CyberCompare

Automotive, OT- und IoT-Security | Experteninterview mit Michael Weber, Bosch Engineering

Einleitung

Michael Weber

Mit Michael haben wir heute einen Cyber Security Experten zu Gast, der seinen Schwerpunkt in der Automotive Security hat. Wir sprechen mit ihm über spezifische Herausforderungen, aber auch Gemeinsamkeiten mit OT- und IoT-Security.

Lieber Michael, was ist Deine aktuelle Rolle bei Bosch Engineering

Ich bin primär Security Manager und Security Projektleiter. Meine Hauptaufgabe ist die Beratung unserer Kunden bezüglich Security im Fahrzeug.

Der Schwerpunkt hat sich dabei immer mehr von der Security einzelner, isoliert betrachtbarer Komponenten auf die Gesamt-Fahrzeugebene inkl. Backend-Anbindung verschoben.

Da die Entscheidungen hinsichtlich Elektrik-/Elektronik-Architektur (EEA) auf Jahre hinaus im Voraus getroffen werden, versuchen wir die Entwicklungen und Erfordernisse der Security hier zu antizipieren. Gerade bei der EEA ist aktuell auch ein deutlicher Wandel hin zur Zentralisierung im Gange.

Wie sieht Dein typischer Arbeitsalltag aus?

In den Tag starte ich gewöhnlich mit Informationen zu aktuellen Entwicklungen zur Bedrohungslage, aber auch der Gesetzgebung.

Hier hat sich in den letzten Jahren bei Bosch und verbundenen Unternehmen ein reges Netzwerk gebildet.

Das ist aus verschiedenen Gründen wichtig: Um ein Gefühl für den Stand der Technik zu erhalten, und um Auswirkungen auf Kunden und Bosch Engineering abzuschätzen.

Sehr genau beobachten wir natürlich die neuesten Entwicklungen bei Technologien, beispielsweise PQC (Post-Quantum-Cryptography), bei Intrusion Detection/Prevention Systemen und generell KI-basierten Ansätzen.

Die projektbezogene Arbeit ist sehr vielfältig. Zum einen haben wir die klassische Arbeit eines Security Managers, also die Durchführung des Secure Engineering Prozesses.

Hier erstelle ich Risiko- und Bedrohungsanalysen und daraus abgeleitete Security-Konzepte für Motorsteuergeräte, Bremsregel-Steuergeräte, Gateways und andere elektronische Komponenten.

Herausforderungen und Fokusgebiete in der Cyber-Security

Was sind im Moment die größten Herausforderungen für Dich und Deine KollegInnen?

 

Das ist definitiv die Einführung der neuen Gesetzgebung – der UNECE WP.29, aber auch der ISO 21434. Diese werden einerseits die Prozesslandschaft deutlich verändern, andererseits aber auch die tatsächlich benötigte Security Funktionalität in den einzelnen Steuergeräten und in der Fahrzeugarchitektur. Einhergehend damit stellen wir einen Personalmangel fest – das gilt vermutlich für die gesamte Branche.

 

Die größte Herausforderung wird uns aber erst noch bevorstehen. Bisher war mit dem SOP (Start of Production) die Entwicklung der Fahrzeuge im Wesentlichen abgeschlossen. In Zukunft und gerade auch wegen der zunehmenden Vernetzung werden Autos aber über ihren gesamten Lebenzyklus sicher (safe & secure) zu halten sein. Und das bedeutet für normale Fahrzeuge bestimmt 15 Jahre, für Nutzfahrzeuge oder exklusive Sportwagen auch deutlich länger bis hin zu 30 Jahren.

 

Wenn man heute einen Rechner mit Windows XP ans Internet anschließt, dann ist dieser in wenigen Minuten infiziert. Das bedeutet also, man hat nicht mal die Zeit, die verfügbaren Patches herunterzuladen. Windows XP kam übrigens Ende 2001 auf den Markt – also vor 20 Jahren, und damit einem kürzeren Zeitraum, als den, den wir ab jetzt für die Zukunft mitberücksichtigen.

 

Die Themen Personal und die langen Laufzeiten von Systemen sind ja auch große Gemeinsamkeiten mit der OT-Security.

