1 Einleitung und Motivation
5.3 Reaktion auf automotive IT-Sicherheitsvorfälle
5.3.5 Konzeptteil II: Zweistufige Erweiterung des Reaktionsmodells
Das Ausgangskonzept der adaptiven und dynamischen Reaktion unter Einbeziehung des Fahrzeugführers wurde daher (ausgehend von seiner auf die Benachrichtigung beschränkten Form) um weitere grundlegende Arten der Reaktion erweitert. Die vorgenommenen Erweite-rungen auf ein zweistufiges Modell wurden in Zusammenarbeit mit Michael Müter (Daimler AG) entworfen und in einer gemeinsamen Veröffentlichung [MüHD10] publiziert.
Das in Abbildung 45 dargestellte erweiterte Modell sieht 2 Stufen vor:
Auf der vorangestellten Stufe I wird abhängig vom Schweregrad aus drei übergeordneten
„Reaktions-Levels“ ausgewählt. Der Benachrichtigung als „Level 2“ werden im erweiter-ten Modell noch die Protokollierung (Level 1) und Intervention (Level 3) beiseite gestellt.
Zu den auf Stufe I ausgewählten Reaktionslevels werden auf Stufe II anschließend an-gemessene Unterausprägungen („Subtypen“) ermittelt, die anschließend angewendet werden.
Automotives Intrusion Handling System
Level 1:
Protokollierung
Level 2:
Benachrichtigung
Level 3:
Intervention
Subtyp 1.2:
Angaben zum Systemstatus Subtyp 1.1:
Angaben zum Vorfall
Subtyp 2.1:
Visuell
Subtyp 2.2:
Akustisch
Subtyp 2.3:
Haptisch
Subtyp 3.1 Versuch:
Blockieren des Angriffs
Subtyp 3.2:
Versuch:
Wiederher-stellung
Subtyp 3.3:
Sicheren Zustand erzwingen
Automotives Intrusion
Detection System Erkannter Vorfall
Unkritischer Vorfall Unkritischer Vorfall mit Relevanz für den Fahrer Kritischer Vorfall Sehr kritischer Vorfall Legende zur Visualisierung der Schweregrade:
Stufe I:
Reaktions-Level
Stufe II:
Reaktions-Subtyp
Abbildung 45: Überblick über das erweiterte zweistufige konzeptuelle Entscheidungsmodell Ähnlich zur Ermittlung der Benachrichtigungsweise im Ausgangsmodell (Abschnitt 5.3.3) gilt auch für Entscheidungen auf Stufe I des erweiterten Modells die Bedingung, dass bei der Wahl eines dieser Reaktionslevels jeweils auch Reaktionen der niedrigeren Levels mit aus-gewählt werden. In der Anwendung des erweiterten Modells äußert sich diese Forderung z.B.
darin, dass beim Umsetzen einer Level-2-Entscheidung (Benachrichtigung) immer auch ein Logeintrag (Level 1) anzulegen ist. Ebenfalls geht eine Level-3-Reaktion (Intervention) daher u.a. immer auch mit einer Benachrichtigung des Fahrers auf Level 2 einher.
Auf Stufe II können die Kriterien zur Wahl des Subtyps innerhalb jedes Reaktions-Levels individuell gestaltet werden, wie es im Folgenden noch ausgeführt wird. Grundsätzlich
ist auch hier vorgesehen, dass die Auswahl eines Subtyps jeweils mit der (parallelen oder sequentiellen) Anwendung von Reaktionen der niedrigeren Subtypen des jeweiligen Reakti-onslevels verbunden ist.
Unter Rücksichtnahme auf den breiteren Kontext des erweiterten Reaktionsmodells enthält Abbildung 45 eine weitere Differenzierung der Schweregrade, indem unkritische Vorfälle zusätzlich nach der Relevanz für den Fahrzeugführer unterschieden werden:
Unkritische Vorfälle mit Relevanz für den Fahrer werden über Level 2 kommuniziert, wäh-rend gleichzeitig auf Level 1 ein zugehöriger Logeintrag über das Ereignis generiert wird.
