September 2016

Software
Fachmedium für Software zur Fahrzeugelektronik

Praxis-Erfahrungen zur Anwendung von Cyber Security:

Risiko-orientierte Methodik

(Bild: Vector Informatik)

Die zunehmende Komplexität von Systemen weit über das Fahrzeug hinaus und offene Schnitt-
stellen erfordern konsequentes Risikomanagement, durchgängige Qualitätssicherung und einen
systematischen Entwicklungsprozess. Daher hat Vector bewährte Verfahren zum Thema „Auto-
motive Cyber Security“ zusammengefasst.
Von Dr. Christof Ebert und Dr. Eduard Metzker
Safety & Security
C
yber Security ist in allen Unter- Abhilfe schafft eine Risiko-orientier-
nehmen als wesentliche Heraus- te Kultur, in der funktionsübergreifend
forderung angekommen.“ So Security spezifiziert, entwickelt und
fasst Dr. Thomas Beck, Geschäftsführer durchgängig verifiziert und validiert
der Vector Informatik, seine Erfahrun- wird. Bild 1 zeigt diese Wertschöpfungs-
gen mit Unternehmen weltweit zusam- kette und betont insbesondere auch die
men. Als die Vector-Gruppe in 2007 im Gefahren von innen und außen. Es
Rahmen einer VDI-Veranstaltung in wäre naiv anzunehmen, dass Angriffe
Baden-Baden erstmals auf die wachsen- nur von außen erfolgen. Verwundbar-
de Relevanz gerade im Zusammenhang keiten entstehen durch nachlässige
mit funktionaler Sicherheit mit einem Entwicklungsprozesse, unsystematische
Praxisbeitrag hinwies und eigene Lö- Freigaben, aber auch gezielt durch
sungen vorstellte, waren viele Unter- bewusste Fehler wie „Hintereingänge“
nehmen der Meinung, dass Security und „Master-Codes“. Unternehmen
bereits ausreichend beherrscht wird. müssen die gesamte Lieferkette absi-
Diese Einstellung hat sich komplett chern und dabei auch immer wieder die
gewandelt, wie auch das Vector-Sym- Perspektive wechseln. Es braucht die
posium 2016 kürzlich zeigte. Fähigkeit, wie ein Angreifer zu denken,
um darauf aufbauend präventiv als In-
Es gibt keine absolute Sicherheit genieur oder Führungskraft zu handeln.
Diese Absicherung muss immer funkti-
Absolute Sicherheit wird es nicht ge- onieren, vor allem auch bei kurzfristigen
ben, weil jedes komplexe System Fehler Änderungen kurz vor Liefertermin oder
hat. Jedes Unternehmen muss für seine bei Regressionen in Varianten eines
Produkte, Prozesse und Lieferkette ein Produkts Jahre nach der ursprünglichen
risiko-orientiertes Cyber Security Ma- Freigabe.
nagement aufstellen, das über den
gesamten Lebenszyklus und die ganze Ganzheitlicher Ansatz
Lieferkette verlässlich und nachvollzieh-
bar funktioniert. Erfahrungen bei Vector Cyber Security ist branchenübergrei-
zeigen, dass sich Security häufig auf fend ein hohes Geschäftsrisiko gewor-
organisch gewachsene Einzelmaßnah- den, weil es keinen absoluten Schutz
men wie Verschlüsselung beschränken. gegen Hacker und Missbrauch gibt.
Kryptolösungen, Key Management, Lorenz Slansky von Daimler unter-
Code-Analyse, Fuzz Testing und Fire­ streicht, dass Cyber Security zunehmend
walls sind zwar notwendig, aber sie wichtig für eine Marke ist und demzu-
bringen nicht viel, wenn Einfallstore folge einen Wettbewerbsvorteil dar-
bewusst oder unbewusst offen bleiben. stellt. Bei kritischen Systemen wie im
