Security für Connected Cars: Lösungsversuche

May 31, 2016
Security für Connected Cars: Lösungsversuche

Beitrag von Matthias Schorer, Head of Strategy Consulting, CEMEA


neuWelche Lösungen haben wir im Kampf gegen Automotive-Hacker?

„Das bisher geschlossene System Auto ist heute über IT-Schnittstellen zunehmend Gefahren durch IT-Angreifer ausgesetzt. Hacker spionieren persönliche Daten aus, Gebrauchtwagenhändler manipulieren Tachostände, Autodiebe überlisten die Wegfahrsperre und öffnen Türen oder Tuner schalten Funktionalitäten frei, für die sie nicht bezahlt haben.”Andreas Kraus, Fraunhofer-Institut für sichere Informationstechnologie

In meinem letzten Blogbeitrag habe ich bereits einige der größten, wissenschaftlich motivierten Automotive-Hacks des letzten Jahres aufgezählt, um zu verdeutlichen, dass optimierte Sicherheit oft durch akute Bedrohung entsteht. Dass jedoch schon vor einem erfolgreichen Hack entscheidende Maßnahmen ergriffen werden, um einen Cyberangriff so schwer wie möglich zu machen, versteht sich von selbst. Im Folgenden will ich einen kurzen Überblick aktueller Entwicklungen geben, die sich mit dem Schutz von Connected Cars befassen.

Dabei gibt es zwei entscheidende Arten von Sicherheit zu beachten. Zum einen die interne Sicherheit, also der Datenschutz von Fahrerinformationen und fahrzeugeigenen Systemen. Zum anderen der Schutz vor externen Zugriffen. Kryptografie sei Dank, können wir zumindest das erste Problem als gelöst ansehen – technisch gesehen haben wir hier bereits einen starken Standard, der solche Daten für externe Parteien unkenntlich macht. Was allerdings den Schutz einer komplexen IT-Architektur vor Hackern angeht, müssen wir noch nachlegen, denn hier reicht es nicht nur zu verschlüsseln.

„Mit fortschreitender Entwicklung der Technik wächst auch die Notwendigkeit, die Sicherheit der Fahrzeug-IT zu erhöhen. Es gibt natürlich bereits kryptografische Lösungen. Aber sie sind oft nicht flexibel genug”Andreas Kraus, Fraunhofer-Institut für sichere Informationstechnologie

Wenn der Motor nicht startet, liegt es an TPM-HSM

Der TPM-Standard ist seit einigen Jahren in den meisten Laptops und Computern etabliert – etwa für die Festplattenverschlüsselung. TPM steht für Trusted Platform Module und bezeichnet in der Regel einen integrierten Computerchip, der vom Hersteller vordefinierte Sicherheitsaspekte durchsetzt. Oder um es mit anderen Worten zu sagen: Ein TPM verhindert, dass Computersysteme anders eingesetzt werden, als vom Hersteller gedacht.

Darauf basierend entwickelt das Fraunhofer-Institut für sichere Informationstechnologie in Darmstadt eine Security-Lösung für vernetzte Fahrzeuge mit HSM-Ansatz. HSM steht für Hardware-Sicherheits-Modul und bezeichnet ein Peripheriegerät für Verschlüsselungsoperationen.

Eine TPM-HSM-Lösung im Connected Car ist also der sichere Speicher aller kryptografischen Schlüssel für alle sicherheitsrelevanten Operationen. Wenn eine externe Anfrage im System einfließt, wird diese sofort erkannt und die angeforderte Funktion blockiert. Ohne eine TPM-HSM-Zustimmung wird dann beispielsweise nicht einmal der Motor gestartet.

