Automotive-, OT- und IoT-Sicherheit

Michael Weber

Michael Weber ist ein Experte für Cybersicherheit, der sich auf die Sicherheit in der Automobilindustrie konzentriert. In unserem Gespräch spricht er über einige spezifische Herausforderungen in seinem Bereich und geht auch auf Ähnlichkeiten mit der OT- und IoT-Sicherheit ein.

Michael Weber, Cybersecurity Experte bei der Robert Bosch GmbH (bis Ende März 2021: Security Manager und Security Project Manager bei der Bosch Engineering GmbH)

Was sind heute die größten Herausforderungen für Sie und Ihre Kollegen?

Auf jeden Fall die neuen Vorschriften, die in Kraft treten – natürlich UNECE WP.29, aber auch ISO 21434. Sie werden nicht nur die Prozesslandschaft, sondern auch die tatsächlich erforderlichen Sicherheitsfunktionalitäten in den einzelnen Steuergeräten und die Fahrzeugarchitektur erheblich verändern. Dazu kommt, dass wir einen Personalmangel haben – und das gilt wohl für die gesamte Branche.

Aber unsere größte Herausforderung liegt noch vor uns. Bisher war die Entwicklungsarbeit an einem Fahrzeug im Wesentlichen mit dem SOP (Start of Production) abgeschlossen. Aber in Zukunft müssen wir dafür sorgen, dass die zunehmend vernetzten Autos während ihres gesamten Lebenszyklus sicher und geschützt sind. Bei einem normalen Auto sind das 15 Jahre, bei Nutzfahrzeugen oder exklusiven Sportwagen kann es viel länger sein – bis zu 30 Jahre.

Wenn Sie heute einen Computer mit Windows XP an das Internet anschließen, ist er innerhalb von Minuten infiziert. Mit anderen Worten: Sie haben nicht einmal die Zeit, die erforderlichen Patches herunterzuladen. Und Windows XP kam Ende 2001 auf den Markt. Das ist 20 Jahre her – ein kürzerer Zeitraum, als wir jetzt beim Blick in die Zukunft berücksichtigen müssen.

Personalprobleme und eine lange Lebensdauer der Systeme sind die wichtigsten Gemeinsamkeiten zwischen der Automobil- und der OT-Sicherheit.

Auf welchen Aspekten der Cybersicherheit liegt Ihr besonderes Augenmerk?

Die klassische eingebettete Sicherheit macht immer noch den Löwenanteil unseres Geschäfts aus. Es ist wichtig, dass sie nahtlos funktioniert.

Sicherheit ist ein horizontales Thema, was es kompliziert macht. Wenn Sie einen Funktionstreiber in einem Steuergerät programmieren, sind die Abhängigkeiten relativ begrenzt. Aber wenn es um Sicherheit geht, betreffen sie fast alles: Bootloader, Basissoftware, Diagnose, funktionale Sicherheit, Hardware – bis hin zur Produktion. So müssen beispielsweise die Schnittstellen genau definiert werden, damit die Integration von kryptografischem Material durch Schlüsselverwaltungssysteme in der Fertigung funktioniert.

In den letzten Jahren habe ich mich auch intensiv mit Firewalls, Netzwerksicherheit und Intrusion Detection befasst. Menschen in der IT-Sicherheit sind mit diesen Themen und den damit verbundenen Technologien schon lange vertraut. Besondere Herausforderungen ergeben sich jedoch, wenn sich diese Ideen innerhalb der Grenzen bewegen, die durch eingebettete Steuerungen und Fahrzeuge entstehen.

Cybersicherheit wird manchmal immer noch als reiner Kostenfaktor betrachtet. Was ist die Meinung der Kunden, mit denen Sie Kontakt haben?

Einige von ihnen denken immer noch so. Schließlich ist Sicherheit kein Selbstzweck. Aber ich sehe auch Zeichen des Wandels.

Die kommenden UNECE-Regelungen helfen in diesem Punkt. Keiner kann sich ihnen entziehen. Und die gesamte Branche wird zunehmend unter die Lupe genommen – von „White Hats“ und „Black Hats“ gleichermaßen.

Gleichzeitig steigt das Risiko durch die zunehmende Vernetzung und Konnektivität. In den letzten Jahren gab es mehrere prominente Beispiele. Und solche Vorfälle finden heute in der Öffentlichkeit viel mehr Beachtung als noch vor einigen Jahren. Das bedeutet, dass gute Sicherheit einen Wettbewerbsvorteil bringen kann.

Welche Entwicklungen in der OT- und IoT-Sicherheit sind für Sie besonders interessant?

Vor kurzem haben wir Sicherheitsaudits bei OEM-Zulieferern durchgeführt, bei denen Experten aus den Bereichen IT, OT und Automobilsicherheit zusammenkamen. Das war sehr spannend. Wenn man Angriffe auf die gesamte Flotte verhindern will, spricht man schnell über individuelle kryptografische Schlüssel und Zertifikate für Steuergeräte. Aber das geht nicht ohne die richtige Infrastruktur in den Werken. Diese Situation zeigt, wie Veränderungen auf der einen Seite (Automobilsicherheit) zu Veränderungen auf der anderen Seite (IT- und OT-Sicherheit) führen.