Sonstige unkritische Vorfälle – die mangels Relevanz für den Fahrer nicht über eine Be-nachrichtigung behandelt werden sollten – werden im erweiterten Reaktionsmodell ledig-lich auf Level 1 behandelt, d.h. protokolliert.
Im Fall kritischer bzw. sehr kritischer Vorfälle entfällt diese Unterscheidung nach der Rele-vanz für den Fahrer. Dies begründet sich in der Annahme, dass eine gerechtfertigte Einstu-fung von Vorfällen als "kritisch" bzw. "sehr kritisch" deren Relevanz für den Fahrer in jedem Fall bereits implizit voraussetzt.
In den folgenden Unterabschnitten wird das erweiterte Modell mit seinen einzelnen Levels näher vorgestellt.
Level 1: Protokollierung
Auf Stufe I des Konzepts sieht Level 1 eine Protokollierung des Vorfalls vor, die die spätere Analyse durch Experten ermöglicht. Je nach ermitteltem Schweregrad des detektierten Vor-falls kommen diese Level-1-Reaktionen sowohl als alleinige Reaktionen als auch als Ergän-zung zu Reaktionen auf Level 2 und 3 infrage.
Innerhalb von Level 1 wird auf Stufe II ein je nach Ereignis angemessener Subtyp der Proto-kollierung bestimmt und zwischen folgenden zwei ProtoProto-kollierungsoptionen unterschieden:
Subtyp 1.1: Angaben zum Vorfall: die datensparsamste Option ist es, nur den aufgetrete-nen Vorfall selbst zu protokollieren, beispielsweise in Form einer individuellen Kennung sowie ggf. zusätzlicher, direkt auf den Vorfall bezogenen Angaben. Dies ist besonders für unkritische Vorfälle sinnvoll, die so für spätere Auswertungen in kompakter Form festge-halten werden können. Auch für Ereignisse/Anomalien, die nicht zwangsläufig mit einem Angriff in Zusammenhang stehen müssen, stellt dies einen praktikablen Kompromiss zwischen der Aufbewahrung möglichst vieler potentiell verwertbarer Ereignisse und der Minimierung der anfallenden Daten dar. Ein Beispiel für ein solches potentiell, jedoch nicht zwangsläufig maliziöses Ereignis ist ein kurzes Abklemmen der Fahrzeugbatterie.
Subtyp 1.2: Angaben zum Systemstatus: In einigen Fällen können – auch bei unkriti-schen Ereignissen – Kontextinformationen für eine zielführende Auswertung erforderlich sein. Dazu können Protokolleinträge mit ergänzenden Informationen über die Bedingun-gen zum Ereigniszeitpunkt versehen werden – z.B. relevante Sensorwerte und Eckdaten zum Systemstatus oder zur aktuellen Fahrsituation. Entsprechende Kenntnisse z.B. über relevante Sensordaten (wie die aktuelle Motordrehzahl oder Innen-/Außentemperatur), Systemauslastung (z.B. eines Feldbusses oder einer ECU) oder -speicherverbrauch er-geben bei der Auswertung ein breiteres Bild des erkannten Ereignisses. Wie einleitend erwähnt, geht die beschriebene Protokollierung von Statusangaben bei der Wahl des Subtyps 1.2 gleichzeitig mit der Protokollierung von Vorfallsangaben (Subtyp 1.1) einher.
Eine als Reaktion durchgeführte Protokollierung von Vorfällen und Anomalien kann dem Hersteller auch eine zusätzliche Hilfe während der Einführung automotiver IDS-Komponen-ten sein. Denn im jungen Forschungsgebiet automotiver Intrusion Detection ist das Wissen über automotive Angreifer und Angriffe aktuell noch begrenzt. Aus einer Vielzahl von Fahr-zeugen bereitgestellte Protokolldaten können in dieser Phase helfen, bislang unbekannte Angriffe aufzudecken und auszuwerten. Selbst beim sporadischem Auslesen dieser Daten, z.B. bei Fahrzeuginspektionen, bieten sie in ihrer Gesamtzahl enormes Potential, um ein konkreteres Bild über die reale Bedrohungslage zu erhalten und z.B. den Pool vorhandener Erkennungssignaturen (siehe Abschnitt 5.2) und Reaktionsvorgaben deutlich auszubauen.