 

Auf welche Aspekte der Cyber-Security fokussierst Du Dich gezielt?

 

Im Löwenanteil unseres Geschäfts geht es nach wie vor um klassische embedded Security Themen. Diese müssen einfach reibungslos laufen.

 

Aufwendig ist dabei, dass Security ein horizontales Thema ist. Wenn jemand z.B. einen Treiber für Funktionen im Steuergerät programmiert, so sind die Abhängigkeiten überschaubar. Bei der Security durchziehen die Abhängigkeiten dagegen nahezu alles: Bootloader, Basis-Software, Diagnose, Functional Safety, Hardware-Abhängigkeiten und bis hin zur Produktion. Beispielsweise müssen die Schnittstellen gründlich definiert sein, damit das Einbringen von Kryptomaterial über Key Management Systeme in der Fertigung funktioniert.

 

Darüber hinaus habe ich mich in den letzten Jahren intensiv mit den Themen Firewalls, Netzwerk Security und Intrusion Detection befasst. In der IT-Security sind diese Themen und die zugehörigen Technologien schon lange bekannt. Bei der Übertragung auf die eingeschränkte Situation in embedded Controllern und Fahrzeugen stellen sich hier aber besondere Herausforderungen.

Cyber-Security: Wie groß ist die Gefahr?

Cyber-Security wird ja von einigen immer noch als reiner Kostenfaktor gesehen. Wie sehen das die Kunden, mit denen Du Kontakt hast?

Zum Teil ist das noch so. Security an sich hat ja keinen Selbstzweck. Ich sehe hier aber auch einen Wandel.

Einerseits hilft hier die kommende UNECE-Gesetzgebung. Daran kommt keiner vorbei. Zusätzlich kommt die gesamte Branche hier auch zunehmend ins Visier von Security Researchern (White Hats), aber auch von Black Hats.

Andererseits steigt durch die zunehmende Vernetzung / Connectivity aber auch das Risiko. Gerade hier gab es in den letzten Jahren einige sehr prominente Vorfälle. Und diese Vorfälle werden mittlerweile auch deutlicher in der Öffentlichkeit wahrgenommen, als noch vor ein paar Jahren. Gute Security kann also auch ein Wettbewerbsvorteil sein. 

Welche Entwicklungen im Bereich OT- und IoT-Security siehst Du als besonders interessant an?

Vor kurzem hatten wir OEM Supplier Security Audits. Da kamen Experten aus IT-Security, OT-Security und Automotive Security zusammen. Das fand ich sehr spannend. Wenn man flottenweite Angriffe verhindern will, ist man recht schnell bei individuellen kryptographischen Schlüsseln und Zertifikaten für Steuergeräte. Ohne entsprechende Infrastruktur in den Werken ist das nicht möglich. Da sieht man schön, wie Änderungen auf der einen Seite (Automotive Security) Änderungen auf der anderen Seite (IT + OT-Security) nach sich ziehen.

Die IoT-Welt hat in den vergangenen Jahren einen unheimlich schlechten Ruf erhalten. Es gibt sogar den Treppenwitz, das „S“ in IOT stünde für Security. Viele dieser Geräte sind offen im Internet zugänglich und Updates oder Bugfixes sind oft gar nicht vorgesehen. Aber auch hier hat der Gesetzgeber den Handlungsbedarf erkannt und wird zunehmend aktiv, z.B. über den IoT Cybersecurity Amendment Act of 2020. Und es liegt ein Entwurf eines Verbraucherschutzgesetzes für digitale Inhalte vor. Dieser fordert eine Updateverpflichtung für „Sachen mit digitalem Inhalt“ für den Zeitraum „wie es der Verbrauchererwartung entspricht“. Das sind definitiv gute Entwicklungen.

Bei der OT möchte man natürlich auch von den Möglichkeiten der IoT / IIoT und auch deren niedrigeren Kosten profitieren. Diese IT/OT-Konvergenz weg von den proprietären Lösungen der Vergangenheit bringt natürlich viele Möglichkeiten mit sich. Aber auch Gefahren. Die Liste der Veröffentlichungen von Unternehmen, bei denen Produktionseinrichtungen lahmgelegt wurden, wird jedes Jahr länger. Wenn Geräte, die nicht dafür entwickelt wurden, ans Internet angeschlossen werden, dann ist Ärger vorprogrammiert.

