Ende-zu-Ende-Sicherheit für das vernetzte Auto Die Geister, die ich rief! Sicherheit im vernetzten Auto heißt, Safety und Security ganzheitlich zu betrachten. Neben die funktionale Sicherheit treten nun auch Fragen zum Datenschutz oder zur Abwehr von Hackern. Noch fehlt es an Konzepten, die diese Ende-zu-Ende-Sicherheit gewährleisten. er Deutschen liebstes Kind und Spielzeug ist das Auto. D Es trägt Emotionen und repräsentiert verschiedene Lebens- gefühle: mal Transportmittel, mal Hobby und Ausdruck von Individualität und Freiheit. Der Wert des Autos ist unterschiedlich zu bemessen. Doch in einem Punkt herrscht Konsens: Mehr Sicherheit ist immer gut – sicher ist sicher. „Sicherheit“ im Wandel der digitalen Transformation Sicherheit im Auto bedeutet, Menschenleben zu schützen. Die Weiterentwicklung der Sicherheit ist Kundenerwartung und als Ziel etabliert. Der Plan: Mehr Sicherheit durch technische Systeme und weniger Verkehrsopfer von Jahr zu Jahr. Bislang funktionierten einzelne Systeme wie ABS weitgehend autark voneinander und wurden nur verbunden, falls anders deren Funktion – zum Beispiel die geschwindigkeitsabhängige Servolenkung – nicht zufriedenstellend bereitgestellt werden konnte. Nun kommt das TCP/IP-Protokoll dazu, bald das Ethernet im Fahrzeug und damit Gateways, Router und Ethernet-Backbone. Datenströme und die interne Domain-Aufteilung werden aktuell für neue Baureihen gestaltet. Das vernetzte Fahrzeug geht als Rechner und IP-Netzwerk online. Doch was bedeutet Sicherheit im vernetzten Fahrzeug? Wie bei jedem anderen Rechner im Netz müssen alle Datenströme 22 Detecon Management Report dmr • Special Automotive 2015 „abgesichert“ werden. Denn: Alles, was online ist, kann auch gehackt werden! Und selbst offline folgen der Vernetzung neue Aufgaben in Punkto Sicherheit. Sicherheit im Sinne der funktionalen Sicherheit – Safety – ist im vernetzten Fahrzeugt nur noch in Verbindung mit IT Security möglich. Physische Sicherheit im Auto hängt bereits jetzt von IT-Sicherheit ab, etwa von Krypto-Verfahren im Schlüssel- oder Fahrberechtigungssystem. Der Nutzer hat ein „Profil“ im Bordcomputer – wie am Rechner zu Hause. Damit ist die weltweite Lokalisierung zum Diebstahlschutz oder die funkgesteuerte Freischaltung oder Sperrung von Funktionen Realität: Autos können per Laptop geknackt oder stillgelegt werden. Automatisierung, Digitalisierung und Vernetzung stehen auch hinter Fahrerassistenzsystemen. Sie sollen menschliche Entscheidungen während der Fahrt ersetzen – umso „sicherer“ müssen sie sein. Die Chancen liegen in der Unfallvermei dung, einer verbesserten Verkehrsführung oder Chiptuning on Demand und Serviceoptimierung. Sicherheit ist wertvoll – aber wer bezahlt? Die IT wird Teil des Produktes „Auto“, Fahrentscheidungen hängen von Software und Rechenpower ab. Ohne Pathos: Anders als bei E-Mails kann ein Leben davon abhängen! Allerdings zeigen Sicherheitsmaßnahmen ihren wahren Wert aber erst im Notfall. Funktionale Sicherheit, wie sie Airbag oder ABS leisten, sind in ihrem Wert für den Kunden direkt spürbar und konnten in der Vergangenheit separat bepreist werden. Zukünftig besteht Sicherheit aber aus Safety und IT Security. Das Dilemma: IT Security ist zwingend notwendig, denn die „dunkle Seite“ der Digitalisierung – Hacker und Angreifer