M2M, Automotive
Hacker dürfen nicht an Bord!
Fortsetzung des Artikels von Teil 2
IT-Schutzmaßnahmen für Ethernet im Auto anpassen
Zum Glück existieren bereits einige robuste Schutzmaßnahmen für Ethernet und insbesondere für das IP-Protokoll, welche leicht für eine Nutzung im Automobil angepasst werden könnten. Beispiele hierfür sind unter anderem die Übertragung etablierter Security-Mechanismen aus der klassischen Netzwerksicherheit wie die Transport-Layer-Security (TLS) oder die Internet-Protocol-Security (IPsec) für den Einsatz im Fahrzeug.
Weitere Möglichkeiten ergeben sich über den Einsatz etablierter kryptografischer Verfahren: Zur zuverlässigen Authentifizierung des Kommunikationspartners kommen zum Beispiel effiziente Challenge-Response-Verfahren, digitale Signaturen oder Message-Authentication-Codes zum Einsatz. Zur Absicherung des Kommunikationskanals wiederum eignen sich beispielsweise symmetrische Verschlüsselung mit dem Industriestandard AES, sogenannte Nonces gegen Wiedereinspielangriffe und kryptografisch sichere Zufallszahlengeneratoren. Darüber hinaus wird zur Zugriffskontrolle, Kommunikationsüberwachung sowie zur Eindämmung und Abwehr möglicher Eingriffe die Integration von Firewalls und sogenannter Intrusion-Detection&Response-Systems (zum Beispiel im zentralen Gateway) spätestens mit der Einführung von Ethernet im Fahrzeug dringender denn je.
Eine Anpassung der erwähnten Schutzmaßnahmen für ihren zuverlässigen Dauereinsatz im Fahrzeug ist allerdings meist unumgänglich. Dabei müssen jedoch die im Vergleich zu modernen Desktop-PCs nur begrenzt verfügbaren IT-Ressourcen im Fahrzeug beachtet werden. Geringer Speicherplatz und eingeschränkte Prozessorleistung erfordern in der Regel besonders effiziente Umsetzungen und risikogerechte Verkürzungen - beispielsweise eine an die individuelle Bedrohung angepasste Schlüssellänge. Weitere Faktoren, welche die direkte Übertragung existierender Ethernet-Schutzmaßnahmen aus der PC-Welt in den Fahrzeugbereich zumindest erschweren, sind unter anderem die beschränkte Möglichkeit für (Security-)Updates und Benutzerinteraktionen, der vergleichsweise lange Produktlebenszyklus eines Autos und die generelle Herausforderung, dass – wie bei nahezu allen Embedded-Geräten – ein möglicher Angreifer in der Regel die volle physische Kontrolle über das zu schützende Fahrzeug verfügt. Außerdem dürfen durch die zusätzlichen IT-Schutzmaßnahmen keine Safety-Anforderungen (zum Beispiel die Echtzeitfähigkeit) beeinträchtigt werden. Daher sollten alle verwendeten kryptografischen Software-Module über entsprechende Security- und Safety-Zertifizierungen etwa nach ISO 15408 (Security) oder ISO 26262 (Safety) verfügen, um die Risiken kritischer Sicherheitslücken und Fehlfunktionen zu minimieren.
Leider reicht es auch nicht, allein den Ethernet-Kommunikationskanal abzusichern. Im Zuge einer ganzheitlichen Sicherheitsarchitektur müssen auch alle Kommunikationsendpunkte, das heißt die Steuergeräte, Sensoren und Aktuatoren selbst, im Fahrzeug ausreichend gegen Manipulationen abgesichert werden. Nur so kann vermieden werden, dass ein bereits kompromittiertes oder ein unbefugt eingebrachtes Steuergerät den abgesicherten Ethernet-Kanal missbraucht. Auch zur Absicherung der Steuergeräte selbst gibt es bereits einige effektive Sicherheitsmaßnahmen, die auf den Einsatz im Fahrzeug zugeschnitten sind. Zu nennen ist hier in erster Linie die Verwendung von Hardware-Security-Bausteinen wie SHE (Secure Hardware Extension) oder HSM (Hardware Security Module), welche sicherheitskritische Operationen und Speicher in besonders geschützte Hardware-Bereiche auslagern. Aber auch Software-Security-Bausteine zur Absicherung des Flash-Prozesses (etwa über eine gültige digitale Signatur des OEM), welches die Echtzeit und Vertraulichkeit der Original-Firmware sicherstellt, oder das Secure-Boot-Verfahren, womit die Echtheit und Integrität der Plattform bei jedem Start überprüft wird, können die IT-Sicherheit von Steuergeräten erheblich steigern. Die notwendigen Security-Prozesse und organisatorischen Maßnahmen wie Security-Auditing, Risikobeurteilungen und systematisches Security-Engineering helfen Sicherheitsrisiken über den gesamten Produktlebenszyklus zu identifizieren, richtig einzuschätzen und gegebenenfalls effektiv zu beseitigen.
- Hacker dürfen nicht an Bord!
- Wachsende Gefahren durch Hacker und Schad-Software
- IT-Schutzmaßnahmen für Ethernet im Auto anpassen
- Ein globaler Mindestschutz für Automotive Ethernet?
Lesen Sie mehr zum Thema
