Smart Traffic & Mobility Sichere Architekturmodelle für Car2X

Übersicht: Bei der Sicherheit eines Car2X-Gesamtsystems spielen alle Teilsysteme eine Rolle.

Bild: ESG
26.05.2014

Car2X-Dienste müssen schon jetzt und speziell zukünftig in puncto IT-Sicherheit hohe Anforderungen erfüllen. Dabei reicht es nicht aus, eine Einzelkomponente losgelöst vom Gesamtsystem sicher zu machen. Vielmehr müssen dienst- und plattformübergreifende
 Ansätze gefunden werden, die eine systemweite Sicherheit garantieren.

Car2X umfasst ein immer größer werdendes Netzwerk aus Einzelsystemen für die Fahrzeug-zu-Fahrzeug- und Fahrzeug-zu-Infrastruktur-Kommunikation. Ein Teil des Gesamtsystems besteht dabei aus den eher technischen Komponenten wie dem Fahrzeug selbst (mit seinen Steuergeräten, Sensoren, Aktuatoren und Bussystemen), den Infrastruktursystemen (Verkehrszeichen, Ampeln oder Signalbrücken), zusätzlichen mobilen Geräten wie Laptops und Smartphones sowie klassischer IT-Infrastruktur wie Back-End-Servern. Auf der anderen Seite stehen die involvierten Personen wie die Nutzer, die System-Administratoren sowie die Betreiber von Infrastruktur, Hotspots und Internet-Services.

Die Dienste und Anwendungen, die mit einem solchen Car2X-Gesamtsystem realisiert werden können, sind zahlreich. Beispiele sind Active Road Safety, Verkehrseffizienz, Call-Services (eCall), Web-Dienste (Routing, POI, Internet), oder Nahbereichs-Features (Keyless Access, Smartphone-­Apps). Einige sind bereits im Einsatz, andere noch in der Entwicklungs- und Spezifikationsphase. In fast allen Bereichen wird versucht, der Komplexität und Heterogenität der Car2X-Systeme durch internationale, herstellerunabhängige Standardisierung Herr zu werden. Beispiele dafür sind der „Harmonized eCall“, „ETSI ITS Use-Cases“ oder Bluetooth-­Profile.

Ein besonders wichtiges Thema im Car2X-Umfeld ist die IT-Security und die Informationssicherheit zum Schutz jedes Einzelsystems und des Gesamtsystems gegen mutwillig hervorgerufene Fehler, Fehlfunktionen und Anomalien, die durch einen Angreifer mit böswilligen Absichten verursacht werden. Die Schutzziele sind:

  • Vertraulichkeit: Der Zugriff auf Informationen durch Unbefugte soll verhindert werden.

  • Integrität: Das unbemerkte Verfälschen von Informationen durch Unbefugte soll verhindert werden.

  • Verfügbarkeit: Der Zugang zu Informationen und Diensten soll innerhalb zeitlicher Vorgaben garantiert sein.

  • Authentizität: Der Urheber von Informationen soll zweifelsfrei identifizierbar sein. In manchen Fällen gilt jedoch genau umgekehrt das Schutzziel der Anonymität.

Bei der IT-Security steckt das Car2X-Automotive-Umfeld noch in den Anfängen und hat gegenüber der klassischen IT- und Telekommunikationsindustrie einen großen Nachholbedarf. Im IT-Umfeld stehen bereits neben vollständigen Lösungen für viele Probleme zudem standardisierte Verfahren zur Verfügung, mit denen die Sicherheit von Systemen analysiert und verbessert werden kann. Dieses Wissen und diese Techniken sind im Automotive-Umfeld noch nicht ausreichend angepasst, geschweige denn in der aktiven Anwendung, da viele Kommunikationspartner (Embedded-Steuergeräte) und Kommunikationsmedien und Protokolle (Fahrzeugbusse) in vorhandenen Security-Prozessen noch nicht systematisch betrachtet wurden. Folglich gibt es auch keine durchgängige End-to-End-Betrachtung der Automotive-IT-Systeme vom Sensor zum Back-End und zurück zum Aktuator.

Angriffe auf Car2X-Systeme

Die aktuelle Diskussion und vermehrte Berichte der nahen Vergangenheit verdeutlichen, dass Angriffe auf die Informationssicherheit von Car2X-Systemen eine immer größere Rolle spielen. Zudem wird immer offensichtlicher, dass der perfekte Schutz vor solchen Angriffen nicht existiert (Kasten Seite 74). Es wird bei komplexen Systemen immer aufwendiger aber auch wichtiger, sich den idealisierten Schutzzielen möglichst gut zu nähern. Allerdings gibt es dabei noch einige Schwierigkeiten. So erhöht sich durch die schiere Anzahl an Einzelsystemen, die zu einem Netzwerk zusammenwachsen, die Zahl der möglichen Angriffspunkte, und die Angriffspunkte sind über heterogene Netzwerke verteilt. So müssen Angriffe auf gut geschützte Systeme nicht unbedingt direkt an diesen gestartet werden. Auch über schlechter geschützte Systeme lässt sich ein Angriff starten, wenn sich von diesen ein Zugang zum gut geschützten System aufbauen lässt.

Auch nimmt die Kritikalität der zu schützenden Informationen deutlich zu. Neben schützenswerten vertraulichen Daten über die Nutzer (wie reale Identität, Nutzerverhalten und Bewegungsprofile) sind dies vor allem Informationen, die in Zusammenhang mit modernen Assistenz-Funktionen genutzt werden.

Die zunehmende Vernetzung der Car2X-Beteiligten setzt zudem umfangreiche internationale und herstellerübergreifende Standards voraus. Diese können zwar relativ sicher gestaltet werden, verbessern aber in der Regel auch das Kosten-Nutzen-Verhältnis von Angriffen, da ein erfolgreicher Angriff sehr viele Ziele gleichzeitig schädigen kann. Dieser Effekt ist schon seit Jahren im klassischen IT-Bereich bekannt. Stark verbreitete Systeme mit einer hohen Marktdurchdringung leiden unter einer überproportional hohen Anzahl an Angriffen. Insbesondere führt die hohe Attraktivität erfolgreicher Angriffe zu einer Kommerzialisierung des entsprechenden Malware-­Sektors.

Die entstehenden Car2X-Systeme sind in der Regel nicht „secure by design“, da nicht alle Komponenten für den Einsatz in einem Car2X-System entwickelt wurden. Oft handelt es sich um Bestandssysteme, die nach und nach mit der Car2X-Welt vernetzt werden. Nachträgliche Maßnahmen zum Schutz bestehender Systeme werden aufgrund von hohen Kosten und hoher Komplexität oft nicht effizient umgesetzt.

Im Bereich Car2X müssen alle Kommunikationspartner, -geräte und -schnittstellen in puncto IT-Sicherheit hohe Anforderungen erfüllen – angefangen von Sensoren und Aktuatoren im Fahrzeug über mobile Geräte wie Smartphones und Tablets bis hin zu den Back-End-Systemen bei OEMs oder Drittanbietern. Nachträgliche Maßnahmen zum Schutz bestehender Systeme erfordern ein sehr gutes Systemwissen, detaillierte Kenntnis über potentielle Gefährdungen einzelner Bausteine und Erfahrungen über die Existenz, den Aufwand und die Effektivität von möglichen Schutzmaßnahmen. Sind diese nicht gegeben, können nachträgliche Maßnahmen oft nicht effizient umgesetzt werden.

Standards für mehr Sicherheit

Eine Reihe von Normen und Standards sollen auch im Automotive-Bereich mehr Sicherheit beim Datenaustausch geben [1]. Zudem veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) in regelmäßigen Abständen die Grundschutz-Kataloge [2] und ein Grundschutzhandbuch [3], welche definierte Vorgehensweisen zur Bewertung der Informationssicherheit sowie zu Identifikation und Verhinderung von Bedrohungen und Sicherheitsrisiken vorschlagen.

