Ein Angebot von /

Automotive Security Operation Center – Digitale Wachposten für das Connected Car

| Autor / Redakteur: Michael Hermann / Benjamin Kirchbeck

Damit sich eine Attacke präzise entdecken lässt, benötigt ein Automotive-SOC sicherheitsrelevante Daten aus allen Bereichen des automobilen Ökosystems: vom Fahrzeug über das Backend bis hin zu den Computern und mobilen Endgeräten der Autofahrer.
Damit sich eine Attacke präzise entdecken lässt, benötigt ein Automotive-SOC sicherheitsrelevante Daten aus allen Bereichen des automobilen Ökosystems: vom Fahrzeug über das Backend bis hin zu den Computern und mobilen Endgeräten der Autofahrer. (Bild: Clipdealer)

Immer eine Reifenbreite voraus – so könnte das Motto von Cyberkriminellen lauten, die Schwachpunkte in vernetzten Autos entdecken und angreifen. Um Angriffe abwehren zu können, müssen Datenflüsse aus allen IT- und TK-Systemen rund um das Fahrzeug analysiert werden – und das während der gesamten Nutzungszeit. Eine Aufgabe für die Sicherheitsexperten in einem Automotive Security Operation Center (SOC).

Andy Greenberg hatte Glück, als er mit seinem Wagen im Graben landete. Der Redakteur des US-Technikmagazins „Wired“ war vorgewarnt, dass zwei IT-Spezialisten versuchen würden, seinen Jeep per Fernsteuerung zu übernehmen. Mit Erfolg: Es gelang den beiden virtuellen Beifahrern, die Bremsen des Fahrzeugs bei niedrigen Geschwindigkeiten zu deaktivieren, das Fahrzeug zu beschleunigen und sogar am Lenkrad zu drehen. Dieser spektakuläre Hack zeigte bereits 2015 eindrücklich die Notwendigkeit digitaler Sicherheitsmaßnahmen für das vernetzte Fahren.

Damit nicht genug, fanden belgische Sicherheitsexperten Ende 2018 eine Schwachstelle im Funkschlüssel von Teslas Model S, dank der sie den Schlüssel in Sekundenschnelle klonen und das zugehörige Auto öffnen und starten konnten. Im Frühjahr 2018 hatte der IT-Sicherheitsspezialist Kaspersky bereits vor Sicherheitslücken in mobilen Apps für die Fahrzeug-Fernsteuerung gewarnt. Diese ermöglichen Hackern zum Beispiel den Zugriff auf Türschloss und Zündung. Und seit dem 31. März 2018 müssen alle neuen Fahrzeugmodelle in der EU über das automatische Notrufsystem eCall verfügen, was Cyberkriminellen potenzielle Angriffspunkte via Mobilfunk bietet. 2020 werden nach Schätzungen der Gartner-Marktforscher weltweit rund 220 Millionen Fahrzeuge mit Konnektivität unterwegs sein.

Fahren Autos teilweise oder vollständig autonom, wird die IT-Sicherheit erst recht lebenswichtig für die Betriebssicherheit von Fahrzeugen – und überlebenswichtig für Autohersteller: Gartner zufolge lehnen mehr als die Hälfte aller Autofahrer in den USA und Deutschland aus Sorge vor mangelnder Security und technischen Fehlern das vollautonome Fahrzeug derzeit ab. Und laut einer Studie des TÜV Rheinland würden gut 63 Prozent der Autofahrer in Deutschland, den USA und China ihrer Automarke nach einem Hackerangriff den Laufpass geben.

Gesundheit und Sicherheit stehen an erster Stelle und müssen während der gesamten Lebensdauer eines Fahrzeugs – also rund 15 bis 20 Jahre – gewährleistet werden. Regelmäßige Updates und Patches für die Bord-Software sind unverzichtbar, reichen aber nicht aus: Hacker sind möglicherweise imstande, Schwachstellen mit neuen Angriffswegen zu attackieren oder auch als sicher geltende Verschlüsselungen zu knacken. Zudem können sie an mehreren Schnittstellen ansetzen – nicht nur im Fahrzeug selbst, sondern auch im Mobilfunknetz und im Backend des Herstellers.

