IT-Sicherheit auf der Straße

Cyber-Abwehrzentrum für das Connected Car

11.04.2019
Von 
Christian Olt ist Senior Security Manager im Bereich Automotive & Manufacturing bei T-Systems.

SIEM-System als Herz der Cyberabwehr

Beispiel für ein Angriffsszenario: Ein Hacker könnte versuchen, mit einer SIM-Karte aus einem verschrotteten Fahrzeug auf das Hersteller-Backend zuzugreifen (Grafik 1).
Beispiel für ein Angriffsszenario: Ein Hacker könnte versuchen, mit einer SIM-Karte aus einem verschrotteten Fahrzeug auf das Hersteller-Backend zuzugreifen (Grafik 1).
Foto: Deutsche Telekom

Für die Analyse der sicherheitsrelevanten Daten aus den Detektionssystemen und externen Quellen ist ein spezielles System zuständig: das Security-Information- und Event-Management-System, kurz SIEM. Es durchsucht die Daten anhand fester Wenn-Dann-Regeln nach Hinweisen für Cyber-Angriffe. Ein vereinfachtes Beispiel: "Wenn eine als bösartig bekannte IP-Adresse versucht, ein Fahrzeug zu erreichen, dann gebe einen Alarm aus." Anhand dieser Regeln werden die Alarme zudem nach Dringlichkeit priorisiert. Um das Regelwerk für ein SIEM-System zu entwickeln, müssen Automobil- und Security-Experten überlegen, wie Autohacker vorgehen könnten. Diese Angriffsszenarien (s. Grafik 1) bilden eine sogenannte Threat-Library. Während solche Threat-Libraries für die klassische IT längst üblich sind, steht ihre Entwicklung im Umfeld vernetzter Fahrzeuge noch am Anfang.

Rollen in einem Automotive-SOC: Die Sicherheits-Analysten sind idealerweise in verschiedene Eskalationslevel unterteilt.
Rollen in einem Automotive-SOC: Die Sicherheits-Analysten sind idealerweise in verschiedene Eskalationslevel unterteilt.
Foto: Deutsche Telekom

Die Alarme, die das SIEM-System über ein Dashboard ausgibt, werden von Security-Analysten gemäß Priorität bearbeitet. Die Analysten sind in verschiedene Eskalationslevel unterteilt (s. Grafik 2). Die Experten im ersten Level filtern Fehlalarme heraus und kümmern sich um Vorfälle, für die es bereits feste Handlungsvorgaben - sogenannte "Runbooks" - gibt. Dauert die Bearbeitung zu lange oder ist für den vorliegenden Fall kein Runbook entwickelt, gibt der Analyst den Fall an einen Kollegen eines höheren Levels weiter. Bei ganz komplexen oder kritischen Vorfällen kommt die IT-Forensik ins Spiel: also Spezialisten, die Angriffe rekonstruieren und untersuchen, welche Systeme kompromittiert wurden. Um das herauszufinden, sichern Forensiker zum Beispiel Daten wie den Fehlerspeicher persönlich aus einem betroffenen Fahrzeug.

Automotive-SOC im Hybridbetrieb

Für den langfristigen Schutz des Connected Cars und seiner Passagiere ist eine spezialisierte Cyber-Abwehrzentrale ein Muss. Auch der Automobilverband VDA sieht die "Feldbeobachtung" - die Identifikation möglicher Cyberangriffe - als zunehmend unverzichtbar für die Datensicherheit in der vernetzten Mobilität. Bisher existieren Automotive-SOCs jedoch nur in der Theorie.

Wollen Automobilhersteller eine solche Einrichtung aufbauen, müssen sie sich entscheiden, ob sie das SOC komplett selbst betreiben oder einen spezialisierten Partner hinzuziehen wollen. In der IT-Welt arbeiten laut einer Studie des SANS-Instituts bereits viele Organisationen vor allem bei der Threat Intelligence, IT-Forensik und Angriffsdetektion mit Managed-Service-Providern zusammen.

In Zukunft wird sicher jeder Autobauer über ein Cyberabwehrzentrum für vernetzte Fahrzeuge verfügen. Um die Sicherheit von Autofahrern und Mitfahrern weiter zu erhöhen, sollten diese Automotive-SOCs eng zusammenarbeiten und sich - wie klassische IT-SOCs - über Taktiken, Technologien und Vorgehen (TTP) von Hackern austauschen.