Das Ziel dieser Regelwerke liegt unter anderem darin, möglichst alle Aspekte der Informationssicherheit zu identifizieren und zu betrachten und einheitliche Mindeststandards zu bestimmen. In den vom ISO/IEC JTC 1/SC 27 vorgegebenen Prozessrahmen werden generelle Regeln, Prozesse und Vorgaben festgelegt. Diese bewegen sich auf einem relativ hohen Abstraktionsniveau und müssen im Einzelfall durch spezifische Fragen ergänzt werden. Das BSI-Grundschutzhandbuch enthält hingegen konkrete Einzelbetrachtungen und Detailfragen zu verschiedenen Aspekten im Firmen- und Büroumfeld.

Zum Beispiel lassen sich die Themen des BSI-Grundschutzhandbuches gut mit einer Vielzahl der Steuerungselemente in den ISO/IEC-Normen in Deckung bringen. Spezifische Anforderungen an beispielsweise IT-Systeme in Fahrzeugen, mobile Systeme oder eingebettete Systeme sind in den betrachteten Standards allerdings bisher kaum oder gar nicht berücksichtigt. Ebenso ist der Detailgrad der in den Standards beschriebenen Prozesse nicht ausreichend, um eine konkrete Anwendung gemäß den Anforderungen einzelner Sicherheitsprojekte im Automotive-Umfeld sicherzustellen.

Bereichsübergreifender Schutz

Ein bereichsübergreifender Ansatz wäre eine Lösung, um die Sicherheit bei der Datenübertragung im und ins Auto zu erhöhen. So entwickelt und optimiert ESG beispielsweise Prozesse, definiert konkrete Analyse-Verfahren und nutzt Tools, die dazu befähigen, Automotive-Gesamtsysteme nach ISO/IEC-Normen und nach dem BSI-Grundschutzhandbuch zu analysieren und zu bewerten. Das Augenmerk richtet sich hier sowohl auf Neu-Systeme („secure by design“) als auch auf Anforderungen für bestehende Systemelemente, die im Zuge der Car2X-Integration angepasst werden müssen (E/E-Architektur), dies speziell im Hinblick auf kosteneffizientes Erreichen der gewünschten Schutzziele.

Speziell für Automotive-Anforderungen wurde eine erste Version eines Automotive-Schutzkatalogs aufgebaut. In Anlehnung an die BSI-Grundschutz-Kataloge werden die Ergebnisse des optimierten Schutzprozesses geordnet, übersichtlich und nutzbar darstellt. Als zusätzliches Ergebnis kann auch eine Aussage über das Kosten-Nutzen-Verhältnis einzelner Gegenmaßnahmen getroffen werden.

Weitere Informationen

[1] ISO/IEC JTC 1/SC 27 - IT SECURITY TECHNIQUES, www.jtc1sc27.din.de/cmd?level=tpl-home&contextid=jtc1sc27&languageid=en, Abgerufen Juni 2014

[2] Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kataloge, 13. Ergänzungslieferung, 2013

[3] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise, 2008

[4] Breaking KeeLoq in a Flash: On Extracting Keys at Lightning Speed, M. Kasper et. al., Progress in Cryptology – AfricaCrypt 2009, http://dx.doi.org/10.1007/978-3-642-02384-2_25, Abgerufen Juni 2014

[5] Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobiliser, R. Verdult et. al., Institute for Computing and Information Sciences Radboud University Nijmegen, 2013, Veröffentlichung der Inhalte evtl. untersagt.

[6] A determined 'hacker' decrypts RDS-TMC, Oona Räisänen, Persönlicher Blog, 2013, www.windytan.com/2013/05/a-determined-hacker-decrypts-rds-tmc.html, Abgerufen Juni 2014

[7] Floating Car Data from Smartphones: What Google and Waze Know About You and How Hackers Can Control Traffic, T. Jeske, Institute for Security in Distributed Applications Hamburg University of Technology, Black-Hat-Konferenz 2013

[8] Adventures in Automotive Networks and Control Units, C. Miller und C. Valasek, Defcon 21 Conference, 2013

Firmen zu diesem Artikel
Verwandte Artikel