aus dem Netz – ist durchaus real. Das Bewusstsein der Kunden über Cyber War im Auto ist jedoch noch nicht stark ausgeprägt. Verschiedene digitale Sicherheitsstufen mit unterschiedlichen Preisen sind deshalb zum heutigen Zeitpunkt noch schwer denkbar. Betriebssicherheit, (IT-)Security, Informationssicherheit und Datenschutz müssen in Zukunft ganzheitlich betrachtet werden. Das Zielbild der Entwicklungen, die es zukünftig „sicher“ zu gestalten gilt, ist klar: autonomes Fahren, intermodale Mobilität als Service, Verkehrskonzepte über Bahn, Schiene und andere Verkehrsträger steuern und lenken – auf der Basis von Daten und Informationen. Unter der Maßgabe Safety und Security, insbesondere der Abhängigkeit der Safety von Security, erfordert dies dringend Fortschritte in der bereits konzipierten und verbauten Security. Ansätze sind: > Zertifikate, Signaturen und Krypto-Verfahren je nach Kritikalität der Daten; > Dynamische Prozesse für neue zu bewertende Kritikalitäten – „Updates und Patching“ statt „Stand bei Auslieferung“; > Security by Desing mit Ausrichtung der Hardware und deren Rechenleistungen auch nach Security, Abwägung von Kosten und Gewicht gegen „Basis-Sicherheit“; > Ende-zu-Ende-Konzepte entlang der Datenströme, Privacy by Design im Sinne der informationellen Selbst bestimmung der Kunden mit einer Lösung zum „Eigentum an Daten“; > Konzeption der notwendigen Sicherheit im Betrieb – dyna- misch, auch in den Auswirkungen auf Prozesse und Orga- nisation, nicht statisch zum Zeitpunkt der Produktion. Physikalische Produkteigenschaften werden künftig durch digital definierte Eigenschaften überlagert. Es wäre deshalb ein Fehler, der Digitalisierung ausschließlich über Technologie zu begegnen. Umfassende Ansätze integrieren alle Ebenen: Menschen, Organisation und Prozesse sowie Tools und Technologien. Für Hersteller und Zulieferindustrie werden Safety & Security zum entscheidenden Kriterium auf der Ebene des Service- und Produktangebotes, im After Sales und damit auch in Einkauf, F&E und Fertigung. Leistungsdaten des Autos– neu definiert Persönliche Daten sind die Währung der Zukunft, sagt Jaron Lanier, Pionier des Internets und der Digitalisierung. Google, Apple und viele andere machen es vor: „Predictive“ bedeutet, sich zielorientiert an einen prognostizierten Kundenbedarf zu richten. Wissen über zu erwartendes Konsumverhalten sowie künftige Kaufentscheidungen durch kontextbezogene Auswertbarkeit von Daten ist extrem wertvoll, für Anbieter ebenso wie für Hacker oder Angreifer. Dieses Spielfeld hat die Automobilbranche nun betreten. Kunden haben heute bereits ein Bewusstsein dafür, wie „sicher“ im Sinne der Safety ihr Auto mit den Assistenzsystemen ist. Zunehmend aber auch, wie „connected“ es ist: Welches Smartphone ist kompatibel? Welches Infotainment ist verbaut? Wie aktuell ist die Software und welche Daten werden bewusst erzeugt und gesendet? Wie viel Einfluss und Kontrolle der Mensch darauf noch hat – all dies sind digital definierte Produktmerkmale, die es im Rahmen von Bordcomputer-Software, Features und B edienbarkeit oder Fahrzeugdiagnose-Informationen zu bewerten gilt. Aufgabe der Branche ist es nun, Transparenz darüber zu schaffen, wie viel „Sicherheit“ das Auto der Zukunft leistet und welche „Safety-Leistung“ von welcher „(IT-)Security-Leistung“ abhängt. Wenn personenbezogene Daten oder Bewegungsdaten erzeugt, übertragen und gespeichert werden, etwa im Rahmen der Verkehrsoptimierung, ergeben sich neue Risiken und Implikationen für die bestehenden Sicherheitskonzepte. Datenschutzregulierung wird allerdings weltweit sehr heterogen gehandhabt. Die Speicherung und Übertragung von Daten ist daher nicht unbegrenzt weltweit standardisierbar. Dies bedeutet für Hersteller, dass Standorte und Kooperationspartner nicht frei gewählt werden können. Zu schützen ist allerdings auch das „verbaute Know-how“: Software, spezielle Nutzungsrechte sowie die K onfiguration des Fahrzeugs, auch im Sinne der Haftung, Abwehr von Betrug und Aufklärungsfähigkeit bei Betrugsversuchen. Fatal wäre es beispielsweise, wenn einzelne Parameter der Motorsteuerung manipuliert werden, ohne dass dies anzeigt wird, weil die Software nicht „sicher“ genug vom Hersteller in das Fahrzeug gelangt und die Kontrolle über den Fahrzeugzustand nicht mehr (nur) beim Fahrer liegt. Ist digitale Manipulation möglich, droht der Masse der Fahrzeuge gleicher Bauart eine Kostenfalle inklusive Imageschaden. Hier geht es um die Abwehr handfester kommerzieller Risiken. „Security & Privacy by Design“ muss deshalb ebenso wie Kraftstoffeffizienz, CW-Werte und Motorleistung ein Grundsatz der Entwicklung sein. AUTOSAR-Initiative, EVITA, EU-Datenschutzrecht und IT-Sicherheitsgesetz in Deutschland gehen in die richtige Richtung. 23 Detecon Management Report dmr • Special Automotive 2015 Rechtliche Rahmenbedingungen erschweren Standardisierung Rechtssysteme in Europa sowie in anderen Teilen der Welt justieren unterschiedlich zwischen „Freiheit“ und „Sicherheit“. Anpassungen der regulatorischen Vorgaben sind bereits im Gange, etwa zur Frage des Eigentums an im Auto entstehenden Daten. Dies hat Implikationen für die Konfiguration der Hard- und Software, Berechtigungskonzepte, den Zugriff auf Daten im Fahrzeug oder aus dem eigenen Backend des Herstellers. Die zentralen Fragen lauten: Wie weit reicht das Recht der Selbstbestimmung des Fahrers gegenüber dem Interesse der Gemeinschaft an Verkehrsdaten zur Gesamtoptimierung des Systems über eine Plattform? Welche Daten darf (oder muss?) der Einzelne für nutzungs- und verhaltensabhängige Verträge wie Versicherungen freiwillig preisgeben, ohne am Ende durch kommerziellen Druck (oder Marktmacht?) zur teilweisen oder gänzlichen Aufgabe der informationellen Selbstbestimmung als Autofahrer gezwungen zu werden? Im deutschen IT-Sicherheitsgesetz ist Automobilbau keine genannte „kritische Infrastruktur“. Doch welche Cyber-Vorfälle müssen zukünftig gemeldet werden und von wem? Wie ist bei vollautomatisierten Assistenzsystemen die Haftung geregelt, wenn doch ein Unfall passiert? Erzeugen Videokameras im Auto zugelassene Beweismittel? Wann greift die Produkthaftung des Herstellers oder seines Zulieferers, wenn die Software im Auto zum Fehlverhalten der Systeme – nicht des Menschen – führt? Diese Rahmenbedingungen sind zumindest bei globaler Betrachtung nicht einheitlich geregelt und unterliegen einer eigenen Dynamik. Deutet man Sicherheit auch als Rechtssicherheit oder Berechenbarkeit von Compliance-Risiken, ist auch dies eine wichtige Frage der Sicherheit im vernetzten Auto. In einer Ende-zu-Ende-Betrachtung