Kannst Du einige „Good Practices“ und Ansätze teilen, die sich aus Deiner Sicht bewährt haben?

Erstens: Komplexität ist der Feind der Security. Security ist an sich ein Thema mit vielen Abhängigkeiten. Im Automotive: Diagnose, Firmware over the air updates (FOTA), Safety, EEA, Produktion / Werksinfrastruktur. Dabei helfen einfache Lösungen, klare Strukturen und simple Schnittstellen. Viel Security hilft manchmal nicht viel. Oft vergrößert es erstmal die Angriffsfläche. Man kann das schön an den CVE-Einträgen im Internet sehen.

Alle Kompromisse, Ausnahmen, „Balkone“ in der Software-Entwicklung rächen sich früher oder später in der Security (Stichwort „Technical Debt“). Oft passieren solche Fehler erst nach Jahren, wenn Updates gemacht werden. Je komplexer das System, desto schwieriger die Wartung. Und einer der typischen Fehler – vom einfachen embedded Steuergerät bis hin zur Cloud-Infrastruktur – sind Konfigurationsfehler. Je komplexer das System, desto eher werden Konfigurationsfehler gemacht.

Zweitens: Der Defense-in-Depth Ansatz, Security ganzheitlich auf verschiedenen Schichten oder Ebenen zu berücksichtigen. Im Automotive-Bereich startet man mit der Absicherung der einzelnen Steuerungen. Dann folgt die Netzwerk-Kommunikation. Durch entsprechendes Design der EEA – Stichwort Segmentierung bzw. Separierung – kann man die safety-kritischen Controller von den exponierteren Steuergeräten trennen. Gerade bei den Veröffentlichungen der letzten Jahre hat sich gezeigt, dass ein zentrales Gateway ein sehr effektiver Schutz sein kann. Die letzte Ebene ist dann die sichere Kommunikation von und zum Fahrzeug. Dieser Ansatz stammt aus der IT-Security und lässt sich analog auch für die OT-Security anwenden.

Drittens: Security ist kein einmaliges Event. Security ist ein kontinuierlicher Prozess, „a lifelong journey“ (R. Bejtlich).

Wenn Du eine E-Mail an alle CISOs dieser Welt schicken könntest, was wären die wichtigsten Punkte?

Also ganz ehrlich, viele CISOs wissen das Alles mit Sicherheit. Aber was ich immer noch oft höre, sind Aussagen wie: „Warum sollten die ausgerechnet uns angreifen?“
Hier scheint sich immer noch das Bild des einzelnen Hackers mit dem Kapuzen-Pulli im stillen Kämmerlein zu halten.

In der Realität handelt es sich dabei aber mittlerweile um kriminelle Organisationen, die hierarchisch strukturiert sind wie ein richtiges Unternehmen mit Marketing, Vertrieb, Entwicklung und Supportfunktionen.

Die Angriffe laufen oft auch hochgradig automatisiert ab. Nach dem aktuellen Upstream-Report ist die weltweite IT-Kriminalität ein Markt von 600 Milliarden Dollar. Der weltweite Drogenhandel kommt dazu im Vergleich auf 400 Milliarden Dollar.

Hier ist aus meiner Sicht eine Änderung des Mindsets notwendig. Es ist nicht eine Frage, ob man gehackt wird, sondern wann. Die anschließenden Fragen sind dann: Wie schnell entdecke ich einen Angriff? Wie kann ich die Folgen abmindern? Wie kann ich die Möglichkeiten eines Angreifers begrenzen, wenn er schon einen „Foothold“ hat, z.B. die lateralen Bewegungen einschränken? Wie und wann kann ich den normalen Betriebszustand wiederherstellen? Es geht also um Vorbereitung für den Ernstfall.

Vielen herzlichen Dank Dir, Michael! Und weiterhin viel Erfolg.