Große Auswahl an Angriffspunkten für Hacker

So sind Angriffe über den sicherheitskritischen CAN-Bus etwa per USB-Schnittstelle im Fahrzeug möglich oder an der gesetzlich vorgeschriebenen Diagnose-Schnittstelle OBD-2, die den Zugriff auf fast alle Steuergeräte erlaubt. In beiden Fällen benötigt ein Angreifer Zugriff auf den Innenraum des Fahrzeugs. Um ein vernetztes Fahrzeug von außen zu attackieren, kann ein Hacker beispielsweise auf einem Parkplatz überprüfen, welche Fahrzeuge in Reichweite über eine angreifbare Bluetooth-, WLAN- oder auch Mobilfunkverbindung verfügen.

Es wartet also jede Menge Arbeit auf die Fahrzeug-Security. Automobilhersteller benötigen Systeme zur Angriffserkennung nicht nur im Fahrzeug, sondern auch im Mobilfunknetz und in ihrem Backend. Es gilt, sämtliche IT- und Telekommunikationssysteme rund um das vernetzte Fahrzeug während der gesamten Nutzungsdauer auf Auffälligkeiten zu kontrollieren und die Datenflüsse im Auto und um das Fahrzeug herum stetig zu analysieren. Attacken lassen sich oft nur erkennen, wenn Anomalien in verschiedenen Systemen oder in mehreren Fahrzeugen in Zusammenhang gesetzt werden. Um die wachsende Anzahl vernetzter Fahrzeuge wirksam zu schützen, sind zusätzliche IT-Infrastrukturen und -Prozesse erforderlich, die IT- und Security-Know-how mit profunder Fahrzeug-Expertise vereinen: Dies ist die Aufgabe eines Automotive Security Operation Center (SOC).

Automotive-SOC dient als zentrale Gefahrenabwehr

„Im Automotive-SOC laufen alle sicherheitsrelevanten Daten des Ökosystems ‚Vernetztes Fahrzeug‘ zusammen“, erklärt Christian Olt, Senior Security Manager im Bereich Automotive & Manufacturing bei T-Systems. „Das Cyberabwehr-Team des SOC besteht aus Security-Experten mit spezialisierten Aufgabenbereichen wie etwa der Bedrohungsanalyse per Threat Intelligence.“ Die SOC-Spezialisten werten rund um die Uhr Alarmmeldungen aus, um Risiken zu minimieren und Angriffe zu erkennen, abzuwehren und aufzuarbeiten. Als zentrale Koordinationsstelle kann ein Automotive-SOC schnellstmöglich auf Sicherheitsvorfälle reagieren und ist damit unentbehrlich für die IT-Sicherheit vernetzter Fahrzeuge. Denn: „Malware kann sich innerhalb weniger Minuten in einem gesamten Netzwerk ausbreiten und so auch möglicherweise die Sicherheit von Fahrern und Mitfahrern gefährden“, sagt Christian Olt. „Das Zeitfenster für die Behebung von Fehlern in vernetzt fahrenden Autos ist sehr klein.“

Den Eindringling rechtzeitig stellen

Um Cyberattacken zu erkennen, braucht ein Automotive-SOC eine umfassende Datensammlung. Wichtigste Quelle ist das Auto selbst: Moderne Fahrzeuge erzeugen bereits jetzt pro Stunde eine Datenmenge, die fünf DVDs füllen würde – durch autonomes Fahren wird diese noch einmal deutlich größer. Damit sich eine Attacke präzise entdecken lässt, benötigt ein Automotive-SOC sicherheitsrelevante Daten aus allen Bereichen des automobilen Ökosystems: vom Fahrzeug über das Backend bis hin zu den Computern und mobilen Endgeräten der Autofahrer. Um darüber hinaus aktiv neue Schwachstellen und Angriffstechniken aufzudecken, kann ein Automotive-SOC zusätzlich externe Quellen nutzen: etwa den Austausch mit anderen Automotive-Sicherheitsexperten und so genannte Honeypots, die gezielt Hacker anlocken sollen. „Die Telekom betreibt in ihrem Netz rund 2.200 logische und mehr als 500 physische Honeypots“, verrät Christian Olt.

