IT-Sicherheit in Fahrzeugnetzwerken
Offene Netze schützen
Fortsetzung des Artikels von Teil 2
Bausteine für sichere Ethernet-basierte Fahrzeugnetzwerke
Im Sinne einer gesamtheitlichen Sicherheitsarchitektur ist daher ein mehrschichtiger Ansatz („Defense in Depth“) erforderlich. Das bedeutet, dass verschiedene Schutzmaßnahmen implementiert werden, welche auf unterschiedlichen Ebenen unabhängig voneinander greifen, sodass bei Kompromittierung einer Schutzmaßnahme die verbleibenden Maßnahmen weiterhin aktiv sind.
Auf Ebene der Gerätesicherheit umfasst dies den Schutz des einzelnen Steuergeräts, insbesondere der Inte¬grität von dessen Funktionen und Daten gegen Manipulationen. Dafür bieten sich beispielsweise das Secure-Boot-Verfahren sowie Integritätschecks zur Laufzeit an sowie auch die Verwendung etablierter kryptografischer Verfahren und die sichere Ablage und Verarbeitung des entsprechenden Schlüsselmaterials. Dies kann mittels Hardware-basierter Mechanismen realisiert werden – beispielsweise mit einem HSM- oder SHE-Modul (Secure Hardware Extension). Insbesondere gilt es, die Wirksamkeit der Schutzmechanismen auch während der Aufstartzeit sowie das Wake-up- und Reset-Verhalten zu berücksichtigen.
Innerhalb des Fahrzeugnetzwerks müssen sowohl die Netzwerkelemente und Ethernet-basierten Steuergeräte als auch die Kommunikation selbst (hinsichtlich Integrität und Authentizität) abgesichert werden. Beispiele für mögliche Schutzmaßnahmen umfassen hierbei die Authentisierung der Netzwerkteilnehmer mittels IEEE 802.1X oder auch zusätzlich die Verschlüsselung mittels IEEE 802.1AE bzw. MacSec, TLS, Segmentierung des Netzwerks mittels VLANs, MAC Filtering, Switch-Port Security, den Einsatz gehärteter Netzwerk-Stacks, Priority Handling und QoS-Mechanismen, Paketfilterung oder Intrusion-Detection-Systeme. Besonderes Augenmerk sollte hierbei auf dem Übergang in höhere Protokollschichten und mögliche Medienbrüche gelegt werden – etwa zwischen Ethernet und IEEE 1722/AVB oder TCP/IP und SOME/IP, Service Discovery, Netzwerk-Management und PDU-basierter Kommunikation.
Architekturseitig bietet sich vor allem die Separierung des Fahrzeugnetzwerks in verschiedene Sicherheits-Domänen, also der Gruppierung von Steuergeräten in Abhängigkeit von deren Schutzbedarf, an. Die Isolation und Absicherung dieser Domänen erfolgt durch Security Gateways, welche die Kommunikation zwischen den Domänen anhand einer vordefinierten Sicherheits-Policy überwachen und gegebenenfalls einschränken. Abhängig von der konkreten Hardware-Auslegung kann dafür beispielsweise ein minimalistischer Separation Kernel als Basis zum Einsatz kommen, welcher die Angriffsfläche auf ein solches Gateway minimiert.
Hinsichtlich der Fahrzeugvernetzung betreffen mögliche Schutzmaßnahmen vor allem die Absicherung von nach außen exponierten Schnittstellen sowie die Filterung jeglicher Kommunikation vom bzw. in das Fahrzeugnetzwerk. Diese beinhalten primär Perimeter-Security-Maßnahmen wie beispielsweise Firewalling mittels Paketfilter und gegebenenfalls Application-Level Gateways und Intrusion-Detection-Mechanismen unter Berücksichtigung Automotive-spezifischer Anwendungen, wie vernetzte Fahrzeugdienste, Remote-Diagnose oder Remote Update.
Bewährter Schutz und bekannte Schwachstellen
Aufgrund der sich ändernden Anforderungen hinsichtlich Bandbreite, Flexibilität und Skalierbarkeit wird der Einsatz von Ethernet in Automotive-Netzwerken zur Vorbedingung für die nächste Vernetzungsstufe. Dies betrifft die Kommunikation über Systemgrenzen hinweg und umfasst die domänenübergreifende Kommunikation innerhalb des Fahrzeugnetzwerks unter Überwindung von Medienbrüchen und Systemgrenzen sowie auch die Kommunikation mit der Fahrzeug-Außenwelt.
Aus Sicherheitssicht ist dies ein zweischneidiges Schwert: Einerseits ermöglicht die Verwendung von Ethernet, dass Sicherheit geschaffen wird, beispielsweise durch Einsatz von bewährten Sicherheitsmechanismen, hohe Datenraten und Flexibilität. Andererseits benötigt Ethernet aber auch Sicherheit, denn es existiert eine Vielzahl von Schwachstellen. Viele Angriffe sind bekannt und entsprechende Tools einfach zugänglich. Darüber hinaus ist Ethernet – und somit auch das Wissen darüber – in der IT-Welt weit verbreitet, sodass die Angriffsfläche geöffnet und insbesondere für Angreifer aus dem IT-Umfeld erweitert wird. Die konsequente und durchgängige Anwendung von Absicherungsmaßnahmen bleibt daher unerlässlich und erfordert zugleich eine kontinuierliche Anpassung auf den aktuellen, also Automotive-spezifischen Anwendungskontext.
Der Autor
Jobangebote+ passend zum Thema
| Ing. Martin Brunner, M.Sc. |
|---|
absolvierte die HTL für Telekommunikation und Computertechnik in Klagenfurt, studierte IT-Sicherheit an der Fachhochschule Hagenberg und im Anschluss Informatik an der FernUniversität in Hagen. Aktuell beschäftigt er sich als Principal für Embedded Security bei Secunet mit Automotive Penetration Tests sowie mit Themen im Umfeld der Fahrzeugvernetzung, Bordnetzsicherheit und der Absicherung von Steuergeräten. |
- Offene Netze schützen
- Wann ist ein Fahrzeugnetzwerk sicher (genug)?
- Bausteine für sichere Ethernet-basierte Fahrzeugnetzwerke
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Komplett von A bis Z
Ethernet im Fahrzeug
Vector Informatik
Sicherheit durch nach ASIL D zertifizierte AUTOSAR-Basis-Software
Automatisierte Tools und MISRA C
Software-Security garantieren
Codierungsstandard
14 neue MISRA-C-Regeln
Safety-/Security-Software-Architekturen
Alles sicher?
Ergänzung erforderlich
Normative Anpassung der ISO 26262 aufgrund des autonomen Fahrens