Das Potential dieses Ansatzes wird im weiteren Verlauf in Kapitel 6 vertiefend untersucht.
Bei der Umsetzung entsprechender Protokollierungsvorkehrungen von Intrusion-Detection/
Response-Systemen sind die abgelegten Daten insbesondere gegen unautorisierte Zugriffe abzusichern. Denn Daten, die wegen Verdachts auf eingetretene IT-Sicherheitsvorfälle ab-gespeichert werden und später ggf. als mögliche Indizien bzw. Beweismittel bei der Vorfalls-aufklärung dienen (vgl. Abschnitt 6.2), sind in besonderem Maße gefährdet. Für Angreifer würde es ein attraktives Ziel darstellen, auf diese Daten zugreifen zu können, um diese ggf.
zu manipulieren oder zu löschen und so Spuren des Angriffs zu verwischen. Neben den grundsätzlichen Zugriffsmöglichkeiten eingesetzter automotiver Malware (die u.a. von deren Ausprägungsform abhängen, vgl. Abschnitt 4.1.5) z.B. auf den genutzten Datenspeicher hängt die Sicherheit entsprechend protokollierter Daten primär von der Konzeptionierung der Protokollierungsfunktion ab. Bzgl. der Frage, wie ein dedizierter (Zwischen-) Speicher für sensitive Logdaten unter Absicherung von Integrität, Authentizität und Vertraulichkeit gestal-tet werden könnte, wird in Abschnitt 6.2.3 ein Ausgangskonzept zur Protokollierung von Fahrzeugdaten vorgestellt, welches mit Fokus auf IT-forensische Anforderungen erarbeitet wurde.
Level 2: Benachrichtigung
Level 2 bildet die Benachrichtigung des Fahrzeugführers. Die Entscheidung für die zu wäh-lende Unterausprägung folgt dem bereits in Abschnitt 5.3.3 vorgestellten Ausgangskonzept.
In der in Abbildung 45 zu findenden Darstellung des erweiterten Reaktionsmodells ist es als Teilkonzept im mittleren Bereich der unteren Bildhälfte integriert.
Auch als Teil des erweiterten Konzepts bleibt das Grundprinzip der in Abschnitt 5.3.3 einge-führten adaptiven und dynamischen Reaktion bestehen, d.h. die Entscheidung für die auf Level 2 als Subtyp zu wählende Kommunikationsweise kann ausgehend vom Schweregrad des erkannten Ereignisses je nach aktuellen Umgebungsbedingungen angepasst werden.
Level 3: Intervention
Bei der auf Level 3 befindlichen Intervention erfolgen Eingriffe in Fahrzeugsysteme, um ei-nem erkannten Angriff entgegenzuwirken und einen sicheren Betrieb des Fahrzeugs sicher-zustellen.
Wie aus der Desktop-IT bekannt ist, lässt sich bei Intrusion-Detection-Systemen das Auftre-ten von Fehlalarmen nicht gänzlich verhindern, selbst wenn signaturbasierte Ansätze einge-setzt werden. Da ein fälschlicherweise als Reaktion gewählter Eingriff in das Fahrzeugsys-tem im Einzelfall schwerwiegende und teils unvorhersehbare Safety-Folgen nach sich ziehen kann, sollte eine Intervention lediglich nach der Erkennung sehr kritischer Vorfälle ausgelöst werden. Denn nur, wenn aufgrund des Vorfalls mit hoher Wahrscheinlichkeit erhebliche Ge-fährdungen zu erwarten sind, rechtfertigt der Nutzen einer Intervention die Inkaufnahme von Gefährdungen im Fall einer potentiellen Fehldetektion.