Via „Honey Car“ vom Gegner lernen

Künftig ließe sich das Konzept der Honeypots auch für die Fahrzeugbranche adaptieren: Ein „Honey Car“ simuliert ein Fahrzeug mit schwach gesicherten Zugängen, das über das Internet angreifbar ist. So lassen sich die Methoden der Cyberkriminellen studieren. Ein weiteres probates Mittel im SOC sind Penetrationstests (Pentest), bei denen Sicherheitsexperten unter realistischen Hacker-Bedingungen versuchen, in ein Fahrzeug oder ein Backend einzudringen: Bei einem White-Box-Test erhält der Experte interne Daten wie Quellcode oder Passwörter, bei einem Grey-Box-Test nur wenige Informationen wie einen IP-Adressraum, bei einem Black-Box-Test keinerlei Hilfe.

Daten aus Detektionssystemen auswerten

Wesentliche Aufgabe eines Automotive-SOC ist die Auswertung von Detektionssystemen, die regelbasiert oder mithilfe von Machine Learning auffälliges Verhalten feststellen. Besonderes Augenmerk legen die Experten hierbei auf ungewöhnliche Bordnetznachrichten, Informationen aus den Steuergeräten wie etwa Speicherinhalte und konkrete Alarme aus künftig im Fahrzeug implementierten Intrusion-Detection-Systemen (IDS).

Den Missbrauch von Mobilfunkverbindungen erkennt ein Fraud-Detection-System anhand festgelegter Regeln – etwa wenn sich eine SIM-Karte nicht mit der Seriennummer des zugehörigen Steuergeräts im Netz anmeldet. Auch mobile Endgeräte der Autonutzer können zur Zielscheibe von Malware-Attacken werden. Wird ein solches kompromittiertes Gerät per WLAN, USB oder Bluetooth mit dem Fahrzeug verbunden, könnte ein Angreifer die Remote-App des Fahrzeugherstellers kapern oder ins Bordnetz gelangen. Empfehlenswert ist daher eine Schutz-App für die mobilen Endgeräte, die Auffälligkeiten an das SOC weitergibt.

Im Backend des Fahrzeugherstellers kontrolliert ein Detektionssystem unter anderem, wie häufig ein Fahrzeug bestimmte Dienste nutzt. Stellt das System fest, dass sich ein Fahrzeug ohne gültiges Sicherheitszertifikat authentifiziert oder im Backend jemand versucht, Protokolldateien (Logs) zu löschen, liegt der Verdacht eines Cyberangriffs nahe. Für eine umfassende Gefahrenabwehr ist ein Automotive-SOC auf Daten aus allen potenziell relevanten Quellen angewiesen.

SIEM-System ist Herzstück der Gefahrenabwehr

Dreh- und Angelpunkt der Arbeit im Automotive-SOC ist ein Security-Information und Event-Management-System (SIEM). „Seine Aufgabe ist es, potenzielle Cyberattacken zu identifizieren und zu melden sowie Echtzeitanalysen und Sicherheitsreports zu ermöglichen“, erklärt Security-Spezialist Christian Olt. Zu diesem Zweck fließen im SIEM-System Logdateien aus den verschiedenen Quellen wie dem IDS im Fahrzeug oder dem Fraud-Detection-System im Mobilfunknetz zusammen.

SIEM basiert auf Regeln, anhand derer das System die Daten korreliert und auf Indikatoren prüft, die auf eine Kompromittierung hindeuten. Hierbei „denkt“ das System wie ein Angreifer, denn die Regeln sind aus konkreten Angriffsszenarien abgeleitet, die detailliert beschreiben, wie ein Cyberkrimineller vorgeht – so etwa das Szenario eines Täters, der sich auf einem Schrottplatz ein Steuergerät mit einer aktivierten SIM-Karte aus einem Fahrzeug beschafft (s. Grafik).