Über 90  Prozent aller sicherheitsrele- Fahrzeug besitzt die Informationssicher-
vanten Störungen gehen nach den heit eine hohe Relevanz und darf nicht
Erfahrungen von Vector und Umfragen durch eine eingeschränkte Benutzbar-
bei Kunden auf menschliche Fehler keit kompromittiert werden. Kernpunk-
zurück. te bei der Entwicklung von Schutzsys-
temen sind die
richtige Identi-
Security by Design Security im Netz
fizierung von
Sicherheitsan-
forderungen,
die systemati-
Entwicklung Services
sche Realisie-
rung von Si-
interne externe
Bedrohungen Security in der Lieferkette Security-Überwachung Bedrohungen cherheitsfunk-
tionen und eine
Sicherheit s-
überprüfung
Produktion Betrieb mit dem Ziel
des durchgän-
Bild 1. Risiko-orientierte Security muss den gesamten Lebenszyklus betrachten.  gigen Nachwei-
 (Bild: Vector Consulting Services) ses, dass alle
Sonderdruck aus Elektronik automotive Sonderausgabe Software 2016
relevanten Sicherheitsanforderungen
erfüllt sind. Security-Richtlinien wie SAE
J3061 helfen dabei, von anderen Bran-
chen zu lernen und wesentliche Aspek-
te schnell umzusetzen. Lorenz Slansky
weiß, dass proprietäre Lösungen häufig
nur vermeintliche Sicherheit vorgau-
keln, und stellt klar: „Security by Obscu-
rity hindert Hacker nicht, aber verzögert
gute Lösungen.“ Dr. Christian Meineck
von Porsche ergänzt: „Security-Konzep-
te müssen das Fahrzeug und die IT-
Netze im und außerhalb des Fahrzeugs
betrachten.“ Bild  2 zeigt einen Aus-
schnitt von Angriffsszenarien, wie sie
bei Herstellern evaluiert werden. Die
Zeiten einzelner funktionaler Einheiten
sind vorbei; das komplexe System Fahr-
zeug braucht Lösungen, wie sie heute
in komplexen IT-Systemen bereits ge-
lebt werden, beispielsweise ständige
Software Upgrades – in kürzester Zeit
und natürlich „Over the Air“ (OTA). Mit
Standards kann man rasch von der IT
lernen und verhindern, dass Fehler und
Fehlentwicklungen in jeder Branche
aufs Neue wiederholt werden.
Durch den hohen Grad der Vernet-
zung von Funktionen im Fahrzeug un-
tereinander und durch zunehmend
offene Schnittstellen nach außen ist
nicht nur die einzelne Funktion betrof-
fen, sondern auch weitere Systeme, die
dem Systemverbund angehören und
mit dieser Einzelfunktion interagieren.
Das schließt auch nichtelektrische Merk-
male mit ein. Beispielsweise könnte
durch einen funktionalen Eingriff auf
einem Bussystem eine Warnung bei
mechanischem Verschleiß nicht mehr
funktionieren. Masahiro Goto und Mar-
tin Prisching von Denso zeigten hier-
durch auf, dass Safety- und Security-
Aspekte letztlich gemeinsam betrachtet
werden müssen. Dazu wird die Angriffs-
baumanalyse (ATA) um die Fehlerbaum­
analyse (FTA) ergänzt, um systematisch
beide sicherheitskritische Bereiche
abzudecken. Klar ist ebenfalls für sie:
„Alle Schichten der Security-Architektur
sind zur durchgängigen Absicherung
nötig, um das bekannte Konzept der
Defense in Depth zu erzielen.“ Bild  3
zeigt am Beispiel Cooperative Adaptive
Cruise Control (CACC), wie verschiedene
Maßnahmen im Signalweg gegen Be-
drohungen schützen. Katharina Loh-
mann von Hella sieht gerade bei Verifi-
kation und Validierung großen Hand-
 Safety & Security