Das IoT hat in den letzten Jahren einen unglaublich schlechten Ruf erlangt. Manchmal hört man sogar den Scherz, dass das S in IoT für „Sicherheit“ steht. Viele dieser Geräte sind über das Internet für jedermann zugänglich, und oft gibt es keine Pläne für Updates oder Fehlerbehebungen. Doch die Regulierungsbehörden haben die Notwendigkeit einer Reaktion erkannt und werden zunehmend aktiv, wie etwa mit dem US IoT Cybersecurity Improvement Act of 2020. Auch ein Verbraucherschutzgesetz für digitale Inhalte wurde ausgearbeitet. Es verlangt Aktualisierungen für „Waren mit digitalen Inhalten“ während des gesamten Zeitraums, „den die Verbraucher vernünftigerweise erwarten“. Dies sind definitiv positive Entwicklungen.

Es ist nur natürlich, dass OT-Anwender von den Möglichkeiten, die IoT/IIoT bieten, profitieren wollen, auch von den niedrigeren Kosten. Und die Konvergenz von IT/OT weg von den proprietären Lösungen der Vergangenheit eröffnet viele Chancen. Aber sie birgt auch eine Menge Risiken. Die Liste der Unternehmen, deren Produktionsanlagen zum Stillstand gekommen sind, wird jedes Jahr länger. Wenn Geräte, die nicht für die Online-Nutzung konzipiert wurden, mit dem Internet verbunden werden, sind Probleme vorprogrammiert.

Können Sie einige bewährte Praktiken und Ansätze nennen, die sich Ihrer Meinung nach bewährt haben?

Erstens: Komplexität ist der Feind der Sicherheit. Denn Sicherheit ist ein Thema mit vielen Interdependenzen. In der Automobilindustrie zum Beispiel: Diagnose, Firmware-over-the-Air (FOTA)-Updates, Sicherheit, EEA und Produktions-/Werksinfrastruktur. Hier helfen schlanke Lösungen, klare Strukturen und einfache Schnittstellen. Ein hohes Maß an Sicherheit bringt nicht immer einen hohen Nutzen. Oftmals erhöht es nur die Anfälligkeit. Schauen Sie sich nur die CVE-Einträge im Internet an.

Jeder Kompromiss, jede Ausnahme oder jedes schnelle Add-on im Nachhinein macht sich später in der Sicherheit bemerkbar (im Sinne von „technischer Schuld“). Solche Fehler fallen oft erst Jahre später auf, wenn Aktualisierungen vorgenommen werden. Je komplexer das System ist, desto schwieriger wird die Wartung. Eine typische Fehlerart – von einfachen eingebetteten Steuergeräten bis hin zu Cloud-Infrastrukturen – sind Konfigurationsfehler. Und diese Fehler werden immer wahrscheinlicher, je komplexer die Systeme werden.

Zweitens: Der Defense-in-Depth-Ansatz, der eine ganzheitliche Betrachtung der Sicherheit auf verschiedenen Ebenen oder Schichten beinhaltet. In der Automobilsicherheit beginnt dies mit dem Schutz einzelner Kontrollen. Die nächste Ebene ist die Netzwerkkommunikation. Ein geeignetes EEA-Design – das heißt, basierend auf Segmentierung oder Trennung – kann sicherheitskritische Steuerungen von ungeschützten Steuergeräten abschirmen. Veröffentlichungen der letzten Jahre legen nahe, dass ein zentrales Gateway einen sehr wirksamen Schutz bieten kann. Die letzte Ebene ist die sichere Kommunikation zum und vom Fahrzeug. Defense-in-Depth wurde ursprünglich in der IT-Sicherheit eingesetzt, und analoge Methoden können auch in der OT angewendet werden.

Drittens: Sicherheit ist kein einmaliges Ereignis. Sie ist ein kontinuierlicher Prozess – in R. Bejtlichs Worten: „eine lebenslange Reise“.

Wenn Sie eine E-Mail an jeden CISO der Welt schicken könnten, was wären die wichtigsten Punkte, die Sie ansprechen würden?

Ehrlich gesagt, viele CISOs wissen das alles schon. Aber ich höre sie immer noch oft Dinge sagen wie: „Warum sollten sie uns angreifen?“ Sie denken immer noch, dass ein Hacker ein Typ in einem Kapuzenpulli ist, der allein in einem dunklen Raum arbeitet.

Aber in Wirklichkeit haben sie es heutzutage mit kriminellen Organisationen zu tun, die hierarchische Strukturen und Marketing-, Vertriebs-, Entwicklungs- und Supportfunktionen haben, genau wie echte Unternehmen.

Angriffe sind oft hochgradig automatisiert. Laut dem jüngsten Upstream-Bericht stellt die weltweite IT-Kriminalität einen Markt von 600 Mrd. USD dar. Zum Vergleich: Der Weltmarkt für illegale Drogenverkäufe hat einen Wert von 400 Mrd. USD.   

Für mich ist klar, dass ein Umdenken erforderlich ist. Die Frage ist nicht, ob man gehackt werden wird, sondern wann. Die zu stellenden Fragen lauten also: Wie schnell kann ich einen Angriff erkennen? