Fortwährende Verbesserung des Sicherheitsniveaus

Im Folgenden wird am Beispiel der Präventions- Detektions- und Reaktionsleistung automoti-ver Schutzkonzepte qualitativ illustriert, wie das Sicherheitsniveau der Fahrzeuge im Rah-men eines kontinuierlichen SicherheitsmanageRah-mentprozesses stetig verbessert und an die aktuellen Bedrohungslagen angepasst werden könnte.

Zunächst illustriert Abbildung 47 qualitativ, wie sich dies für bereits ausgelieferte Fahrzeuge einer Modellgeneration gestalten könnte. Jeder Balken im linken Teil skizziert dabei das komplette Spektrum sämtlicher, für diese Fahrzeuge potentiell vorliegender IT-Sicherheits-Risiken. In diesem Spektrum werden somit grundsätzlich auch Risiken betrachtet, von deren Existenz der Hersteller zum Betrachtungszeitpunkt (noch) keine Kenntnis hat oder denen er eine geringe Relevanz zuschreibt (z.B. mangels aktuell fehlender Bedrohungslage oder be-kannter Schwachstellen). Innerhalb der roten Grundfläche dieses Risikospektrums verdeutli-chen die farbliverdeutli-chen markierten Bereiche, dass jeweils einige Risiken bereits durch Maßnah-men der Prävention (P bzw. dunkelgrün), Detektion (D bzw. gelb) und Reaktion (R bzw. hell-grün) adressiert wurden²⁸. Der verbliebene sichtbare Bereich der roten Grundfläche kenn-zeichnet somit den Anteil der restlichen Risiken, die zum Betrachtungszeitpunkt weder durch präventive, detektive oder reaktive Maßnahmen adressiert sind.

Im Rahmen des im rechten Teil skizzierten Sicherheitsmanagements analysiert und bewertet der Hersteller wie zuvor beschrieben die aktuelle Bedrohungslage und sucht nach Hinweisen

28 Diejenigen Risiken, denen wirksame Reaktionen zugeordnet werden können, stellen i.d.R. eine echte Teilmenge der Risiken grundsätzlich detektierbarer Vorfälle dar, in diesem Fall gilt R  D.

auf IT-Sicherheitsrisiken, gegen die die Fahrzeuge noch nicht ausreichend geschützt sind.

Kritisch zu reflektieren sind hierbei insbesondere die noch unadressierten Restrisiken (rote Teilbalken in Abbildung 47), aber auch vorhandene Maßnahmen der Detektion (gelb) und Reaktion (hellgrün) können noch Optimierungspotential bieten (vgl. Umsetzungsmöglichkei-ten aus Abschnitt 5.2 bzw. 5.3). Findet der Hersteller ein relevantes Sicherheitsrisiko, kann er in der Folge aus den Erkenntnissen abgeleitete Maßnahmen einleiten, um das Sicher-heitsniveau der im Feld befindlichen Fahrzeuge entsprechend zu erhöhen (Pfeile in der rech-ten Bildhälfte). Die so erzielbaren Steigerungen der Präventions-, Detektions- oder Reakti-onsleistung sind dabei beispielhaft im Verhältnis der entsprechend gefärbten Pfeilspitzen illustriert sowie im linken Teil zusätzlich als ∆P, ∆D und ∆R gekennzeichnet.

P D

^R

P D

Unadressiertes Restrisiko

R

Unadr. Restrisiko

P D

ΔD ΔR

R

U. Restr.

ΔP

ΔD ΔR ΔP

Maßnahmen (z.B. Fern-administration, Rückrufaktionen)

Maßnahmen (z.B. Fern-administration, Rückrufaktionen)

Maßnahmen (z.B. Fern-administration, Rückrufaktionen)

Maßnahmen (z.B. Fern-administration, Rückrufaktionen)

Fah rz eu gh erstell ers eiti ges Sich er he its m ana ge m ent

Z e i t v e r l a u f

Abbildung 47: Anpassung des Sicherheitsniveaus innerhalb einer Modellgeneration (Auszug) Als einleitbare Maßnahmen zur Verbesserung des Sicherheitsniveaus (Abbildung 46 rechts) sind folgende beispielhafte Optionen mit ihren jeweiligen Vor- und Nachteilen zu nennen:

 Fernadministration: Eine für den Hersteller finanziell vergleichsweise günstige Alterna-tive wäre eine Fernadministration der Fahrzeug-IT. Erste bereits heute in begrenztem Umfang verfügbare mobilfunkgestützte Lösungen für Fernzugriffe (vgl. Abschnitt 2.4.5) könnten diesbezüglich in Zukunft auch auf Basis der C2X-Kommunikation weiter ausge-staltet werden. Hierfür müssen zuvor noch die rechtlichen Rahmenbedingungen geklärt werden, z.B. ob / welche Eingriffe durch den Fahrzeugbesitzer oder -führer zu bestätigen sind bzw. ob hierzu ausdrückliche Einverständniserklärungen erforderlich sind.

Für fahrzeuginterne Intrusion-Detection/Response-Komponenten könnten beispielsweise neue Erkennungssignaturen oder Vorgaben zur Reaktion auf entsprechende Vorfälle nachgeliefert werden, wie es u.a. in den Abschnitten 5.2.1 und 5.2.7 beschrieben wurde.

Auch das Sicherheitsniveau weiterer Systeme kann mittels Fernadministration erhöht werden. Präventiv geschlossen werden könnten insbesondere solche Schwachstellen von Fahrzeugsystemen, deren Wurzeln lediglich in einer ungeeigneten Konfiguration lie-gen. In einer fehlerhaften Implementierung einer Steuergeräte-Software begründete Lü-cken könnten grundsätzlich durch remote initiierte Firmwareupdates geschlossen werden, die jedoch ggf. gewisse Rahmenbedingungen einhalten müssen (z.B. Updatevorgang nur bei stehendem Fahrzeug außerhalb des öffentlichen Verkehrs). Unter Umständen könn-ten so ggf. auch im Design von Fahrzeugsystemen begründete Schwachstellen über re-mote initiierte Softwareupdates geschlossen werden. Dies kommt jedoch nur infrage, wenn deren Ursachen ausschließlich im Softwaredesign liegen, die Geräteressourcen für die nach Redesign neuerstellte Implementierung ausreichen und keine Hardwareerweite-rungen erforderlich sind.

Beim Vorliegen von Schwachstellen, die sich im Rahmen einer Fernadministration nicht wirksam schließen lassen, könnten in begründeten Fällen auch einzelne Komponenten (vorübergehend) deaktiviert bzw. in einen Notlaufmodus versetzt werden, um absehbare Gefahren (die sie betreffen oder von ihnen ausgehen) zu verhindern oder in der Wirkung abzuschwächen.

 Rückruf: Tiefergehende Eingriffe, die insbesondere auch einen Austausch von Hard-warekomponenten umfassen können, wären im Rahmen von Rückrufaktionen möglich. In Deutschland liegt nach dem Produktsicherheitsgesetz (ProdSG) sogar eine Rückrufpflicht vor, wenn ein Produktmangel – wozu auch eine IT-Sicherheitslücke gezählt werden kann – zu relevanten Gefahren für den Menschen führen kann. Da mit einem solchen Rückruf hohe Kosten verbunden sind, die i.d.R. der Hersteller selbst zu tragen hat, stellt dies aus dessen Sicht jedoch typischerweise die letzte zu ziehende Option dar. Dafür ermöglicht ihm ein Rückruf im Fall einer schweren Sicherheitslücke umfangreiche Optionen. Diese reichen durch den physischen Zugriff auf die Fahrzeuge deutlich über die zur Fernadmi-nistration (s.o.) genannten Möglichkeiten hinaus und ermöglichen u.a. einen kompletten Austausch betroffener Fahrzeugsysteme gegen Neuentwicklungen mit überarbeiteter / gehärteter Soft- und Hardwarearchitektur.

 Stiller Rückruf: Eine Alternative stellt ggf. der sog. „stille Rückruf“ dar, bei dem bekannte Mängel im Rahmen der ohnehin vorhandenen, i.d.R. regelmäßig angesetzten Service-termine behoben werden. Dies stellt zwar eine kostengünstigere Variante mit denselben umfangreichen Eingriffsmöglichkeiten dar. Aufgrund der typischen Wartungszyklen (Jah-resabstände und mehr) kommt dieser Kompromiss jedoch lediglich zum Schließen min-derkritischer Schwachstellen infrage – d.h. bei denen u.a. kein Zeitdruck vorliegt und kei-ne schwerwiegenden Schäden drohen.