eine Aufgabe für den gesam-

Manipulieren Schlüssel-
Lauschen duplikate/ ten Lebenszyklus – egal wie
Motor- Fälschung von lang der ist.
Wiedergeben steuerung Autodiebstahl
Bauteilen Ablenkung
Injizieren unterbrechen Die Unternehmen sind sich
des Fahrers einig, dass durchgängige Risi-
Chip-Tuning falsche Warnungen
www ko-orientierte Security nicht
(MNO) Sensoren allein durch Patches auf Steu-
Manipulieren ergeräte- und Netzwerkebene
Lauschen IP-Verlust Datenverlust Fahrerassistenz- Privatsphäre
Airbag- verletzen erreichbar ist. Security muss die
Wiedergeben Kommunikation systeme gesamte Architektur adressie-
Injizieren fälschen manipulieren Steuerung
ren. Bild 4 zeigt das Referenz-
Bild 2. Angriffsszenarien auf ein Fahrzeug.  (Bild: Porsche) modell von Vector mit klarer
Separierung der Subnetze.
lungsbedarf. Während Prozess-Rahmen betont. Er hat im weltweit größten Zwischen den Subnetzen sind Firewalls
wie SPICE genutzt werden, um proaktiv Feldversuch Public Key Infrastructure sowie Intrusion-Detection-Systeme
Fehler im Engineering und in der War- (PKI) für Vehicle-to-Vehicle- (V2V) und platziert. Derartige verteilte Security-
tung zu vermeiden, muss die Fehlerent- Vehicle-to-Infrastructure- (V2I) Kom- Architekturen gelten in den aktuellen
deckung flächendeckend gestärkt wer- munikation umgesetzt, die Performanz Projekten des Werkzeug-Herstellers als
den, beispielsweise durch systematische und Datenschutz kombiniert. Seine Königsweg, weil sie schrittweise umge-
Scans der Software sowie durch neue Logik ist einfach: „Priorität eins ist setzt werden können. Voraussetzung
Testverfahren wie Fuzz Testing und funktionale Sicherheit und Priorität dafür ist eine geschichtete Security-
Penetrationstests. Dr. Günther Heling zwei ist Datenschutz.“ Dietmar Hilke Architektur, wie sie auch von Denso und
von Vector unterstreicht aus eigener von Thales Deutschland entwickelt anderen Tier-1-Lieferanten propagiert
Erfahrung in der Entwicklung und Lie- Lösungen für höchste Security-Anfor- wird. Beginnend mit einem Hardware-
ferung modernster Basis-Software, dass derungen. Design for Security ist für basierten Anker und AUTOSAR mit den
hier nur eine automatische Lieferkette ihn ein wichtiges Werkzeug; er holt aktuellen Krypto-Lösungen, werden die
mit rigoros gelebten Freigabekriterien Anleihen bei der Immunologie in der einzelnen Komponenten individuell
die nötige Qualität schafft. Medizin. Genauso, wie es multiresis- abgehärtet. Dr. Achim Fahrner von ZF
tente Keime gibt, werden auch die betont in dieser Schichtung die Bedeu-
Kryptografie als Lösung Angriffe immer wieder neue Muster tung eines Krypto-Koprozessors und
entwickeln. Hier hilft nur eine systemi- Hardware Security Module (HSM), um
Kryptografische Methoden sind heute sche Resilienz, in der die Widerstands- Resilienz und Robustheit von unten her
ein wesentlicher Bestandteil von Se- fähigkeit kontinuierlich erweitert wird. aufzubauen. Die Kommunikation zu
curity-Lösungen. Klaus Schmeh von Security beginnt im Design, ist aber sicherheitskritischen Subsystemen wie
Cryptovision geht
davon aus, dass bei-
spielsweise das Ver- Daten- Cloud
LTE H/U ... ...
schlüsselungsver- zentrale Fahrzeug Multimedia
TCU
fahren AES mit 1038 Bluetooth Fahrzeug
Smartphone Wi-Fi ADAS Positionsanzeiger ...
möglichen Schlüs- Bluetooth GW ADAS
seln in absehbarer Wi-Fi
V2X- ENG AT ...
Zukunft auch mit Antriebsstrang
ITS
Quantencomputern Kommunukation
EVSE EPS Bremse ...
nicht zu knacken Chassis
PLC
sein wird. Eine Standleitung
A/C Tür ...
wichtige Herausfor- Body
Diagnose
derung besteht da- Standleitung
Layer 1 Layer 2 Layer 3 Layer 4
rin, dieses und an-
Beschleunigungs-
dere Verfahren auf
anforderung Torque
sinnvolle Weise in
CACC V2V Protokoll V2V GW CACC VLC Motor
MaxGuar

Fahrzeug-IT-Syste-
me zu integrieren. GPS Key Server SHE Bremse
Dem entgegen
Geschwindigkeit Radar
steht die Anforde- Beschleunigung MAC
rung nach hoher Bremspedal
Performanz, wie Dr. Geschwindigkeits- ECU CRC
Bedrohung sensoren
Andre Weimers-
kirch von der Uni-
versity of Michigan Bild 3. Alle Security-Schichten sind zur durchgängigen Absicherung nötig.  (Bild: Denso Automotive)