„Unsere Entwicklungsumgebung hilft, dass der TPM-Standard auch in Autos mehr Verbreitung findet. Für die Hersteller wird es einfacher, die Standards und darauf aufbauende Anwendungen nun selbst umzusetzen. Darüber hinaus ist die Plattform auch für andere Einsatzgebiete interessant – zum Beispiel beim sicheren Steuern von Industrieanlagen oder dem Internet der Dinge.” Andreas Kraus, Fraunhofer-Institut für sichere Informationstechnologie

Fluch und Segen daran: Wenn sich ein Hacker Zugriff auf das Fahrzeugsystem erschleicht, wird im Zweifel das komplette Fahrzeug lahmgelegt – das rettet unter Umständen Leben, ist aber gerade dann unpraktisch, wenn dringend ein fahrendes Auto benötigt wird. Damit es nicht dazu kommt, braucht es also mehr als TPM-HSM.

Antiviren-Software im Benzin

Aus Deutschland kommt eine passende Ergänzung: Application Control Unit (ACU). Zugegeben, der Name ist nicht besonders deutsch, doch hinter dem Anglizismus verbirgt sich ein von Anwendungen und Betriebssystemen unabhängiges System, welches das Bordnetz des jeweiligen Fahrzeugs sozusagen hermetisch abriegelt. Die Sicherheitslösung stammt vom deutschen Security-Anbieter Secunet und trennt strikt die Zusammenarbeit von Rechen- und Hardwareressourcen. Darüber hinaus sollen kryptographische Schlüssel und regelmäßige Updates ausreichend Sicherheit vor Hackern bieten – ähnlich einem Anti-Viren-Programm auf dem Computer.

Ein einheitlicher Security-Standard muss her

Wie sich erkennen lässt, gibt es verschiedene Ansätze, das Sicherheitsproblem der Automotive-Branche zu lösen – Hardware und Software. Diese Diversität ist gut, denn sie bedeutet, dass sich viele Köpfe mit dem Thema auseinandersetzen. Allerdings bedeutet sie auch, dass kein Standard existiert, der auf alle Fahrzeuge angewandt werden kann. Konsequenterweise entstehen so qualitative Unterschiede des Hackers-Schutzes, was wiederum Gefahrenpotential für die Straße birgt.

In den USA gibt es bereits erste Entwürfe solcher Security-Standards für Connected Cars. Ein Schritt, der hierzulande noch aussteht, jedoch bereits gefordert wird – zum Beispiel vom ADAC. Dass dieser Schritt gemacht wird, steht außer Frage. Dabei ist bloß zu beachten, dass ein entsprechender Entwurf mit genügend Sorgfalt und Know-How aufgesetzt wird.


Hat Ihnen mein Beitrag gefallen? Mehr spannende Visionen zum Auto der Zukunft veröffentliche ich auf unserem VMware Automotive Blog.

 
Related Posts
 

Wie sieht der Handel der Zukunft aus? Haben Tante Emma und der persönliche Service ausgedient? Definitiv nicht! Welche Möglichkeiten bietet IoT Handelsunternehmen, individuell und produktiv zu verkaufen und dabei den „menschlichen Faktor“ nicht aus den Augen zu verlieren?

Web-Meetings, soziale Netzwerke und mobile Arbeitsplätze gehören inzwischen zum ganz normalen Arbeitsalltag. Was aber kann IoT leisten, um diese Dienste noch besser an den Arbeitsalltag anzupassen?

Alexa als Zeuge im Mordprozess? Der Fitnesstracker als Indiziengeber im Fall für Versicherungsbetrug? IoT nimmt immer häufiger Einfluss auf unseren Lebensalltag – doch wie sieht es in der Rechtsprechung aus? Wird es bald zulässig, dass Smartwatch, intelligente Haussteuerungssysteme oder medizinische Devices als Beweismittel oder gar Belastungszeugen in Gerichtsverfahren verwendet werden?

Was sind die wichtigsten IoT Technologien? Gibt es Unterschiede in KMUs und Großunternehmen? 370 Entscheider aus der DACH-Region wurden dazu befragt und geben Einblicke, wo aus ihrer Sicht der größte Nachholbedarf besteht.

 
 
Blog Archive