Jedoch sollte der Großteil der unterstützten Interventionstechniken grundsätzlich so gestaltet sein, dass sie die Kontrollierbarkeit des Fahrzeugs möglichst nicht bzw. nur geringfügig ein-schränken – Gefährdungen durch potentielle Fehlauslösungen können hierdurch minimiert werden. Um einzelnen Angriffen wirksam entgegenwirken zu können, wird die Realisierung ihrerseits gefahrloser Interventionsmechanismen voraussichtlich jedoch nicht in allen Fällen realisierbar sein.
U.a. aus den obigen Feststellungen ergeben sich Mindestanforderungen, die bei sämtlichen Level-3-Vorfällen an die Anwendung zugehöriger Interventionstechniken gestellt werden:
1) Der mit dem Vorfall zu assoziierende Schweregrad muss als „sehr kritisch“ eingestuft werden und es muss mit Safetyfolgen zu rechnen sein, die das Fahrzeug und seine In-sassen (sowie ggf. zzgl. das Umfeld) gefährden.
2) Diese Safetyfolgen müssen zudem zeitkritisch sein, d.h. deren Auftreten muss unmittel-bar bevorstehen können. Dies rechtfertigt eine sofortige Reaktion, um ernsthafte Auswir-kungen des Vorfalls zu verhindern oder zumindest in ihrer Intensität abzuschwächen.
3) Nur auf Basis konkreter Kenntnisse über die zu erwartenden Angriffsfolgen sind begrün-dete Entscheidungen über die Einleitung einer Reaktion möglich. Dies kann primär bei
der Detektion bereits bekannter Angriffe gewährleistet werden. Für rein anomaliebasiert erkannte Vorfälle kommen hingegen keine risikobehafteten Level-3-Reaktionen infrage.
4) Die Wahrscheinlichkeit schwerwiegender Auswirkungen durch den erkannten Vorfall muss deutlich größer sein als die Wahrscheinlichkeit, dass dem automotiven IDS eine falsch-positive Detektion unterlaufen ist.
Ausschließlich wenn alle Anforderungen zutreffen, kommt eine Level-3-Reaktion überhaupt infrage. Andernfalls sollte sich die Entscheidung auf Level-2-Reaktionen beschränken – z.B.
wenn Anforderung 2) nicht gegeben ist und schwerwiegende Angriffsfolgen erst nach einiger Zeit zu erwarten sind.
Gleichzeitig stellen die vier o.g. Mindestanforderungen lediglich notwendige, jedoch keine hinreichenden Bedingungen für die Anwendung einer Level-3-Reaktion dar. Das heißt, dass in einigen Fällen selbst bei Vorliegen sämtlicher Mindestanforderungen eine Intervention unterbleiben sollte. Beispielsweise ist dies der Fall, wenn zu einem bekannten, gefährlichen Angriff – Anforderung 3) – keine geeignete Gegenmaßnahme bekannt ist. Vor jeder Interven-tion in die automotiven Systemabläufe ist daher eine vorsichtige Abwägung der SituaInterven-tion und möglicher Konsequenzen ein essenzieller Teil der Entscheidungsfindung.
Nach einer auf Stufe I des Modells getroffenen und entsprechend begründbaren Entschei-dung für eine Level-3-Reaktion wird auf Stufe II des Modells wiederum der Reaktions-Subtyp bestimmt. Dies sind Gegenmaßnahmen der folgenden, auch in Abbildung 45 gekennzeich-neten Kategorien:
Subtyp 3.1: Versuch: Blockieren des Angriffs: Innerhalb dieses Subtyps wird versucht, die Auswirkungen des Vorfalls zu blockieren, um das System in einem sicheren (i.S.d.
Safety) Zustand zu halten.
Beispielsweise könnte in einer Nachricht auf dem Komfort-CAN ein bekanntes (als Er-kennungssignatur hinterlegtes) Angriffsmuster erkannt werden, mit dem das Elektroni-sche Stabilitätsprogramm (ESP) zur gefährlichen Fehlauslösung einer Bremse gebracht werden würde. Im Rahmen dieses Interventions-Subtyps könnte etwa versucht werden, die bösartigen Inhalte durch Modifizieren oder Löschen der Nachricht zu neutralisieren.
