Security by Design im Auto: Neue UN-Vorgaben für Cybersicherheit von Fahrzeugen

April 2021 - Gewinne einen Lancer Evolution X (1:18) - alles weitere im Gewinnspiel - Thread.
Sakura Diamond - Fotowettweberb 2021 - alles weitere im Teilnahme - Thread.
  • Security by Design im Auto: Neue UN-Vorgaben für Cybersicherheit von Fahrzeugen

    Experten sehen Fahrzeuge reif für massive Hackerangriffe. Die UNECE will mit neuen Vorschriften auch für Software-Updates die Latte für sichere Kfz höherlegen.




    28.05.2020 08:14 Uhr
    Von

    • Stefan Krempl

    Anzeige

    Die UNECE werde im Juni detaillierte Vorschriften verabschieden, um die Ansprüche in diesem Bereich deutlich zu erhöhen und Kfz, Busse und Lkws so "weltweit sicherer zu machen", erklärte der Leiter der Task Force, Darren Handley, am Mittwoch. Nach 19 Treffen vor Ort mit Vertretern von Regierungen und zivilgesellschaftlichen Organisationen will die "Arbeitsgruppe für Cyber Security in Fahrzeugen und Software-Updates aus der Ferne der Wirtschaftskommission für Europa der Vereinten Nationen" (UNECE) nun in wenigen Tagen Ergebnisse liefern.

    Die damit verknüpften Anforderungen etwa an die Organisationsstruktur sowie an Prozesse und Design der Fahrzeugarchitektur und Risikoeinschätzungen müssten Hersteller im Rahmen der nationalen Umsetzung der Vorgaben dann "über den gesamten Produktzyklus aufrechterhalten", betonte Handley auf der online abgehaltenen VDI-Konferenz "Cyber Security for Vehicles". Die Auflagen bezögen sich vor allem auf den Grundsatz "Security by Design", also den Einbau von IT-Sicherheit direkt in die Technik.


    Risikomanagement und sichere Software-Updates

    Produzenten müssen laut den nun spruchreifen Regularien ständig ein nachweisbares Risikomanagement vorweisen und einschlägige Tests durchführen. Sie sollen in der Lage sein, Cyber-Angriffe zu überwachen, abzuwehren und darauf zu reagieren. Dazu gehören forensische Fähigkeiten zur Analyse erfolgreicher oder versuchter Attacken. Nachweise dazu sollen etwa über Firmendokumente belegt werden können, die relevante Prozesse näher ausführen. Auch Audits oder der Einsatz einschlägiger Cybersicherheits-Standards wie ISO 21434 können angeführt werden.

    Die Arbeitsgruppe der UNECE werde eine Art Checkliste mitliefern, an der sich die Betroffenen abarbeiten könnten, versprach Handley. Zu den allgemeinen Vorschriften für die Cybersicherheit kämen zudem Anforderungen für künftige Typgenehmigungsverfahren. Dafür sei etwa zu belegen, dass Hersteller ein spezielles Cybersecurity Management System (CSMS) nutzten. Fahrzeugbauer müssten auch zeigen, dass geplante Abhilfemaßnahmen funktionierten und sie Angriffe tatsächlich ausfindig machen und verhindern könnten.

    Erfasst werden Handley zufolge auch Ausrüster und in abgestufter Form auch Käufer, "um die Schutzkette aufrechtzuerhalten". Zum Austausch über Bedrohungsinformationen sei das UN-Verfahren dagegen nicht geeignet. Dafür hat sich 2015 auch bereits mit dem Automotive Information Sharing & Analysis Center (Auto-ISAC) eine Herstellerallianz gebildet.

    Die Vorschriften für "over the air" erfolgende Software-Updates seien ganz ähnlich angelegt und ausgerichtet, berichtete der Sicherheitsexperte aus dem britischen Verkehrsministerium. Hier liege der Schwerpunkt darauf, einschlägige Programme im Fahrzeug zu identifizieren und ein Managementsystem für die Qualitätskontrolle zu etablieren. Enthalten sein müssten etwa Verfahren für die Konfigurationskontrolle auch von Hardware und verschiedene Softwareversionen, die für einen Fahrzeugtyp relevant seien. Es sollte möglich sein, ausfallende Systeme wiederherzustellen und Updates nur durchzuführen, wenn genügend Strom vorhanden sei. Diese Formen der Risikoreduktion hingen vor allem von Audits ab, weniger von "harten physischen Tests".


    Einhaltung der Vorgaben

    Die EU plane, die UN-Vorgaben bis Juli 2022 für neue und zwei Jahre später für alle Fahrzeugtypen verbindlich zu machen, erläuterte der Standardisierungsexperte von Continental, Markus Tschersich. Japan habe die Regeln für autonome Fahrzeuge bereits "vorsorglich" übernommen, ab Mitte des Jahres solle sie dort für alle Typen verbindlich werden. Die USA seien bei dem Ratifizierungsverfahren nicht direkt dabei, wollten aber eine eigene Liste an Anforderungen auf Basis der UN-Vorgaben erstellen. Handley wollte sich nicht dazu äußern, ob Großbritannien auch einschlägige Verordnungen erlassen werde.

    Zwischen dem laufenden Standardisierungsverfahren ISO 21434 und den UN-Vorschriften gibt es laut Tschersich einige Überschneidungen. Bei der ISO werde aber breiter der Gesamtbereich der Lieferkette erfasst, zudem liege der Fokus auf Gateways, Steuergeräten, dem Infotainment-System und Sensoren wie Radar oder Kameras. Auf UN-Ebene stehe das ganze Fahrzeug im Blick mit der gesamten elektronischen Architektur und den Vernetzungsschnittstellen.

