IT-Sicherheit für Automotive Ethernet
Hacker müssen draußen bleiben!
Fortsetzung des Artikels von Teil 1
IT-Schutzmaßnahmen für Ethernet im Auto anpassen
Zum Glück existieren bereits einige robuste Schutzmaßnahmen für Ethernet und insbesondere für das IP-Protokoll, welche leicht für eine Nutzung im Automobil angepasst werden könnten. Beispiele hierfür sind unter anderem die Übertragung etablierter Security-Mechanismen aus der klassischen Netzwerksicherheit wie die Transport Layer Security (TLS) oder die Internet Protocol Security (IPsec) für den Einsatz im Fahrzeug.
Jobangebote+ passend zum Thema
Weitere Möglichkeiten ergeben sich über den Einsatz etablierter kryptografischer Verfahren: Zur zuverlässigen Authentifizierung des Kommunikationspartners kommen z.B. effiziente Challenge-Response-Verfahren, digitale Signaturen oder Message Authentication Codes zum Einsatz. Zur Absicherung des Kommunikationskanals wiederum eignen sich beispielsweise symmetrische Verschlüsselung mit dem Industriestandard AES, sogenannte Nonces gegen Wiedereinspielangriffe und kryptografisch sichere Zufallszahlengeneratoren. Darüber hinaus wird zur Zugriffskontrolle, Kommunikationsüberwachung sowie zur Eindämmung und Abwehr möglicher Eingriffe die Integration von Firewalls und sogenannter Intrusion Detection & Response Systems (z.B. im zentralen Gateway) spätestens mit der Einführung von Ethernet im Fahrzeug dringender denn je. Eine Anpassung der erwähnten Schutzmaßnahmen für ihren zuverlässigen Dauereinsatz im Fahrzeug ist allerdings meist unumgänglich. Dabei müssen jedoch die im Vergleich zu modernen Desktop-PCs nur begrenzt verfügbaren IT-Ressourcen im Fahrzeug beachtet werden. Geringer Speicherplatz und eingeschränkte Prozessorleistung erfordern in der Regel besonders effiziente Umsetzungen und risikogerechte Verkürzungen (z.B. eine an die individuelle Bedrohung angepasste Schlüssellänge). Weitere Faktoren, welche die direkte Übertragung existierender Ethernet-Schutzmaßnahmen aus der PC-Welt in den Fahrzeugbereich zumindest erschweren, sind unter anderem die beschränkte Möglichkeit für (Security) Updates und Benutzerinteraktionen, der vergleichsweise lange Produktlebenszyklus eines Autos und die generelle Herausforderung, dass – wie bei nahezu allen Embedded-Geräten – ein möglicher Angreifer in der Regel die volle physische Kontrolle über das zu schützende Fahrzeug verfügt. Außerdem dürfen durch die zusätzlichen IT-Schutzmaßnahmen keine Safety-Anforderungen (z.B. die Echtzeitfähigkeit) beeinträchtigt werden. Daher sollten alle verwendeten kryptografischen Software-Module über entsprechende Security- und Safety-Zertifizierungen z.B. nach ISO 15408 (Security) oder ISO 26262 (Safety) verfügen, um die Risiken kritischer Sicherheitslücken und Fehlfunktionen zu minimieren. Leider reicht es auch nicht, allein den Ethernet-Kommunikationskanal abzusichern.
Im Zuge einer ganzheitlichen Sicherheitsarchitektur müssen auch alle Kommunikationsendpunkte, das heißt die Steuergeräte, Sensoren und Aktuatoren selbst, im Fahrzeug ausreichend gegen Manipulationen abgesichert werden. Nur so kann vermieden werden, dass ein bereits kompromittiertes oder ein unbefugt eingebrachtes Steuergerät den abgesicherten Ethernet-Kanal missbraucht. Auch zur Absicherung der Steuergeräte selbst gibt es bereits einige effektive Sicherheitsmaßnahmen, die auf den Einsatz im Fahrzeug zugeschnitten sind. Zu nennen ist hier in erster Linie die Verwendung von Hardware-Security-Bausteinen wie SHE (Secure Hardware Extension) oder HSM (Hardware Security Module), welche sicherheitskritische Operationen und Speicher in besonders geschützte Hardware-Bereiche auslagern. Aber auch Software-Security-Bausteine zur Absicherung des Flash-Prozesses (z.B. über eine gültige digitale Signatur des OEM), welches die Echtzeit und Vertraulichkeit der Original-Firmware sicherstellt, oder das Secure-Boot-Verfahren, womit die Echtheit und Integrität der Plattform bei jedem Start überprüft wird, können die IT-Sicherheit von Steuergeräten erheblich steigern. Die notwendigen Security-Prozesse und organisatorischen Maßnahmen wie Security Auditing, Risikobeurteilungen und systematisches Security Engineering helfen Sicherheitsrisiken über den gesamten Produktlebenszyklus zu identifizieren, richtig einzuschätzen und gegebenenfalls effektiv zu beseitigen.
