Am 27.09 und 28.09 hat der VDI eine Fachtagung zum Thema Automotive Security veranstaltet. Hinter dem Begriff Automotive Security versteckt sich dabei die Informationssicherheit innerhalb des Autos sowie der verbauten Schnittstellen nach außen. Nicht betrachtet werden der Datentransport zu und die Verarbeitung auf Backend-Systemen der Hersteller.
Durch die Vorträge hat sich gezeigt, dass auch im Automotive-Bereich bekannte Probleme der Informationssicherheit gelöst werden müssen. Auch hier werden Sicherheitsanforderungen abgeleitet und Risikoanalysen durchgeführt oder kritische Netzwerkkomponenten, z.B. die in Autos üblichen CAN-Bus-Systeme, abgesichert. Außerdem beginnt durch die ISO 21434 gerade die Normierung der Cybersecurity im Auto.
In Form von Intrusion Detection Systemen (IDS) und Security Information and Event-Management (SIEM) fanden sich auch bekannte Schutzmaßnahmen der klassischen Informationssicherheit in den Vorträgen wieder. Hier wird es sicherlich spannend, ob die Probleme dieser Systeme hinsichtlich des notwendigen Know-Hows zum effektiven Betrieb bzw. der geeigneten Korrelation von Datenströmen für den Anwendungsbereich Autos gelöst werden können. Für beide Maßnahmen wurde insbesondere vorgeschlagen, dass diese nicht für einzelne Autos, sondern über eine Flotte von Autos, z.B. eines Herstellers, betrieben werden sollten. Hierdurch sollen aufgetretene Angriffe dann zuverlässig in allen Autos erkannt bzw. Angriffsmuster über mehrere Autos verfolgt werden.
Besonderheiten der Automotive Security
Ein wiederkehrendes Thema waren die besonderen Anforderungen der Automotive Security:
- neben Informationssicherheit müssen insbesondere Safety-Maßnahmen, also der Schutz von Leib und Leben der Insassen und Teilnehmer des Straßenverkehrs, berücksichtigt werden
- ein Auto hat eine hohe durchschnittliche Lebenszeit von 15-20 Jahren
- die Hersteller stehen unter hohem Kostendruck
- für Sicherheitsmaßnahmen innerhalb des Autos stehen häufig nur begrenzte Rechenleistung, Speicherplatz und Bandbreite zur Verfügung
- Beim Versand von Daten an die Hersteller zur weiteren Verarbeitung, auch Connected Cars genannt, muss neben der begrenzten Bandbreite auch die Verfügbarkeit der Datenverbindung berücksichtigt werden zusätzlich bedeutet dieses natürlich auch zusätzliche Angriffsvektoren und Sicherheitsrisiken, die bei der Absicherung berücksichtigt werden müssen
Ist die Automotive Security denn tatsächlich so besonders im Vergleichen zur restliche Informationssicherheit? Hier lässt sich ein Vergleich mit kritischen Infrastrukturen ziehen, denn diese wurden gerade durch das IT-Sicherheitsgesetz zur Umsetzung von Informationssicherheit verpflichtet. Gleichzeitig werden auch hier Anlagen über längere Zeiträume (>10 Jahre) betrieben und Informationssicherheit wurde bei der Auslegung der Anlage häufig (noch) nicht berücksichtigt. Daher werden auch dort unsichere Technologien eingesetzt, die nachträglich abgesichert werden müssen. Aber genau wie bei der Automotive Security gibt es bei den verbauten Systemen kaum Performancereserven, die die nachträgliche Umsetzung von Informationssicherheit ermöglichen; wenn Informationssicherheit überhaupt nachträglich eingebaut werden kann.
Um trotzdem die Sicherheit zu gewährleisteten, setzen die Betreiber kritischer Infrastrukturen auf segmentierte Systeme in den Anlagen und die Vermeidung von Schnittstellen an das Internet. Bei neueren Anlagen werden zudem langsam aber sicher typische Sicherheitsmaßnahmen wie regelmäßige Updates, Verschlüsselung und Benutzerverwaltungen berücksichtigt.
Während kritische Infrastrukturen ihrer Anlage nicht mit dem Internet vernetzten, setzten die Automobil-Hersteller im stärker auf „Connected Cars“. Da Autofahrer zudem immer mehr Features in Verbindung mit „Connected Cars“ erwarten, ist der Verzicht auf diese Technologie auch keine Lösung mehr. Aber der Ansatz der segmentierten IT-Systeme kann dagegen sehr wohl auch im Auto umgesetzt werden. Erste Ansätze dazu wurden auch schon in Vorträgen auf der Fachtagung vorgestellt, allerdings haben sich diese auf Softwarelösungen beschränkt. Vielversprechender wäre dagegen die strikte physische Trennung von kritischen und unkritischen Systemen. Für kritische Systeme sollten, wenn überhaupt nur sendende Schnittstellen mit dem Internet erlaubt werden.
Stellenwert der Informationssicherheit muss ich ändern
Beim „Connected Car“ wird zudem ein weiteres Problem mit dem Stellenwert der Informationssicherheit sichtbar. Denn bei der Vernetzung von IT-Systemen sollten Informationssicherheitsaspekte schon beim Design und der Implementierung der geplanten Funktion berücksichtigt werden. Ansonsten müssen Sicherheitsrisiken und Angriffsmöglichkeiten im Nachhinein mit hohen Aufwänden behoben werden. Hier sind nicht die Informationssicherheit und die notwendigen Maßnahmen per se das Problem, sondern die Frage, wie und wann die Maßnahmen in der Entwicklung eingebracht werden. Sie können als zusätzliche Kosten gesehen werden, die die Bereitstellung einer bereits fertigen Technologie verhindern, oder als Enabler, durch deren Umsetzung eine Technologie erst möglich wird, für die sonst nur ein unsicherer Betrieb möglich gewesen wäre.
Dies ist aber sicherlich kein spezielles Problem der Automobil-Branche, sondern ein allgemeines Problem, dass noch solange weiter existieren wird, bis Informationssicherheit mehr als nur ein Lippenbekenntnis ist. Denn für ein Unternehmen das die Einhaltung von Informationssicherheitsanforderungen wirklich lebt, sollte eine Technologie erst fertig sein, wenn die entsprechend notwendigen Sicherheitsmaßnahmen auch umgesetzt sind. Insbesondere wird dann natürlich auch eine kontinuierliche Weiterentwicklung der getroffenen Maßnahmen notwendig sein, da sowohl der technische Fortschritt als auch die Angreifer nicht schlafen.