Wie es am Beispiel CAN bereits für Zugriffsmöglichkeiten durch automotive Malware il-lustriert wurde (Tabelle 9), können auch für das hier skizzierte Schutzsystem jedoch nur eingeschränkte Möglichkeiten des Zugriffs auf bereits gesendete Nachrichten bestehen.
Diese hängen stark von der Positionierung des Systems selbst sowie der betreffenden Nachricht ab und sind nicht in allen Fällen möglich. Würde z.B. im obigen Beispiel die auslösende Nachricht stattdessen erst im Zielnetzwerk (Antriebsstrang-CAN) detektiert werden, könnte ein (ausschließlich) auf dem zentralen Gateway positioniertes IDS das gleichzeitige Eintreffen im ESP-Steuergerät nicht mehr verhindern.
Folglich kann es in einigen Fällen vorkommen, dass sich ein erkannter Angriff mit seinen Angriffsfolgen nicht wirksam blockieren lässt
Subtyp 3.2: Versuch: Wiederherstellung: Innerhalb des zweiten Subtyps werden als wei-teres Interventionsmittel Wiederherstellungsmaßnahmen angewendet, um den Folgen nicht blockierbarer Angriffe entgegenzuwirken. Hierzu können diverse Techniken ange-wendet werden, um das System in den Normalzustand zurückzuversetzen. In einfachen Fällen kann es z.B. bereits ausreichend sein, den Versand einer Fehlermitteilung oder einer korrigierten Version des betroffenen Datenpakets auszulösen. Des Weiteren könn-ten bereits im Vorfeld Vorkehrungen getroffen werden, um eine betroffene ECU gegebe-nenfalls neustarten oder auf einen definierten Zustand zurücksetzen zu können.
Zwar sollten letztere Optionen im Vorfeld sorgfältig geprüft werden. Ein typischerweise mit der Wiederherstellung verbundener, vorübergehender Ausfall eines Systems kann im Fall einzelner Fahrzeugfunktionen auch grundsätzlich ausscheiden. Jedoch bedeutet ein solcher Komplettausfall (der z.B. auch nach Durchbrennen einer Sicherung auftreten kann) im Fall vieler Systeme keine zwangsläufigen Safety-Gefahren. Häufiger kann dies mit Einbußen von Leistung (z.B. Motor im Notlaufprogramm) oder Komfort (z.B. Ausfall der Lenkunterstützung, Anzeigeelementen, Klimatisierung, Unterhaltungsfunktionen etc.) verbunden sein, die man bei einer begründeten Vorfallsintervention in Kauf nehmen könnte um gravierendere Folgen zu verhindern.
Subtyp 3.3: Sicheren Zustand erzwingen: Dieser Subtyp wird ausgewählt, falls ein durch das IDS erkannter, sehr kritischer Vorfall mit seinen Folgen weder blockiert noch durch Wiederherstellung neutralisiert werden kann. In diesem Fall wird durch erzwungene Maß-nahmen ein sicherer (i.S.d. Safety) Zustand der betroffenen Systeme herbeigeführt. In einigen Situationen kann es genügen, eine durch den Angriff dauerhaft beeinträchtigte oder (z.B. durch MAS) kompromittierte ECU vorübergehend von der Stromversorgung oder dem Bussystem zu trennen. Eine solche effektive Deaktivierung der betroffenen Funktionen könnte z.B. solange aufrecht erhalten werden, bis das zugrundeliegende Problem behoben wurde. Dies könnte z.B. im Rahmen eines Werkstattbesuchs erfolgen, zu dem der Kunde über die auf Level 2 parallel erfolgende Benachrichtigung aufgefordert werden kann.