werden diese Fragen bereits in der Produktentwicklung, in der Konzeption von Marktstrategien in Ländern oder Regionen und mit Konsequenzen für Produktmerkmale und angebotenen (digitalen) Services analysiert. Für die Standardisierungsfähigkeit entstehen hierdurch allerdings potenzielle Begrenzungen mit entsprechenden Kosten. Implikationen für Ende-zu-Ende-Sicherheit Ende-zu-Ende-Sicherheit für das vernetzte Fahrzeug erfordert Ende-zu-Ende-Konzepte. Unabhängig vom Produkt ist deren Implementierung bereits eine immense organisatorische Leistung für jedes große, stark arbeitsteilig und nach Produktgruppen organisierte Unternehmen. Jeder Bereich hat eine Abbildung: Informationssicherheit & Datenschutz werden Teil der Wertschöpfung. Die Konvergenz erzeugt Cyber-Risiken und erfordern E2E-Lösungskonzepte. Menschen Organisation & Prozesse Technologien & Tools Verhalten & Endgeräte “Bewusstsein schaffen, Verhalten erzielen” Abschreckung Office-Systeme, Netzwerke “Sichere IT” Produktionssysteme Embedded Systems “Sichere Produktion & Services” “Sichere Produktion & Services” Minderung der Motivation /Einsicht & Erkenntnis Prävention Minimierung von Verwundbarkeiten Erkennung Logging, Monitoring & Resolution von Anomalien Reaktion Strukturierte Verteidigungsmaßnahmen Konvergenz: Connected Car, Cloud, Augmented Reality… Quelle: Detecon 24 Detecon Management Report dmr • Special Automotive 2015 a ndere Sicht auf Daten und Kritikalität und interpretiert deshalb den Schutzbedarf anders. Daten kennen allerdings keine Grenzen zwischen Legaleinheiten, Budgets und Organisationen, sie beachten keine internen Zuständigkeiten. Die Qualität des Gesamtproduktes wird zukünftig noch stärker vom gesamten Unternehmen, nicht von einzelnen Bereichen, bestimmt. Kooperation und Offenheit statt „Silos“ sind gefragt. Auch die Reaktionsfähigkeit über die gesamte Wertschöpfungskette ist relevant: Wissen um Sicherheitslücken ist besonders zeitkritisch – und potenziell imageschädlich wie eine Rückrufaktion. Die Daten Ende-zu-Ende zu betrachten bedeutet, vom Programmierer des 3rd Tier Zulieferers über die Lieferkette bis zum einzelnen Steuergerät im Fahrzeug zu denken – vor, während und nach der Produktion, besonders auch im späteren Betrieb. Für den späteren Betrieb des Fahrzeugs kann eine Art „Incident Response-Plan“ hilfreich sein. Dieser beschreibt den Patch- und Update-Prozess für Software im Fahrzeug und definiert ihn in Geschwindigkeit, Qualität und Kosten – wenn auch nicht im Stile einer CERT-Organisation (Computer Emergency Response Team für Bundesbehörden) oder einem Security Operations Center (SOC), wie es derzeit in der klassischen IT üblich ist. Erkenntnisse über Angriffe, Schemata und konkrete Verwundbarkeiten von Protokollen oder Funkstandards sind immer ein wichtiger Beitrag, um die Sicherheit für Fahrzeug und Fahrer auf digitaler Ebene den aktuellen Bedrohungen anzupassen. Und nicht nur die Automobilindustrie muss umdenken: Es gilt, von dem Paradigma des „Closed Shop“, beispielsweise bei IT-Plattformen für digital gestützte Dienste, hin zur Vorteilhaftigkeit des gegenseitigen Lernens in Fragen der „Sicherheit“ zu kommen. Die Nutzung der vorhandenen Lernkurve im Cyber War ist eine Form der Anwendung des Ende-zu-Ende-Gedankens für Safety & Security im