Cyber Security in Fahrzeugen: Wettlauf zwischen Hackern und Industrie
Seite 2: Security by Design: Was die Hersteller nun tun müssen
Zum Monitoring sollte auch die IT-Forensik umfassen. Dementsprechend müssen die Sicherheitsexperten mögliche Bedrohungen nicht nur beobachten, sie sollen sie prinzipiell verstehen. Denn nur das schafft die Grundlage dafür, Sicherheitslücken wirklich zu schließen. Dazu gehört im Zweifel auch, erfolgte Cyberangriffe im Labor zu rekonstruieren.
Die Pflicht zur Zertifizierung
Die Hersteller sind verpflichtet, ihr CSMS wird durch ein akkreditiertes Prüfinstitut zertifizieren zu lassen. Ohne dieses Zertifikat ist es dem OEM nicht mehr gestattet Fahrzeuge Typgenehmigen zu lassen. Spätestens alle zwei Jahre müssen die OEMs die Zertifikate erneuern. In Deutschland übernimmt die Zertifizierung beispielsweise der TÜV.
Security by Design: Sicherheit von Anfang an mitdenken
All das führt dazu, dass die Hersteller – und ebenso die Zulieferer – bei der Entwicklung von Fahrzeugen umdenken müssen: weg von einer sequenziellen und hin zu einer vernetzten Arbeitsweise. Ausgangspunkt dafür ist das „Security by Design“-Konzept. IT-Architekturen sollen so konzipiert sein, dass sie alle bereits zum Entwicklungszeitpunkt bekannten Angriffsszenarien berücksichtigen und sich laufend auf Basis des proaktiven Monitorings aktualisieren lassen. Die Sicherheit geht dabei im Zweifel stets vor Wirtschaftlichkeit. Demnach dürfen die Hersteller potenzielle Gefahren nicht nur deshalb ignorieren, weil sie bisher faktisch selten sind, sofern diese zu einer echten Bedrohung werden könnten. Erfüllen OEMs diese Kriterien nicht und wären Cyberangriffe vermeidbar gewesen, haften die schnell für entstandene Schäden. Aktuell bestehen hier allerdings noch diverse Rechtsunsicherheiten.
Lesen Sie auch
BSI weist Automobilindustrie auf Sicherheitsprobleme hin
Zero Trust: Zugriff nur mit Authentifizierung
Um Security by Design zu operationalisieren, können sich die Hersteller unter anderem am Zero-Trust-Prinzip orientieren. Dabei stufen sie jeden Zugriff auf ein Fahrzeug zunächst als unsicher ein. Erst nach einer Authentifizierung wird ein Zugriff freigegeben und durch das System verarbeitet. Es besteht also so etwas wie eine Beweislastumkehr: Jeder Zugriff gilt so lange als riskant, bis seine Ungefährlichkeit nachgewiesen ist. Wichtig sind in diesem Zusammenhang Zwei-Faktoren- und Multi-Faktoren-Authentifizierungsverfahren. Soll ein E-Fahrzeug beispielsweise mit einer Ladesäule verbunden werden, muss der Fahrer diese Verbindung durch ein Passwort und einen zweiten Faktor (die Antwort auf eine Frage, eine TAN usw.) verifizieren. Für viele Szenarien ist das Zero-Trust-Prinzip eine gute Möglichkeit, die Sicherheit zu steigern. Es gibt aber auch Grenzen – nämlich da, wo die physische Sicherheit ein schnelles Handeln erfordert. Bei einem Aufprall etwa sollte der Airbag nicht auf eine Authentifizierung warten. Schon gar nicht auf eine Zwei-oder-Multi-Faktor-Authentifizierung.
DevSecOps: Gemeinsam für Cyber Security
Auch die systematische Weiterentwicklung von IT-Architekturen hinsichtlich ihrer Sicherheit lässt sich operationalisieren. Dazu bietet sich vor allem der DevSecOps-Ansatz an. Hierbei arbeiten die Teams für die Softwareentwicklung, das Monitoring von Cyber-Bedrohungen und die Operation der Software nicht isoliert voneinander, sondern integriert. Auf diese Weise werden die Feedbackschleifen zwischen den unterschiedlichen Beteiligten institutionalisiert und es kann schneller auf neue Situationen reagiert werden.
Schwierigkeiten resultieren dabei teilweise aus sehr unterschiedlichen datenschutzrechtlichen Bestimmungen in verschiedenen Ländern. Um diese zu lösen, werden künftig neue Anonymisierungsverfahren benötigt, mit deren Hilfe Informationen datenschutzkonform von einem Staat in einen anderen – beispielsweise von China in die USA – übermittelt werden können.
Know-how der Tech-Giganten nutzen?
Automobilhersteller stehen grundsätzlich vor der Wahl: Sollen sie ein eigenes Betriebssystem entwickeln oder die Software der Tech-Giganten nutzen. Zum Beispiel Android Automotive, das Alphabet als technologische Plattform für OEMs bereitstellt. Aus Sicherheitsaspekten ist es einerseits sinnvoll, auf solche etablierte Software zu vertrauen. Schließlich arbeiten daran seit Jahren Spezialisten. Anderseits werden solche Plattformen mit einer steigenden Verbreitung zu einem immer attraktiveren Angriffsziel. Was perspektivisch überwiegt, ist im Augenblick seriös nicht zu beantworten.
Gegen den Einsatz fremder Software spricht noch ein Grund: Hersteller machen sich im hohen Maß von OS-Lieferanten abhängig. Wenn zum Beispiel der Anbieter des verbauten Betriebssystems seine Security Patches nach fünf Jahren einstellt, weil diese unwirtschaftlich werden, dann ist der OEM ordentlich in Bedrängnis. Soll er eigene Security Patches für das OS entwickeln? Kann und darf er das überhaupt? Oder muss ein gesamtes Upgrade umgesetzt werden, mit der Gefahr, dass diese nicht zur schon mehrere Jahre alten Fahrzeughardware passt.
Zeit zu handeln!
Im Bereich Cyber Security ist vieles gerade noch im Werden. Das macht es für Hersteller, die ohnehin ein für sie ziemlich neues Spielfeld betreten, nicht einfacher. Fest steht lediglich: Es ist Zeit zu handeln. Und zwar jetzt! Das passiert aber nur bedingt, wie das Global Automotive Cyber Security Management Survey 2022 der Wirtschaftsprüfungsgesellschaft PwC nahelegt. Zwar erwarten alle der befragten Vertreter aus verschiedenen Bereichen der Automobilindustrie, dass Cyberattacken auf Fahrzeuge drastisch zunehmen werden. Ebenfalls 100 Prozent gaben an, bereits ein CSMS implementiert zu haben. Bei den OEMs lag der Fertigstellungsgrad aber im Durchschnitt lediglich bei 71 Prozent, bei den Zulieferern sogar nur bei 59 Prozent. Beide Stakeholder-Gruppen werden ihr Engagement also noch steigern müssen, um zügig eine möglichst hohe Sicherheit der Software Defined Vehicles zu erreichen.
(mfz)