Als letztes Mittel der Intervention bleibt, einen Halt des Fahrzeuges herbeizuführen. Of-fensichtlich sollte dies nicht in Form einer sofortigen Vollbremsung erfolgen. Geeigneter wäre voraussichtlich eine stetige Verlangsamung des Fahrzeugs, die mit einer Level-II-Benachrichtigung der höchsten Dringlichkeitsstufe (Subtyp 3, s.o.) einhergeht. Hierbei sollte ebenfalls adaptiv und dynamisch auf die aktuellen Umgebungsbedingungen Rück-sicht genommen werden, worin beispielsweise die Auswertung von Sensordaten über die Wetter- und Straßenbedingungen sowie die aktuelle Verkehrslage einfließen kann.
Diese Intervention stellt damit die riskanteste Reaktion dar, die ein automotives Intrusion-Response-System auslösen kann. Sie birgt das grundsätzliche Risiko, dass sie auch selbst negative Effekte hervorrufen kann und im ungünstigen Fall erst durch sie selbst ein Unfall verursacht werden könnte. Diese höchste Interventionsstufe ist daher nur als aller-letzte Möglichkeit in Betracht zu ziehen und sollte ausschließlich ausgelöst werden, wenn die Fahrzeugsysteme durch den Angriff so schwerwiegend beeinträchtigt sind, dass auch ohne diese Intervention ein Aus- bzw. Unfall des Fahrzeuges unmittelbar bevorstehen würde. Dies wäre z.B. der Fall, wenn ausreichend substantielle Hinweise dafür vorliegen, dass dem Fahrer die Kontrolle über das Fahrzeug entzogen wurde und dieser es nicht mehr eigenständig sicher zum Halten bringen kann.
Innerhalb von Level 3 erfolgt die Anwendung der Reaktionen somit auf eine zu Level 1 und 2 etwas unterschiedliche Weise: Abweichend zu der dortigen Handhabung wird der auf Level 3 ausgewählte Subtyp nicht als ergänzende Maßnahme gleichzeitig mit den vorigen Subtypen des Levels angewendet. Die Abarbeitung erfolgt stattdessen sequentiell und beinhaltet Ab-bruchbedingungen. Bei einem äußerst schwerwiegenden Vorfall, der nach den o.g. Kriterien die Wahl von Subtyp 3.3 rechtfertigt, wird zunächst ausschließlich Subtyp 3.1 angewendet.
Ist das Blockieren des Angriffs erfolgreich, ist die Intervention erfolgreich abgeschlossen und die Subtypen 3.2 und 3.3 brauchen nicht angewendet werden.
Subsumierend sind mit Blick auf die auf Level 3 vorgeschlagene Intervention sowohl Potenti-ale aber auch die Risiken festzustellen. In diesem Punkt können gewisse Analogien zu ande-ren Sicherheitssystemen festgestellt werden; im Automobilbereich weist z.B. im Safetybe-reich das ABS) einen ähnlichen SpannungsbeSafetybe-reich auf. Dieses hat in entsprechenden Aus-nahmesituationen einen überwiegend positiven Effekt auf die Fahrsicherheit, indem es die Kontrollierbarkeit des Fahrzeugs fördert. Gleichzeitig können in Einzelsituationen Verlänge-rungen des Bremswegs zu Schäden führen, die ohne dieses System nicht aufgetreten wären.
Dennoch ist das ABS insgesamt als positiv zu bewerten und eine entsprechende Funktionali-tät heute in nahezu allen Neuwagen vorhanden. Mit Blick auf die Einleitung von Reaktionen nach festgestellten, ebenfalls safetykritischen IT-Sicherheitsvorfällen sollten daher grund-sätzlich auch autonome Interventionen durch entsprechende Schutzsysteme erwogen wer-den. Interventionen mit potentiell schädlichen Wirkungen sollten jedoch ausschließlich dann ergriffen werden, wenn in gefährlichen Ausnahmesituationen keine anderweitigen angemes-senen Gegenmaßnahmen verfügbar sind und ohne Ergreifen dieser Reaktion signifikant schwerwiegendere Folgen zu erwarten wären.