vernetzten Auto. Sie zeigt die Konvergenz der „embedded IT“ im Auto mit der „klassischen IT“ (siehe Abbildung). Das Fahrzeug als Frontend Das Fahrzeug als „Frontend“ ist eine komplexe Einheit aus mehreren Endgeräten, die es abzusichern gilt. Je restriktiver man hier vorgeht, umso unkomfortabler wird das „Handling“ für den Kunden. Aus diesem Grund ist ein mehrstufiges Update-Konzept denkbar, in der nach Kritikalität abgestuft wird. Diese sollte auch im laufenden Betrieb immer wieder neu bewertet werden: > Sicherheitskritische Updates werden nur in der Werkstatt in einer sicheren IT-Umgebung über ein Kabel eingespielt, die übertragenen Daten sind verschlüsselt, Sender und Empfänger müssen sich mehrstufig authentifizieren, asymmetrische Verfahren und eine aktuelle Bittiefe der Verschlüsselung sind dringend zu empfehlen – trotz der Auswirkung auf die Rechenleistung der betroffenen Komponenten und der Konsequenzen hinsichtlich Kosten, Gewicht und Einkauf. > Weniger sicherheitskritische Updates können auch über eine verschlüsselte und abgesicherte „Wireless“-Verbindung aufgespielt werden. Die Daten sollten verschlüsselt sein, eine einstufige Authentifizierung ist ausreichend. > Content-Updates können auch über eine ungesicherte „Wireless“-Verbindung eingespielt werden, der Content muss nicht zwingend verschlüsselt sein. Eine einfache Authentifizierung ist ausreichend. Aus Erfahrung ist zu empfehlen, öffentliche Schlüssel zu signieren. Das Risiko bei einer Public-Key-Infrastruktur kann sein, dass Verwaltung und Einsatz von Schlüsseln mit wachsender Anzahl unflexibel werden und zu Übergangslösungen führen, deren Verwaltung mit der Zeit aufwändiger wird als die konsequente Umsetzung von Schlüsselsignaturen und einer PublicKey-Infrastruktur. Denn das Auto wird zu einem der komplexesten Endgeräte auf dem Markt – bereits heute sind 50-60 Sensoren in den Premium-Modellen verbaut. Es ist abzuwägen, wie viele Risiken der Hersteller „ab Werk“ berücksichtigt und absichert und wie viel Verantwortung für Security und damit zunehmend für Safety auf den Kunden übertragen wird. Ende-zu-Ende-Sicherheit als Differenzierungsmerkmal Im vernetzten Fahrzeug wird das Auto selbst auf die „Hardware“ reduziert, die Wertschöpfung der Zukunft liegt in Software und Services. Damit rückt „Security & Privacy by Design“ in den Mittelpunkt. An Technologie fehlt es nicht. Aber an Konsequenz und zu Ende gedachten Prozessen. Der H ersteller, der als erster erkennt, dass Ende-zu-Ende-Sicherheit ein Differenzierungsmerkmal gegenüber der Konkurrenz ist und dies entsprechend konsequent umsetzt, wird einen nicht zu unterschätzenden Wettbewerbsvorteil für sich verbuchen können. Mark Großer ist Managing Consultant und berät seit über zehn Jahren Kunden zu Coroprate Governance, Risk, Security und Compliance. Der Fokus liegt auf der Industrie, speziell der Automobilbranche, und der Ende-zu-Ende-Sicht auf Chancen und Risiken bei der Umsetzung der digitalen Transformation. Claus Eßmann ist Managing Consultant und Experte für M2M und das Internet der Dinge. Er ist Mitglied des Connected Car Solution Center und berät seit mehr als 15 JahrenUnternehmen in der IT- und Telekommunikationsindustrie zu Innovationsthemen. 25 Detecon Management Report dmr • Special Automotive 2015
© Copyright 2024 ExpyDoc