Das in Abbildung 47 dargestellte Verhältnis der erzielbaren Steigerungen der Präventions-, Detektions- oder Reaktionsleistung wurde beispielhaft, aber bewusst gewählt. Insbesondere soll verdeutlicht werden, dass im Fall bereits ausgelieferter Fahrzeuge Möglichkeiten zur nachträglichen Prävention von (vormals nicht betrachteten) IT-Sicherheitsvorfällen vermutlich nur begrenzt realisierbar sind und deren Behandlung stattdessen in vielen Fällen über den Ansatz der Detektion und ggf. zusätzlich Reaktion zu behandeln wäre. Aus Aufwands- und Kostengründen kommt z.B. der präventionsdienliche Tausch ganzer Steuergeräte oder ein-zelner ihrer Komponenten (z.B. Chips mit gebrochenen oder fehlerhaften Krypto-Implemen-tierungen in Hardware) oft nicht infrage, insbesondere wenn entsprechende Angriffe ggf.

auch noch zur Laufzeit geeignet erkenn- und behandelbar sind.

Diese Situation ändert sich für den Hersteller mit Blick auf noch in der Entwicklung befindli-che Fahrzeuge. Diese können bei Bedarf noch mit präventiven Maßnahmen gegen neu ent-deckte Risiken geschützt werden, welche in den aktuellen Modellreihen zeitgleich ggf. nur detektiv bzw. reaktiv behandelbar sind. Diesen zusätzlichen Aspekt adressiert die in Abbil-dung 48 dargestellte Gesamtansicht, die die Verbesserungen des Sicherheitsniveaus auch modellgenerationsübergreifend visualisiert.

Die Länge der Balken, die von Modellgeneration zu Modellgeneration größer gewählt wurde, soll hierbei auf die generelle Verbreiterung des durch sie dargestellten Risikospektrums hin-weisen. Diese kommt primär durch die zunehmende Anzahl und Komplexität der von den Herstellern entwickelten Fahrzeugfunktionen zustande, die i.d.R. gleichzeitig die potentielle Angriffsfläche vergrößern. Gleichzeitig illustriert das exemplarisch gewählte Verhältnis der (über Präventions-, Detektions- und Reaktionsmaßnahmen) adressierten Risiken das größe-re Potential generationsüberggröße-reifender Maßnahmen, die beim Hersteller im Rahmen der Weiterentwicklung vorgenommen werden können.

Analyse und Bewertung

P D R

P D

Unadressiertes Restrisiko

R

Unadr. Restrisiko

P D

ΔD ΔR

R

U. Restr.

ΔP

ΔD ΔR ΔP

P

P

Unadr.Restr.

U.Restr.

P

D

ΔD ΔR

R

U.R.

ΔP ΔP

D ^R

D ^R

ΔD ΔR

P

Fahrzeugmodell Generation n:

Fahrzeugmodell Generation n+1:

Fahrzeugmodell Generation ∞:

 Idealsituation / Langzeitziel

Maßnahmen (z.B. Fern-administration, Rückrufaktionen)

Maßnahmen (z.B. Fern-administration, Rückrufaktionen)

Maßnahmen (z.B. Fern-administration, Rückruf) Maßnahmen (z.B. Fern-administration, Rückruf) Maßnahmen (z.B. Fern-administration, Rückrufaktionen)

Maßnahmen (z.B. Fern-administration, Rückrufaktionen)

Maßnahmen (z.B. Fern-administration, Rückruf) Maßnahmen (z.B. Fern-administration, Rückruf)

Serien-begleitung

Forschung / Entwicklung Fahrzeughersteller-seitiges

Sicherheits-management

Erkenntnisse und Maßnahmen für:

aktuelle

Modelle zukünftige Modelle

Hard-/Software (Re-)Design / Überarbeitung/Verbesserung Hard-/Software (Re-)Design / Überarbeitung/Verbesserung

Erfassen der Bedrohungslage

Verbesserung des Sicherheitsniveaus

Z e i t v e r l a u f

Abbildung 48: Anpassung des Sicherheitsniveaus über mehrere Modellgenerationen hinweg

Im Dokument Prävention, Detektion und Reaktion gegen drei Ausprägungsformen automotiver Malware - eine methodische Analyse im Spektrum von Manipulationen und Schutzkonzepten (Seite 164-167)