Sonderdruck ausElektronik automotive Sonderausgabe Software 2016

Safety & Security

ter, in dem nicht Stärke

Schwäche ausnutzt,
Diagnoseschnittstelle Head Unit sondern Intelligenz
Kombi- Leichtsinnigkeit. Dabei
instrument
DSRC 4G LTE geht es um Fehler in der
Konfiguration von
Firewalls und Gateways,
Antriebs-
strang DC nicht abgestimmten
Central Verbindungs- CU kurzfristigen Software-
Gateway Gateway
Änderungen sowie kom-
Chassis plizierten Benutzer-
DC Laptop schnittstellen, sodass die
Security-Maßnahmen im
Default-Status und damit
Body Tablet leicht angreifbar bleiben.
DC Auf Basis von Bedro-
Smartphone hungsanalysen, der Be-
reitstellung von Infra-
ADAS strukturkomponenten
intelligentes
DC Laden und Werkzeugen für
Verifikation und Monito-
Firewall Monitoring/Logging sichere Onboard-Kommunikation sicheres Flashen/Booten ring bis hin zur Architek-
turbewertung und Secu-
Schlüsselinfrastruktur Hypervisor sichere Offboard-Kommunikation sicherer synchroner
rity Consulting unter-
kryptografische Time-Manager
ID/IP Download Manager stützt Vector durchgän-
Primitiven
gig. Nur eine durchgän-
gige Systematik schafft
Bild 4. Security durch Design in der Praxis: Verschiedene Subnetze sollten weitestgehend separiert werden.  (Bild: Vector Informatik) Cyber Security: von der
initialen Gefährdungs-
Lenkung und Bremsen sollte keinerlei zessual gestärkt werden, um anhand analyse über Architekturentscheidun-
direkte Verbindung zu Infotainment und definierter Kriterien die Bedrohungen gen und Verifikation bis zu Regressions-
anderen verwundbaren Systemen auf- zu evaluieren und verschiedene Lö- tests bei jeder Neulieferung und Ände-
weisen. Das gilt insbesondere auch bei sungsansätze vor der Umsetzung zu rung. Nachhaltige Security, die über ein
Over-the-Air Upgrades, die zunehmend vergleichen. Regelmäßige Architektur- Strohfeuer hinausgehen soll, braucht
zum Einsatz kommen. Axel Freiwald von Reviews sowie die Anpassung der Test- Durchgängigkeit und die Zusammen-
Infineon unterstreicht, dass OTA zwar strategie mit Fokus auf Security vertie- arbeit mit Profis. eck
die Anzahl der Rückrufe drastisch redu- fen das Verständnis bei den Entwicklern
ziert, aber auch sorgfältig abgesichert und Führungskräften, dass Security-
werden muss, bevor es in vorhandenen Maßnahmen kein Strohfeuer sind, son-
Netzen zum Einsatz kommt. Nicht nur dern in jedem Projekt gelebt werden Dr. Christof Ebert
die IT-Anforderungen wachsen, bei- müssen. Derartige Konzepte lassen sich studierte Elektrotechnik und
spielsweise Rollback und Verfügbarkeit, natürlich nicht einfach überstülpen und Informatik an der Universität
sondern vor allem auch die abgesicher- sie brauchen starke Ankerpunkte in der Stuttgart und promovierte
te Verteilung der Software auf die Steu- Organisation. In den von Vector betreu- dort. Er ist seit 2006 Geschäfts-
ergeräte. ten Projekten zeigt sich, dass Security führer der Vector Consulting
Unternehmen müssen die Kompe- damit nachhaltig wird, denn die Teams Services GmbH und Professor
tenzen in den Bereichen Security sowie haben eine greifbare, klare Verantwor- an der Universität Stuttgart.
System- und IT-Architektur ausbauen, tung. christof.ebert@vector.com
um die organisch gewachsene Archi-
tektur schrittweise zu modularisieren. Security braucht durchgängige Dr. Eduard Metzker
Gleichzeitig sollten sie eine Strategie Systematik studierte Informatik an der
zur nachhaltigen Unterstützung ver- Universität Ulm und promo-
schiedener Organisationseinheiten Fazit aus den Security-Projekten bei vierte am Daimler-Forschungs-
umsetzen. Operativ kann das durch Vector: Der Grat zwischen systemati- zentrum in Ulm. Seit 2008 ist
einen Security Manager gelenkt wer- scher Umsetzung von Automotive Cyber er als Produktmanager bei der
den, der die Freigabe von Architekturen Security und wirkungslosen Einzelmaß- Vector Informatik GmbH und
und Komponenten-Releases verantwor- nahmen ist schmal und benötigt pro- seit 2015 als Manager der Cyber Security Solution bereichs-
tet. Die üblichen Change Control Boards fessionelle Unterstützung. Security- übergreifend verantwortlich.
müssen dazu fachlich, aber auch pro- Angriffe haben ein gemeinsames Mus- eduard.metzker@vector.com

Sonderdruck aus Elektronik automotive Sonderausgabe Software 2016