IT-Sicherheit auf der Straße

Cyber-Abwehrzentrum für das Connected Car

11.04.2019
Von 
Christian Olt ist Senior Security Manager im Bereich Automotive & Manufacturing bei T-Systems.
Immer wieder finden Forscher Sicherheitslücken in Autos. Um die Passagiere zu schützen, müssen Autohersteller ihre vernetzten Fahrzeuge auch auf der Straße gegen Cyberangriffe verteidigen. Eine Methode aus der IT: ein Security Operation Center (SOC).
Ein Automotive-SOC ermöglicht es, Cyberangriffe auf vernetzte Fahrzeuge rasch zu erkennen und abzuwehren.
Ein Automotive-SOC ermöglicht es, Cyberangriffe auf vernetzte Fahrzeuge rasch zu erkennen und abzuwehren.
Foto: Deutsche Telekom

Perfekte IT-Sicherheit gibt es nicht. Auch nicht im Auto. Elf Prozent aller Pkw weltweit verfügen bereits über einen fest verbauten Internetzugang, so der Digital Market Outlook von Statista, Tendenz steigend. Egal ob Navigations-App, automatischer Notruf oder schlüsselloses Türöffnen - mit dem Grad der Vernetzung steigt auch der Komfort beim Autofahren. Doch diese Annehmlichkeiten haben eine Schattenseite: Das vernetzte Auto gerät stärker ins Visier von Cyberkriminellen.

Wie hoch die Wahrscheinlichkeit eines Angriffs auf vernetzte Fahrzeuge ist, haben Security-Tests in den vergangenen Jahren regelmäßig deutlich gemacht: Erst im September 2018 veröffentlichten belgische Forscher, dass es ihnen gelungen war, den digitalen Schlüssel eines Tesla Model S innerhalb weniger Sekunden zu klonen. Damit konnten sie das Fahrzeug öffnen und starten.

Das Problem: Selbst wenn die Automobilindustrie die IT-Sicherheit ihrer Fahrzeuge schon in der Entwicklung berücksichtigt, könnten später Sicherheitslücken auftreten. Etwa, wenn ein Hacker einen Verschlüsselungsalgorithmus knackt, der bisher als sicher galt. Kurz: Egal, wie ausgereift die Schutzsysteme sind - erfolgreiche Cyberattacken auf vernetzte Fahrzeuge können niemals hundertprozentig ausgeschlossen werden. Und im Notfall stehen die Gesundheit und das Leben des Autofahrers und seiner Mitfahrer auf dem Spiel - etwa dann, wenn es einem Angreifer gelänge, bei voller Fahrt die Bremsen zu manipulieren.

Security Operation Center mit Auto-Knowhow

Experten im Automotive-SOC müssen rund um die Uhr alle Datenflüsse im und um das Fahrzeug im Blick behalten.
Experten im Automotive-SOC müssen rund um die Uhr alle Datenflüsse im und um das Fahrzeug im Blick behalten.
Foto: Deutsche Telekom

IT-Sicherheit für das Connected Car heißt daher auch, ein Fahrzeug während seiner gesamten Nutzungsdauer ständig auf Cyber-Angriffe zu prüfen und Angreifer abwehren zu können. In der klassischen IT-Welt ist das bereits Usus: in Security Operation Centern (SOCs). Jedes zweite große Unternehmen weltweit nutzt laut der Unternehmensberatung EY solche Cyber-Abwehrzentralen, um die Sicherheit seiner Office-IT zu überwachen. Ein Prinzip, von dem auch die Automobilindustrie profitieren könnte.

Autodaten sind Personendaten

Manchmal können schon die Motordrehzahl und Fahrzeuggeschwindigkeit verraten, wer in einem bestimmten Wagen am Steuer sitzt. Zum Beispiel, wenn der eine Autonutzer gerne schnell fährt, der andere vorsichtig. Deshalb fallen auch solche Daten unter den Datenschutz – auch in einem Automotive-SOC. Laut der Definition des Verbands der Automobilindustrie (VDA) und Datenschutzexperten von Bund und Ländern gelten Fahrzeugdaten als personenbezogen, sobald sie mit der Fahrzeugidentifikationsnummer (VIN) oder dem Kfz-Kennzeichen verknüpft sind. Zusätzlich sollten Schutzbestimmungen für alle Daten in einem Automotive-SOC umgesetzt werden. Eine wichtige Maßnahme ist die Anonymisierung oder Pseudonymisierung von Fahrzeugdaten, noch bevor sie vom Backend des Herstellers an das Automotive-SOC übertragen werden.

Ein solches Automotive-SOC sammelt sicherheitsrelevante Daten aus dem Fahrzeug und seiner Umgebung, durchsucht sie nach Hinweisen auf Cyber-Attacken und koordiniert Gegenmaßnahmen. Der Unterschied zum IT-SOC: Ein Automotive-SOC benötigt nicht nur IT- und Security-Knowhow, sondern auch profundes Fahrzeugwissen. Muss doch ein SOC-Mitarbeiter etwa erkennen können, ob eine spezifische Nachricht im Bordnetz des Fahrzeugs von einer Systemfunktion stammt - oder von einem Eindringling.

Die Datenbasis für die Angriffserkennung stammt aus zwei unterschiedlichen Quellen: aus Detektionssystemen und der so genannten Threat Intelligence. Wichtigste Datenquelle ist das Auto selbst. Viele Automobilhersteller arbeiten derzeit intensiv daran, Intrusion-Detection-Systeme (IDS) in ihre Fahrzeuge zu integrieren. Ein solches IDS könnte beispielsweise nach auffälligen Nachrichten im Bordnetz suchen. Doch nur das Auto selbst zu prüfen reicht nicht aus. Ein Angriff könnte schließlich auch über das Backend des Herstellers erfolgen. Zum Beispiel, wenn ein Eindringling dort ein Update für die Fahrzeugsoftware manipuliert. Deswegen muss ein Automotive-SOC auch Daten aus Detektionssystemen im Mobilfunknetz und Backend einschließen.

Den Feind erforschen

Ein Security-Information- und Event-Management-System (SIEM) analysiert und korreliert stetig Daten aus Detektionssystemen und externen Quellen wie Honeypots.
Ein Security-Information- und Event-Management-System (SIEM) analysiert und korreliert stetig Daten aus Detektionssystemen und externen Quellen wie Honeypots.
Foto: Deutsche Telekom

Hinzu kommt die Threat Intelligence: Experten im SOC suchen dabei auch außerhalb des Ökosystems des vernetzten Fahrzeug nach Gefahren aus dem Cyberspace. Sie analysieren zum Beispiel soziale Medien, einschlägige Foren und das Darknet nach Informationen über geplante oder laufende Auto-Hacks. Wertvolle Hinweise kann auch der Austausch mit anderen Automobilherstellern, IT-Unternehmen, der Forschung oder mit Sicherheitsbehörden liefern. Über ein Bug-Bounty-Programm belohnen Hersteller wie Fiat Chrysler und Tesla White-Hat-Hacker, die Sicherheitslücken entdecken und rechtzeitig vor einer Veröffentlichung melden.

So geht ein Automotive-SOC vor:

1. Sicherheitsrelevante Informationen aus dem Fahrzeug- und Fahrzeugumfeld werden zentral gesammelt. Dazu zählen Daten aus Intrusion-Detection-Systemen und aus der Threat Intelligence.

2. Die Daten werden vor der Weiterverarbeitung anonymisiert oder pseudonymisiert, um den Datenschutz zu wahren.

3. Ein SIEM-System durchsucht die Daten anhand fester Regeln nach Hinweisen auf einen Hackerangriff und gibt über ein Dashboard Alarme aus.

4. Security-Analysten bearbeiten die Alarme, stoßen zuvor definierte Gegenmaßnahmen an oder erarbeiten neue Reaktionswege.

Denkbar sind zudem technische Hilfsmittel: Um die Methoden von Cyberkriminellen zu studieren, betreibt beispielsweise die Deutsche Telekom 2.200 logische und 511 physische Honeypots - Systeme, die absichtlich Hacker anlocken. Ebenso könnte eine Fahrzeugsimulation mit einem absichtlich schlecht gesicherten Internet-Gateway gezielt Aufschluss über Wissen, Tools und Ziele von Autohackern liefern.