26.04.2021

Security Monitoring: Fahrzeugflotte unter Beobachtung

Egal wie hoch das Schutzlevel vor Cyberangriffen, das bei der Entwicklung geschaffen wurde, auch ist, es wird über die Lebensdauer des Fahrzeugs hinweg zwangsläufig erodieren. Fahrzeuge und Fahrzeugflotten benötigen daher künftig eine aktive, fortwährende Security-Behandlung, die zum einen bekannte Risiken und Angriffsvektoren überwacht und zum anderen neue Risiken identifiziert und mitigiert. Umso mehr, als mit Inkrafttreten der UN-Regelung UN R155 die angemessene Risikobehandlung über den gesamten Fahrzeuglebenszyklus hinweg zur Bedingung für die Typgenehmigung wird.

Für ein aussagekräftiges Bild der Gesamtbedrohungslage braucht es mehrere Blickfelder und Handlungsebenen. Die beiden zentralen Komponenten sind hier eingebettete Angriffserkennung im Fahrzeug in Form eines Intrusion Detection System (IDS) und ein Vehicle Security Operations Center (V-SOC) im Backend, in dem das Angriffsgeschehen aggregiert und ausgewertet wird und das eine Skalierung von Angriffen über die ganze Flotte hinweg unterbindet.

Intrusion-Detection-System im Fahrzeug

Bild 1: Verteiltes System zur Angriffserkennung im Fahrzeug – vom IDS-Sensor über den IDS-Manager zum IDS-Reporter.

Ein sinnvolles Security Monitoring erfordert eine Angriffserkennung, die tief ins verteilte System eingebettet ist. Insbesondere um Angriffe zu erkennen, die lokal und fahrzeugindividuell erfolgen sind in die E/E-Architektur des einzelnen Fahrzeugs integrierte Angriffssensoren unverzichtbar. Es gilt also, bereits bei der Fahrzeugentwicklung zu prüfen, welche potenziellen Angriffspunkte die E/E-Architektur bietet und diese in ein einheitliches Monitoring-Konzept einzubeziehen, das sich auf ein verteiltes Intrusion Detection System (IDS) im fahrzeuginternen Netzwerk stützt.

Kernkomponenten eines solchen IDS sind die IDS-Sensoren, die in den ECUs Datenverkehr und Systemverhalten überwachen und u.a. mit dem vom OEM spezifizierten „Normalverhalten“ abgleichen. Verdächtigen Aktivitäten (z.B. Anomalien bei zyklischen Botschaften oder missbräuchliche Diagnoseanforderungen) werden von den IDS-Sensoren als Security Events geloggt. Durch eine sinnvolle Platzierung von smarten IDS-Sensoren (bspw. in einem Gateway) können diese den gesamte CAN-Datenverkehr sowie über eine in den Ethernet-Switch integrierte Automotive Firewall / IDS-Lösung die komplette Ethernet-Kommunikation überwachen. Auf diese Weise lassen sich auch komplexere Angriffe erkennen und falsch-positive Security Events herausfiltern.

Wichtig ist, die Informationen der einzelnen IDS-Sensoren sinnvoll zu bündeln, fahrzeugintern bereits einer ersten Analyse zu unterziehen und sie so für die Datenübertragung zum Vehicle Security Operations Center (V-SOC) im Backend zu optimieren. Diese Aufgabe übernehmen verteilte IDS-Manager (IdsM) in den ECUs; sie sammeln die Security Events der ihnen zugewiesenen IDS-Sensoren ein, filtern nicht-relevante Events bzw. Rauschen heraus und übermitteln die so bereinigten Informationen weiter an den IDS-Reporter (IdsR) in der Telematik-Einheit. Dort, im IdsR, laufen alle Security Events aus dem Fahrzeug zusammen und werden nach weiterer Vorabanalyse an das Vehicle Security Operations Center (V-SOC) übertragen.

V-SOC: Intelligenz im Backend

Bild 2: Kontinuierliches Security-Monitoring von der Angriffserkennung im Fahrzeug bis hin zum Vehicle Security Operations Center im Backend.

Die Aufgabe des Vehicle Security Operations Center (V-SOC) ist es, die vom IDS im Fahrzeug übermittelten Security Events aus der gesamten Flotte sowie weitere IT-sicherheitsrelevanten Daten aus dem vernetztem Automotive-Ökosystem fortlaufend auszuwerten, hinsichtlich besonderer Auffälligkeiten zu validieren, akute und potenzielle Bedrohungen zu analysieren und daraus geeignete Gegenmaßnahmen abzuleiten. Dazu greifen im V-SOC zwei komplementäre Instanzen ineinander: Die automatisierte Analyse per Security-Incident- und Event-Management (SIEM) und eine tiefgreifende Einzelfallprüfung durch spezialisierte Automotive-Security-Analysten.