Ein globaler Mindestschutz für Automotive Ethernet?
Bleibt noch eine wichtige Anmerkung zum Thema Standardisierung. Da ein Mindestmaß an IT-Sicherheit kein dezidiertes Wettbewerbsmerkmal, sondern ein gemeinsames Interesse aller Fahrzeughersteller sein sollte, bietet sich die Standardisierung eines automobilen Ethernet-Security-Grundschutzes an. Auf diese Weise kann – ähnlich wie durch die Standards zum Schutz der Fahrsicherheit – ein weltweiter Mindestschutz definiert werden, der die Kompatibilität verschiedener Sicherheitslösungen gewährleistet und die Kosten für Hersteller und Kunden reduziert.
Idealerweise könnte ein solcher Ethernet-Security-Standard analog zur Norm ISO 26262 über ein globales Konsortium von Automobilherstellern und Zulieferern im Rahmen einer internationalen ISO-Arbeitsgruppe entwickelt werden. Aufgabe dieser Arbeitsgruppe wäre es unter anderem, die notwendigen Security-Mindestanforderungen an aktuelle und zukünftige Ethernet-Anwendungen aus dem Automobilbereich zu identifizieren und insbesondere für die ISO/OSI-Schichten 2 bis 4 geeignete Schutzmaßnahmen zu spezifizieren. Dabei muss das Rad nicht völlig neu erfunden werden, sondern es können, wie zuvor schon erwähnt, bereits vorhandene Lösungen aus der klassischen Netzwerksicherheit oder aus anderen Branchen und Anwendungsfeldern (z.B. Industrial Ethernet aus der Automatisierungstechnik oder ADFX aus der Luftfahrtindustrie) geprüft, falls notwendig adaptiert und sinnvoll integriert werden. Neben einer regelmäßigen Sicherheitsüberprüfung durch unabhängige Dritte werden wahrscheinlich der Parallelbetrieb mit bereits existierenden Bussystemen sowie die enge Anbindung an andere automobile Schutzmaßnahmen (Stichpunkte: Hardware Security, Steuergerätesicherheit) die wesentlichen Herausforderungen darstellen. Mit der Einführung eines geeigneten Ethernet-Security-Ansatzes besteht die einmalige Chance, eine ganzheitliche Sicherheitslösung für das gesamte Fahrzeugnetzwerk einschließlich der oberen Schichten des ISO/OSI-Modells zu etablieren, wie sie für aktuelle CAN-, MOST- oder FlexRay-Netzwerke kaum möglich sind. Es bleibt zu hoffen, dass diese einmalige Chance genutzt wird und die Automobilindustrie die negativen Erfahrungen aus der PC-Welt der 90er Jahre, als die zunehmende Vernetzung von weitgehend ungeschützten Computern Hackern weltweit Tür und Tor öffnete, von vornherein vermieden wird.
Literatur
[1] S. Checkoway et al.: Comprehensive Experimental Analyses of Automotive Attack Surfaces. USENIX Security 2011 oder A. Green: Hackers Reveal Nasty New Car Attacks – With Me Behind The Wheel“, Forbes 2013.
Der Autor
| Dr. Marko Wolf |
|---|
| ist langjähriger Experte für Embedded Systems Security und CTO bei Escrypt. Er beschäftigt sich seit über zehn Jahren mit der Informationssicherheit und dem Datenschutz von Embedded Systems, insbesondere im Bereich Automobil. Wolf hat Elektrotechnik und Informatik an der Ruhr-Universität Bochum sowie an der Purdue University, Indiana/USA, studiert. Er promovierte im Anschluss in den Bereichen „Trusted Computing“ und „Automotive Security Engineering“. |
- Hacker müssen draußen bleiben!
- IT-Schutzmaßnahmen für Ethernet im Auto anpassen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Ethernet im Auto
Standards, Konsortien und Produkte
Bosch Motorpressekolloquium 2015
Automatisiertes, elektrisches und vernetztes Fahren im Mittelpunkt
Göpel electronic
Medienkonverter für BroadR-Reach
Molex
Mini50-Steckverbinder für Automotive Ethernet
Automotive Ethernet Congress 2015
Großer Andrang bei der Premiere