Aus allen vorliegenden Informationen entwickelt ein SOC-Spezialist für Content Engineering nach dem Wenn-Dann-Prinzip Analyseregeln für das SIEM-System. So erkennt das System verdächtige Vorfälle, erstellt Alarme und priorisiert diese nach Kritikalität, wie im folgenden vereinfachten Beispiel: „Wenn das Telekommunikationsmodul (TCU) eines Fahrzeugs versucht, sich am Backend ohne gültiges Sicherheitszertifikat anzumelden, dann gebe einen Alarm aus. Wenn das Backend kurz danach eine Verbindung zu einer unbekannten IP-Adresse aufbaut, erhöhe die Priorität des Alarms.“ Neue Erkenntnisse aus der „Threat Intelligence“, Rückmeldungen zu Fehlalarmen (False Positives) und die Einbindung neuer Logquellen sorgen zudem dafür, Regeln stetig zu verbessern. Haben die Spezialisten des SOC einen Alarm als Sicherheitsvorfall identifiziert, stoßen sie zuvor definierte Gegenmaßnahmen an oder erarbeiten neue Reaktionswege.

Ergänzendes zum Thema
 
SOC im Eigen- oder Hybridbetrieb

Datenschutz im Automotive-SOC sicherstellen

Möchte ein Automobilhersteller Daten aus dem vernetzten Fahrzeug und seinem Umfeld für ein Automotive-SOC erfassen, speichern und verarbeiten, muss er die Anforderungen des gesetzlichen Datenschutzes beachten, die in der europäischen Datenschutzgrundverordnung (DSGVO) verankert sind. Personenbezogene Daten genießen besonderen Schutz. Das sind im Autoumfeld eine ganze Menge: von der Fahrzeugidentifikationsnummer (FIN) und dem Kfz-Kennzeichen über GPS-Daten, Fahrgeschwindigkeit bis zum An/Aus-Status des Motors. Dazu gehören auch Daten, die sich einem bestimmten Funk-Autoschlüssel oder der SIM-Karte eines Fahrzeugs (und somit dem Fahrzeughalter) zuordnen lassen.

Wer auf Nummer sicher gehen will, klassifiziert daher alle für ein Automotive-SOC verwendeten Daten als personenbezogen – und anonymisiert oder pseudonymisiert sie, bevor sie zur Analyse und Auswertung an das SOC übermittelt werden. Damit ist auch das in der DSGVO geforderte Prinzip der Datenminimierung erfüllt, wonach nicht mehr personenbezogene Daten erfasst und verarbeitet werden dürfen als unbedingt notwendig.

Werden Daten anonymisiert, ist der Bezug zu einer bestimmten Person nur mit großem Aufwand wieder herstellbar. Bei einer Pseudonymisierung werden Identitätsmerkmale wie FIN, Kfz-Kennzeichen und ID der SIM-Karte durch ein Pseudonym ersetzt, das sich bei Bedarf wieder auflösen lässt – etwa wenn das SOC Schadsoftware in einem Fahrzeug feststellt und der Automobilhersteller entscheidet, den Fahrzeughalter zu benachrichtigen.

Worauf es beim Cockpit der Zukunft wirklich ankommt

Worauf es beim Cockpit der Zukunft wirklich ankommt

21.08.18 - Der Innenraum der Zukunft wird sich extrem wandeln. Mit Flatscreens und intuitiver Beleuchtung, abgestimmt auf die Befindlichkeiten des Fahrers. Zudem eine Reihe an Funktionen, die den täglichen Arbeitsweg erträglicher gestalten. Doch das ist noch Zukunftsmusik. Zunächst sind etliche Aspekte zu adressieren, die für eine Umsetzung unerlässlich sind. lesen

Die Rolle der Multi-Standard-Funkchips im Connected Car

Die Rolle der Multi-Standard-Funkchips im Connected Car

29.11.18 - Funktechnik spielt bei der Vernetzung von Fahrzeugen eine entscheidende Rolle. Chips, die mehrere Funkstandards beherrschen, erleichtern das Entwickeln multifunktionaler Lösungen. Ein Überblick lesen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45642665 / Connected Car)