Vernetztes Fahren: mit vorausschauendem Security-Management Vertrauen in die Fahrzeuge von morgen schaffen

Vorausschauendes Security-Management

Die Kunst liegt darin, die Verankerung von Security in vernetzten Fahrzeugen und digitalisierten, safety-relevanten Funktionalitäten vorausschauend zu managen. Im Kern geht es darum, vorbereitet – by Design – und reaktionsfähig zu sein. PwC erforscht bereits Bedrohungsmodelle für Fahrzeuge und entwickelt entsprechende Gegenmaßnahmen. Wichtige regulatorische Entwicklungen gehen unter anderem vom WP.29, des Weltforums für die Harmonisierung von Fahrzeugvorschriften der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE), aus; sie sollen ab Juli 2022 für neue Typzulassungen gelten. Außerdem befindet sich die ISO/SAE 21434 als Cybersecurity-Engineering-Standard in Entwicklung. Gefordert werden unter anderem ein Cybersecurity-Managementsystem für Fahrzeuge, Security by Design, die Erkennung und Behandlung von Sicherheitsvorfällen in Flotten von im Betrieb befindlichen Fahrzeugen sowie sichere Over-the-Air(OTA)-Softwareupdates. Diese Anforderungen treffen nicht nur OEMs, sondern die gesamte Lieferkette, denn von Dritten bereitgestellte Hard- und Software kann eigene Risiken bergen oder im Kontext des Fahrzeugs Einfluss auf die Risikobetrachtung haben, indem sie zu bestehenden Risiken beiträgt. Beispielsweise kann durch eine Softwareerweiterung, die automatisiertes Bremsen anhand der Erkennung von Verkehrszeichen ermöglicht, die Auswirkung des Risikos durch Softwarefehler erhöht werden.

Digitalisierung von Bedrohungen

Bedrohungen können im Rahmen eines physischen Zugriffs oder entfernt über eine Datenverbindung relevant werden. Unbefugte Zugriffe auf Fahrzeugsysteme aus der Nähe, beispielsweise über USB- oder Diagnose-Schnittstellen können sensible Daten offenlegen und fatale Folgen für das Fahrzeug, die Insassen und andere Verkehrsteilnehmer haben. 

Aus der Entfernung zu realisierende Angriffe sind skalierbar, das heißt sie können mit geringem Aufwand gegen eine Vielzahl von Fahrzeugen selektiv oder wahllos ausgeführt werden. Sie sind schwer nachzuverfolgen, da Angreifer in Netzwerken ihre Identität verbergen oder falsche Identitäten verwenden können. Außerdem hängen sie nicht zwangsläufig nur von der Sicherheit des Fahrzeugs selbst, sondern auch von angrenzenden Systemen ab.

Das Fahrzeug-Cyber-Ökosystem

Angriffsflächen sind die Komponenten und Steuerungseinheiten im direkten Zugriff, ihre Vernetzung und insbesondere die Schnittstellen des Fahrzeugs zu angrenzenden Systemen. Datenverbindungen im Bereich Car2X (Fahrzeug zur Umwelt), die beispielsweise andere Fahrzeuge, Verkehrsinfrastrukturen, Backend-Systeme und Cloud-Microservices umfassen, erweitern die Angriffsflächen deutlich. Im Digital Auto Report 2020 sieht Strategy& unter anderem den Ausbau smarter Verkehrsinfrastruktur und Fahrzeugfunktion-on-Demand-Dienste als zukünftige Entwicklungsfelder. Angriffe können realisiert werden oder Wechselwirkungen mit Fahrzeugen hervorrufen, wenn sie angrenzende Systeme betreffen. Automobilhersteller müssen sich fragen, welche Systeme mit dem Fahrzeug interagieren, welche Fahrzeugfunktionen – möglicherweise verkettet – beeinflusst werden können und wie das Fahrzeug auf fehlerhafte oder manipulierte Inputs reagiert. OTA-Updates, Apps zur Steuerung von Fahrzeugfunktionen (z. B. Ver- und Entriegelung, Heizung/Klima), Verkehrsinformationen und Adressdaten sind nur einige praxisrelevante Beispiele.

Bedrohungen kennen und vorbereitet sein

Allein die durch die Arbeitsgruppe WP.29 der UNECE geforderte umfassende Identifikation von Risiken für die verschiedenen Fahrzeugtypen gestaltet sich als anspruchsvolle Aufgabe. Die UNECE gibt hier bereits definierte Bedrohungen vor. Das Beispiel „Manipulation von Fahrzeugdaten/-codes“ zeigt jedoch schnell, dass das Management der Risiken auch beinhalten muss, in welcher Komponente welche Art von Daten und Codes im Fahrzeug vorliegen und welchen Einfluss das auf die Bewertung von Risiken hat. Zudem können sich die Risiken durch neue Bedrohungen oder die Veränderung von im Feld befindlichen Fahrzeugen zum Beispiel via OTA-Updates ändern und müssen daher immer im aktuellen Kontext betrachtet werden. Auch die Erkennung konkreter Cyberangriffe, ihre Behandlung und forensische Analyse sowie das Testen von Sicherheitsmaßnahmen gehören zu einem Cyber-Risikomanagement für Fahrzeuge dazu.

Fazit

Insbesondere im Kontext immer neuer vernetzter Fahrzeugfunktionen mit Systemen, die nicht durch den Hersteller selbst kontrolliert werden können, erfordert das Assessment von Risiken die Betrachtung einer großen Angriffsfläche. Dabei ist es hilfreich, allgemeine Bedrohungsszenarien zugrunde zu legen – unabhängig davon, ob diese auf eine spezifische Schwachstelle bei einem Fahrzeugtyp zutreffen. Diese Bedrohungsszenarien lassen sich anschließend konkret für spezifische Fahrzeugtypen und -komponenten präzisieren; so kann geprüft werden, ob und welche Risiken tatsächlich bestehen. Diesen Risiken können dann Security-Maßnahmen entgegengestellt werden, die für die jeweilige Komponente angemessen sind. Die Prozesse des Risikomanagements greifen tief in die Entwicklungsprozesse der elektrischen wie der elektronischen Komponenten ein und erfordern eine enge Zusammenarbeit in der Lieferkette, um Cyber-Sicherheit gewährleisten zu können.

Mit einer umfassenden Betrachtung der Fahrzeuge, ihrer Komponenten und des systemischen Kontexts engagiert sich PwC für die Erhöhung der Fahrzeugsicherheit. Wir vereinen dabei Perspektiven aus der Automobilindustrie, technischen Prüforganisationen, der Forschung, aus Behörden und Institutionen mit unserer praktischen Erfahrung in technischen Sicherheitsanalysen sowie Managementsystemen.