiebe-tricksen-kontaktlose-Schliesssysteme-aus-3013915.html

[Detecon] https://www.detecon.com/sites/default/files/4_DMR_Automotive_Special_Ende_zu_Ende_Sicherheit_Gro%C3%9Fer_D_09_2015.pdf

[DsiN] https://www.sicher-im-netz.de/press/releases/dsin-index-2016-verbraucher-trotz-verbesserter-sicherheits-lage-verunsicherter

[BC] https://bugcrowd.com/fca, https://bugcrowd.com/tesla

[Experton] http://www.experton-group.de/research/studien/security-vendor-benchmark-2016/ueberblick.html

[Gartner] http://www.gartner.com/newsroom/id/3460018

[GIA] http://www.strategyr.com/pressMCP-6058.asp

[Heise] http://www.heise.de/newsticker/meldung/Sicherheitsforscher-knacken-Funkschluessel-von-VW-und-anderen-Her-stellern-3292169.html

[Iib] http://www.informationisbeautiful.net/visualizations/million-lines-of-code/

[KPMG] Consumer Loss Barometer https://home.kpmg.com/cn/en/home/insights/2016/08/consumer-loss-barometer.html

[Markey] http://www.markey.senate.gov/news/press-releases/sens-markey-blumenthal-introduce-legislation-to-protect-dri-vers-from-auto-security-privacy-risks-with-standards-and-cyber-dashboard-rating-system

[McKinsey] McKinsey&Company; Competing for the connected customer (page 33) http://www.mckinsey.com/~/media/mckinsey/industries/automotive%20and%20assembly/our%20insights/how%20carmakers%20can%20com-pete%20for%20the%20connected%20consumer/competing_for_the_connected_customer.ashx

[Moser] http://www.weimerskirch.org/papers/MoserEtAl_OperatingC2XPKI.pdf

[PC World] http://www.pcworld.com/article/221873/With_Hacking_Music_Can_Take_Control_of_Your_Car.html

[PwC] PwC PricewaterhouseCoopers, Connected Car Study 2015

[Sym] https://www.symantec.com/security_response/publications/monthlythreatreport.jsp#Spam Abgerufen 19.10.2016

[Telekom] https://www.telekom.com/de/medien/medieninformationen/detail/telekom-verteidigt-1--platz-beim-car-connecti-vity-award-435404

[TKG §112] http://www.bundesnetzagentur.de/cln_1432/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/Oeffentlichesicherheit-node.html

[TU Automotive] TU-Automotive Hacks and Threats Report Extract 2016 http://pages.tu-auto.com/cybersecurity-content

[VDA] https://www.vda.de/de/themen/innovation-und-technik/automatisiertes-fahren/automatisiertes-fahren.html Abgerufen 28.09.2016

[Wired] https://www.wired.com/2016/01/gm-asks-friendly-hackers-to-report-its-cars-security-flaws/ Abgerufen 22.08.2016

KontaKt

T-Systems International GmbHMartin RufMarket IntelligenceEmail: martin.ruf@t-systems.com

T-Systems International GmbHHermann HänleAutomotive MarketingEmail: automotive@t-systems.com

T-Systems International GmbHUlrich LessmannSecurity MarketingEmail: security-info@t-systems.com

herausGeBer

T-Systems International GmbHHahnstraße 43d60528 Frankfurt am Main

http://www.t-systems.de

Stand: November 2016