Risiko-orientierte Methodik Praxis-Erfahrungen zur Anwendung von Cyber Security

Bewährtes Verfahren zum Thema Automotive Cyber Security.
Bewährtes Verfahren zum Thema Automotive Cyber Security.

Die zunehmende Komplexität von Systemen weit über das Fahrzeug hinaus und offene Schnittstellen erfordern konsequentes Risikomanagement, durchgängige Qualitätssicherung und einen systematischen Entwicklungsprozess. Daher hat Vector Verfahren zum Thema „Automotive Cyber Security“ zusammengefasst.

Cyber Security ist in allen Unternehmen als wesentliche Herausforderung angekommen.“ So fasst Dr. Thomas Beck, Geschäftsführer der Vector Informatik, seine Erfahrungen mit Unternehmen weltweit zusammen. Als die Vector-Gruppe in 2007 im Rahmen einer VDI-Veranstaltung in Baden-Baden erstmals auf die wachsende Relevanz gerade im Zusammenhang mit funktionaler Sicherheit mit einem Praxisbeitrag hinwies und eigene Lösungen vorstellte, waren viele Unternehmen der Meinung, dass Security bereits ausreichend beherrscht wird. Diese Einstellung hat sich komplett gewandelt, wie auch das Vector-Symposium 2016 kürzlich zeigte.

Es gibt keine absolute Sicherheit

Absolute Sicherheit wird es nicht geben, weil jedes komplexe System Fehler hat. Jedes Unternehmen muss für seine Produkte, Prozesse und Lieferkette ein risiko-orientiertes Cyber Security Management aufstellen, das über den gesamten Lebenszyklus und die ganze Lieferkette verlässlich und nachvollziehbar funktioniert. Erfahrungen bei Vector zeigen, dass sich Security häufig auf organisch gewachsene Einzelmaßnahmen wie Verschlüsselung beschränken. Kryptolösungen, Key Management, Code-Analyse, Fuzz Testing und Firewalls sind zwar notwendig, aber sie bringen nicht viel, wenn Einfallstore bewusst oder unbewusst offen bleiben. Über 90 Prozent aller sicherheitsrelevanten Störungen gehen nach den Erfahrungen von Vector und Umfragen bei Kunden auf menschliche Fehler zurück.

Abhilfe schafft eine Risiko-orientierte Kultur, in der funktionsübergreifend Security spezifiziert, entwickelt und durchgängig verifiziert und validiert wird. Bild 1 zeigt diese Wertschöpfungskette und betont insbesondere auch die Gefahren von innen und außen. Es wäre naiv anzunehmen, dass Angriffe nur von außen erfolgen. Verwundbarkeiten entstehen durch nachlässige Entwicklungsprozesse, unsystematische Freigaben, aber auch gezielt durch bewusste Fehler wie „Hintereingänge“ und „Master-Codes“. Unternehmen müssen die gesamte Lieferkette absichern und dabei auch immer wieder die Perspektive wechseln. Es braucht die Fähigkeit, wie ein Angreifer zu denken, um darauf aufbauend präventiv als Ingenieur oder Führungskraft zu handeln. Diese Absicherung muss immer funktionieren, vor allem auch bei kurzfristigen Änderungen kurz vor Liefertermin oder bei Regressionen in Varianten eines Produkts Jahre nach der ursprünglichen Freigabe.

Ganzheitlicher Ansatz

Cyber Security ist branchenübergreifend ein hohes Geschäftsrisiko geworden, weil es keinen absoluten Schutz gegen Hacker und Missbrauch gibt. Lorenz Slansky von Daimler unterstreicht, dass Cyber Security zunehmend wichtig für eine Marke ist und demzufolge einen Wettbewerbsvorteil darstellt. Bei kritischen Systemen wie im Fahrzeug besitzt die Informationssicherheit eine hohe Relevanz und darf nicht durch eine eingeschränkte Benutzbarkeit kompromittiert werden. Kernpunkte bei der Entwicklung von Schutzsystemen sind die richtige Identifizierung von Sicherheitsanforderungen, die systematische Realisierung von Sicherheitsfunktionen und eine Sicherheitsüberprüfung mit dem Ziel des durchgängigen Nachweises, dass alle relevanten Sicherheitsanforderungen erfüllt sind. Security-Richtlinien wie SAE J3061 helfen dabei, von anderen Branchen zu lernen und wesentliche Aspekte schnell umzusetzen. Lorenz Slansky weiß, dass proprietäre Lösungen häufig nur vermeintliche Sicherheit vorgaukeln, und stellt klar: „Security by Obscurity hindert Hacker nicht, aber verzögert gute Lösungen.“ Dr. Christian Meineck von Porsche ergänzt: „Security-Konzepte müssen das Fahrzeug und die IT-Netze im und außerhalb des Fahrzeugs betrachten.“

 

Bild 2 zeigt einen Ausschnitt von Angriffsszenarien, wie sie bei Herstellern evaluiert werden. Die Zeiten einzelner funktionaler Einheiten sind vorbei; das komplexe System Fahrzeug braucht Lösungen, wie sie heute in komplexen IT-Systemen bereits gelebt werden, beispielsweise ständige Software Upgrades – in kürzester Zeit und natürlich „Over the Air“ (OTA). Mit Standards kann man rasch von der IT lernen und verhindern, dass Fehler und Fehlentwicklungen in jeder Branche aufs Neue wiederholt werden.

Durch den hohen Grad der Vernetzung von Funktionen im Fahrzeug untereinander und durch zunehmend offene Schnittstellen nach außen ist nicht nur die einzelne Funktion betroffen, sondern auch weitere Systeme, die dem Systemverbund angehören und mit dieser Einzelfunktion interagieren. Das schließt auch nichtelektrische Merkmale mit ein. Beispielsweise könnte durch einen funktionalen Eingriff auf einem Bussystem eine Warnung bei mechanischem Verschleiß nicht mehr funktionieren. Masahiro Goto und Martin Prisching von Denso zeigten hierdurch auf, dass Safety- und Security-Aspekte letztlich gemeinsam betrachtet werden müssen. Dazu wird die Angriffsbaumanalyse (ATA) um die Fehlerbaum-analyse (FTA) ergänzt, um systematisch beide sicherheitskritische Bereiche abzudecken. Klar ist ebenfalls für sie: „Alle Schichten der Security-Architektur sind zur durchgängigen Absicherung nötig, um das bekannte Konzept der Defense in Depth zu erzielen.“

Bild 3 zeigt am Beispiel Cooperative Adaptive Cruise Control (CACC), wie verschiedene Maßnahmen im Signalweg gegen Bedrohungen schützen. Katharina Lohmann von Hella sieht gerade bei Verifikation und Validierung großen Handlungsbedarf. Während Prozess-Rahmen wie SPICE genutzt werden, um proaktiv Fehler im Engineering und in der Wartung zu vermeiden, muss die Fehlerentdeckung flächendeckend gestärkt werden, beispielsweise durch systematische Scans der Software sowie durch neue Testverfahren wie Fuzz Testing und Penetrationstests. Dr. Günther Heling von Vector unterstreicht aus eigener Erfahrung in der Entwicklung und Lieferung modernster Basis-Software, dass hier nur eine automatische