Die Vorlieben und Wünsche von Autofahrern ändern sich dramatisch. Kunden verlangen heute ein maßgeschneidertes Fahrerlebnis und die Autoindustrie muss entsprechend darauf reagieren. Mehr Personalisierbarkeit und Konnektivität bedeuten auch komplexere Software, aber deswegen muss ein Fahrzeug nicht automatisch anfälliger für Cyberattacken werden. Durch „Security by Design“ können OEMs ihren Kunden ein modernes Fahrerlebnis ohne Kompromisse bei der Fahrzeugsicherheit bieten.
Das Nutzungsverhalten im Automobil- und Mobilitätsbereich hat sich in den letzten Jahren stark gewandelt. Die Autoindustrie schwenkt deshalb bei der Entwicklung von neuen Produkten von einem fahrzeugzentrierten Ansatz auf einen fahrerzentrierten Ansatz um. Schon heute sind weltweit 381 Millionen vernetzte Fahrzeuge unterwegs und diese Zahl wird mit dem Wunsch der Kunden nach immer mehr Konnektivität weiter stark steigen. Vernetzte Fahrzeuge können genau wie Smartphones ihren Internetzugang mit anderen Geräten und sogar anderen Fahrzeuge teilen. Software ist heute ein wichtiger Wettbewerbsvorteil für Autobauer. Der Cyberspace hat längst die Straße erreicht und das Auto zum digitalen Lebensraum gemacht. Cybersicherheit muss deshalb ein integraler Bestandteil der Entwicklung sein.
Früher war das Auto ein isoliertes, rein mechanisches Gerät, dass nur durch direkten physischen Kontakt manipuliert oder gestohlen werden konnte. Und selbst dann konnte nur ein einzelnes Fahrzeug angegriffen werden. Heute können Hacker Millionen von Fahrzeugen gleichzeitig aus der Ferne angreifen, beispielsweise mit Ransomware. Für einen robusten Schutz der Daten und den sicheren Betrieb vernetzter Fahrzeuge ist ein mehrschichtiger Ansatz erforderlich. Erstens ein Security-by-Design-Ansatz um das Risiko eines Angriffs zu reduzieren oder dessen Folgen abzuschwächen. Zweitens ein Risikomanagement über den gesamten Fahrzeuglebenszyklus hinweg, beispielsweise mit Hilfe von OTA-Updates. Und drittens müssen Konnektivität und Software so gehandhabt werden, dass diese erst gar nicht zu einem Cybersicherheitsrisiko werden können.
Vernetzte Fahrzeuge entwickeln sich zu einer Art Cloud auf Rädern mit enormer Rechenleistung, riesigem Datenspeicher und zahlreichen Kommunikationsnetzwerken. Praktisch alle funktionalen Subsysteme des Fahrzeugs sind vernetzt. Das Ökosystem vernetzter Fahrzeuge lässt sich in fünf miteinander verknüpften Typen gliedern:
Vernetzte Fahrzeuge verarbeiten und speichern große Datenmengen. Die üblichen, aus der IT-Welt bekannten, Methoden bieten dabei keinen ausreichenden Schutz. In offenen Systemen sind die möglichen (legitimen) Muster zu komplex und zu zahlreich, um sie zu modellieren. Deshalb sind zur erfolgreichen Identifizierung und Abwehr von Cyberangriffen Heuristiken, maschinelles Lernen und andere reaktive Methoden notwendig. Für sicherheitskritische Funktionen müssen vernetzte Fahrzeuge als geschlossenes System mit deterministischen Beziehungen betrieben werden, die präventiv und nicht reaktiv sind. Deterministische Sicherheit erfordert, dass sämtliche potenziellen Permutationen modelliert werden müssen und dass jede unerlaubte Kommunikation eines Subsystems sofort erkannt wird. Jegliche Art von Angriff, ob neu oder bekannt, aus jeglicher Quelle darf niemals ein sicherheitskritisches Steuergerät oder damit zusammenhängende Kommunikation gefährden können. Deshalb muss sich automobile Cybersicherheit von anderen Formen der IT-Sicherheit unterscheiden.
Es gibt kein Allheilmittel für automobile Cybersicherheit. Passende Lösungen müssen in kontinuierlichen Prozessen ermittelt und umgesetzt werden. Dabei sollten auch technische Neuerungen, Entwicklungen auf dem Automobilmarkt und neue Angriffsmethoden berücksichtigt werden. Aber die Basis für solche Lösungen muss von Anfang an und in allen Phasen der Produktion in eine Secure-by-Design-Architektur eingebaut werden. Aus diesem Grund gibt es immer mehr Zertifizierungen für Cybersicherheit im Automobilbereich, unter anderem von der UN, SAE und Automotive SPICE. OEMs müssen Cybersicherheitsrisiken in einem proaktiven Prozess bewerten, der das Ökosystem, die Systemarchitektur und die Implementierung der Komponenten konsequent und sorgfältig analysiert, um Schwachstellen und Exploits zu entdecken, die sich in der Zukunft zu potenziellen Risiken entwickeln können.
Beispielsweise sollte die Risikobewertung den Risikoschweregrad im Bereich von 1 bis 5 (0=gering, 5=hoch) gegen die Eintrittswahrscheinlichkeit im Bereich von 1 bis 3 (1=niedrig, 2=mittel, 3=hoch) abbilden.
Das Risiko wird dann mit folgender Formel bestimmt:
Der so bestimmte Risikofaktor liegt zwischen 0 und 15. Als nächstes sollte jedem Risiko eine erforderliche Maßnahme sowie eine dafür verantwortliche Person zugeordnet werden. Wichtig ist auch ein fester Zeitansatz. Diese Form der Risikobewertung sollte zur laufenden Praxis werden. Sie muss zudem regelmäßig überprüft und aktualisiert werden.
| Risk | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Description | Risk Status | Migration Measures | Milestones | Start Time | Target Resolution | Budget ($) | Team Leader | Team Members | |||
| Date | Severity | Probability | RF=Risk Factor | ||||||||
| Malware Gaining Control Over the Safety Critical ECU | 01.15.21 | 5 | 3 | 15 | Action #1 | 01.2021 | 04.2021 | x | |||
| 02.15.21 | 5 | 2 | 10 | Action #2 | RF=10 | ||||||
| 03.15.21 | 4 | 1 | 4 | Action #3 | RF=4 | ||||||
| 04.15.21 | 4 | 0 | 0 | Action #4 | RF=0 | ||||||
Das softwaredefinierte Fahrzeug wird der Standard für alle zukünftigen Fahrzeuge sein. Security by Design, also die Integration von Cybersicherheit in die Entwicklung eines Fahrzeuges, ermöglicht es OEMs, ihren Kunden ein maßgeschneidertes Nutzungserlebnis ohne Ausfallzeiten oder Werkstattaufenthalte anzubieten.