    Continental habe bereits eine erste Lückenanalyse durchgeführt angesichts der Pflicht, beide Regulierungsstränge beachten zu müssen, ließ Tschersich durchblicken. Zwar sei der Autobauer verantwortlich für die gesamte Architektur und müsse die Typgenehmigung beantragen. Zulieferer und Sublieferanten stünden aber in der Pflicht, eine angemessene Dokumentation der gelieferten Systeme, Software oder Komponenten zur Verfügung zu stellen. Da ein Haftungsfall vor Gericht landen könne, ließen sich die Mindestanforderungen nicht auf die leichte Schulter nehmen.


    Paradigmenwechsel notwendig

    Ohne Gegensteuern werde sich die Software-Komplexität in Fahrzeugen und die damit verknüpfte Angriffsfläche durch die Einführung immer neuer Funktionalitäten massiv erhöhen, warnte Asaf Atzmon, Cybersicherheits-Leiter beim Ausrüster Harman Israel. Dieser Trend werde sich erst verlangsamen, wenn selbstfahrende Autos den Durchbruch geschafft hätten. Aktuell seien 48 Prozent der neu ausgelieferten Fahrzeugen mit integrierten Vernetzungsmöglichkeiten ausgestattet, bis 2030 dürften es 96 Prozent sein.

    Bislang sei die Automobilindustrie noch auf ein Hardware-basiertes Paradigma nach dem Motto "bauen und vergessen" ausgerichtet, konstatierte der Manager der Samsung-Tochter. Im Bereich Software und Dienste sei dagegen eine Mentalität wichtig, einmal eingeführte Programme ständig zu verbessern. Häufig sei der Code in der Autobranche daher veraltet und weise vergleichsweise viele Sicherheitslücken auf.

    Elektronische Systeme in Fahrzeugen weisen Atzmon zufolge auch einige Unterschiede zur gängigen IT auf. Ein typisches Auto enthalte etwa über 100 einschlägige Komponenten mit über 100 Millionen Codezeilen, während übliche Betriebssysteme auf 20 bis 50 Millionen inklusive Doku kommen. Die Hersteller hätten zudem in der Regel keinen Zugang zum Quelltext. Es sei daher nötig, den Sicherheitslevel implementierter Bausteine oder Updates ständig im Blick zu haben, die Binärdateien zu scannen und Hinweise auf Zero-Day-Schwachstellen zu verfolgen. Der Experte riet zudem dazu, eine Art "digitalen Zwilling" des Fahrzeugs zu erstellen, um Lücken gegenchecken zu können, und Fehlerkorrekturen durch Updates zu automatisieren.

    (olb)



    https://www.heise.de/news/Secu…heit-im-Auto-4767180.html


    Weiterführende Links zum Thema:

    https://www.escrypt.com/de/new…/unece-wp29_iso-sae-21434

    https://www.magility.com/neue-…utomotive-cyber-security/

  • Das Thema macht der KFZ-Entwicklung gerade richtig viel Arbeit, da fast alle Steuergeräte (auch solche, die nur als Slave an einem Hauptsteuergerät hängen) die neuen, strengen Anforderungen der UNECE erfüllen müssen. Teilweise bedarf es dazu neuer Controller und aufwändiger SW-Anpassungen. Das macht es nicht leichter, Fahrzeuge pünktlich ohne Fehler in die Verkaufshäuser zu bringen.

  • Die HW ist da garnicht mal das Problem. eher die Implementierung und die Prozesse dahinter. in einem Ethernetprotokoll ist noch platz für nen Manipulationsschutz. bei nem CAN und Flexray schauts da schon bissel anders aus. Sobald da einer ne höhere Prio anmeldet oder ne Kollision auslößt wird die Nachricht verworfen. Aufm CAN kann sich jedes Skriptkiddy mitm Arduinoclon marke Eigenbau hängen und lustig drauf los senden.

    Je nach Implementierung wird ja nicht jede Botschaft abgesichert, sondern nur die "Relevanten"


    Daneben wirds dann auch noch für die Werkstätten interessant, es werden zeiten kommen da kannst du egal welche ECU du tauschen willst - es nur noch mit einem Tester der ans Backend angebunden ist - was reißen. Ab wann das sein wird? 07/22 - bei allen neu zugelassenen Typprüfungen.


    Bei diesen Typprüfungen hockt dann auch einer von der Dekra/KBA mit schwarzm Hoody und blasser Haut, schlumpft zum Auto, steckt sein Kabel an, Bootet auf seinem Laptop Parrot oder Kali und los geht die Party. Das schaut dann aus wie beim Tesla Model X im Disco Modus.


    Remote Software Update ist dann auch noch mal ne Hausnummer. Wenn der Kunde in der Garage das Fahrzeug flashen lässt sollte der Prozess an sich "eigensicher" sein. Dazu muss verhindert werden das man falsche Update unterschieben kann usw.


    Eigentlich hatte ich den Artikel wegen dem neuen Outlander rausgesucht, entweder der kommt in diesem Jahr oder dann erstmal für rund 2 Jahre garnicht. die UNECE 155 wird am mitte 22 in Europa Pflicht und 2 Jahre später für Japan und USA. Da bekommt der Rückzug von Mitsu ein ganz neues Gesicht und das um deklarieren der Französischen Modelle.


    Bei nem Plattformwechsel oder Ertüchtigung bestehender Plattformen gehen locker mal 10-20 Millionen drauf bis man das Security Thema halbwegs im Griff hat und nochmal die selbe Menge bis man es verstanden hat bzw. beherrscht.


    Grüße schreckus

  • Dieses Thema enthält 3 weitere Beiträge, die nur für registrierte Benutzer sichtbar sind, bitte registrieren Sie sich oder melden Sie sich an um diese lesen zu können.