Zunächst unterzieht das SIEM sämtliche ans Backend übermittelten IT-Sicherheitsereignisse einer automatisierten Untersuchung und Auswertung in Echtzeit. Hierfür können moderne SIEM-Lösungen mithilfe von Machine-Learning-Funktionalitäten eigene Modelle entwickeln. Über Dashboards und Security-Reports veranschaulichen SIEMs unmittelbar die aktuelle Risikolage. Jedoch: SIEM-Lösungen sind wenig geeignet, bis dato unbekannte Angriffsszenarien zu erkennen. Auch gibt es für das spezielle Automotive-Security-Umfeld mit seinen dediziert auf die Fahrzeugplattform hin entwickelten Komponenten keine standardisiert anwendbaren Vulnerability-Management-Lösungen, die sich direkt ans SIEM an-binden ließen.

Daher ist es unerlässlich, im V-SOC den technischen Betrieb einer SIEM-Lösung um fachlich-inhaltliche Leistungen zu ergänzen: Dazu gehört einerseits die Anbindung einer Threat-Intelligence-Lösung, die im eigenen Datenbestand nach Symptomen neuer Angriffe (Indicators of Compromise) und Angriffsmethoden sucht und entsprechende Erkenntnisse mit anderen (V-)SOC-Betreibern austauscht. Vor allem aber benötigt das V-SOC hochspezialisierte Automotive-Security-Experten, die die Angriffspfade analysieren und die Methodik zur Bedrohungserkennung dahingehend erweitern, dass SIEM und IDS-Sensoren künftig neue Bedrohungsszenarien automatisch erfassen und die Flotte rückwirkend auf entsprechende Angriffe hin überprüfen. Im Zusammenwirken automatisierter Analyse und menschlicher Expertise liefert ein V-SOC dem Flottenbetreiber dann „actionable information“, auf deren Basis er geeignete Gegenmaßnahmen entwickeln und ausrollen kann.

Abstimmung von Fahrzeugkomponenten und V-SOC

Die fortlaufende Risikominimierung basiert auf dezentraler Angriffserkennung in den Fahrzeugen und tiefgehender Ereignisauswertung im V-SOC. Dabei bringt die Verarbeitung der Daten aus vernetzten Fahrzeugen ganz eigene Herausforderungen mit sich. So gilt es, angesichts der eingeschränkten, ggf. kostenintensiven Datenübertragung heutiger Fahrzeuge genau abzuwägen, welche Daten das V-SOC tatsächlich zur Auswertung benötigt. Fahrzeuginterne Vorverarbeitung und Aggregation kann das Datenvolumen hier entsprechend reduzieren – sinnvoll auch deshalb, weil in V-SOCs künftig Daten aus womöglich Millionen von Fahrzeugen zusammenfließen.

Zudem müssen die eingehenden Daten – unter Einbeziehung typischer Bedrohungsszenarien und spezifischer Kenntnisse über Fahrzeugarchitektur und dort verwendete Komponenten – im V-SOC Automotive-gerecht angereichert werden. Die Daten und Events werden dann idealerweise in der automatisierten Bearbeitung durch das SIEM so aufbereitet und geclustert, dass sie anschließend von den Analysten zielführend und effizient weiterverarbeitet wer-den können. Idealerweise werden so die Erkenntnisse aus Felddaten von Millionen Fahrzeugen von den Automotive-Security-Experten laufend im Regelwerk „kodiert“. Dadurch wird u.a. die Klassifizierung von „Falschmeldungen“ optimiert und die Erkennungsrate im System permanent verbessert.

Neue-Regularien fordern von OEMs und Flottenbetreibern, ihre Fahrzeugflotten künftig über den gesamten Lebenszyklus hinweg vor Cyberattacken zu schützen. Die IDS-Komponenten stellen hier eine probate Lösung zur fahrzeuginternen Angriffserkennung, und ihre Interoperabilität ist mittlerweile dank ihrer Standardisierung, u.a. in AUTOSAR, gewährleistet. Zusätzlich lassen sich dann über Vehicle Security Operations Center (V-SOC) erkannte Angriffe analysieren und mit geeigneten Gegenmaßnahmen beantworten.