Connected-Car
Embedded SIEM - damit der Hacker nicht das Auto lenkt
Seit einem Vortrag auf der Hackerkonferenz Black Hat im August 2015 bereitet Automobil-Konzern Managern rund um den Globus ein Thema Kopfzerbrechen: Wie schütze ich die etwa 100 elektronischen Steuereinheiten (ECUs) im Auto vor unberechtigten Fernzugriffen?
Die beiden Hacker Chris Valasek und Charlie Miller hatten sich auf der Konferenz in Las Vegas Zugriff auf einen Jeep Cherokee mit Hilfe des Uconnect-Systems verschafft, das Navigation und Musikmedien steuert. Über die IP-Adresse schafften sie es, den Jeep erfolgreich zu hacken und konnten ihm Befehle aus der Ferne geben. Aus einem autonom fahrenden Auto wurde so ein ferngesteuertes Sicherheitsrisiko für alle Insassen. Nicht auszudenken, was mit den vielen Sensoren und Kommunikationsschnittstellen in modernen Modellen noch alles möglich ist. Die Frage lässt sich aber auch in die andere Richtung denken, denn was ist, wenn das Auto zum Einfallstor zur Unternehmens-IT wird?
Internet der Dinge und Big Data
Es ist nicht nur der Spam-verschickende Kühlschrank oder die Kaffeemaschine mit IP-Adresse, die für das Office-IT-Netzwerk gefährlich werden kann, sondern auch das Auto. Sind Mitarbeiter viel unterwegs, loggen sie sich von den unterschiedlichsten Orten aus ins Firmennetzwerk ein, einer dieser Orte ist durchaus auch das eigene Auto oder der Firmenwagen. Denkbar wäre es, wenn sich Dritte in das Fahrzeug hacken und die aufgebaute Kommunikation zwischen Mitarbeiter und Unternehmen für einen Zugriff auf das Office-IT-Netzwerk nutzen. Nicht erst seit dem „Jeep-Hack“ muss deshalb Sicherheit in die einzelnen Fahrzeugkomponenten eingebaut werden. Die Implementierung von IT-Sicherheit in bestehende Produktionszyklen ist jedoch aufwendig. Besser wäre es einen Ansatz zu wählen, der die entsprechenden Maßnahmen bereits vor der Produktion „embedded“, also integriert. Doch damit droht den Administratoren eine noch größere Datenflut, denn auch die Sicherheitssysteme liefern Metadaten die wiederum erfasst und ausgewertet werden müssen. Hier muss eine Lösung her, die Daten sammelt, korreliert und auswertet, so dass sich die Ergebnisse in konkrete Maßnahmen umwandeln lassen. Alle Vorgänge im Netzwerk müssen an zentraler Stelle eingesehen werden können, um Zugriffe von unbekannten IP-Adressen zu entdecken und möglichen Angreifern zuvor zu kommen.
Verwaltungsaufwand reduziert mit intelligenter Log-Analyse Software
Damit es nicht dazu kommt, lohnt es sich einen Blick auf Lösungen zu werfen, mit denen sich diese Datenmengen auswerten lassen. Voraussetzung dafür ist zunächst eine Zentralisierung der IT-Infrastruktur. Ist das angestrebte Ziel eine granulare Analyse aller sicherheitsrelevanten oder produktionsgefährdenden Informationen, gibt es eigentlich nur einen Lösungsansatz, der kosteneffizient und ressourcenschonend ist: Security Information und Event Management (SIEM). Doch wie senkt eine solche Lösung die Komplexität in einem System, das aus unzähligen Quellen Daten generiert? Alle IT-Systeme erzeugen Logs, die von einer SIEM-Software gesammelt, korreliert und ausgewertet werden können. Dies sorgt auch für mehr Transparenz über die im Einsatz befindlichen Anwendungen und IT-Systeme. Allerdings gelingt das nur, wenn die SIEM-Lösung sich einfach in die IT-Infrastruktur integrieren lässt und über die nötigen Schnittstellen verfügt. Wichtige Logs werden von Windows-Systemen wie dem Domain Controller, der Active Directory, Microsoft sowie Linux Servern etc. kreiert. Für die transparente Analyse sind aber auch Informationen aus der Firewall, dem Proxy, dem Mail-Relay, Netzwerk-Appliances, Routern und Switches und für die Produktion besonders wichtig: aus den ERP-Systemen wie SAP. Je nach Unternehmen und IT-Infrastruktur können das schnell mehr als 100 Log-Quellen sein. Vor allem der letzte Punkt ist für viele Unternehmen kritisch. SAP-Systeme sind vielfach im Einsatz und nur bei einer gelungenen SAP-Integration der Schnittstelle lassen sich die erhofften Effekte erzielen.
- Embedded SIEM - damit der Hacker nicht das Auto lenkt
- Automatisierte Alarme bei Schwellwert-Überschreitungen
Lesen Sie mehr zum Thema
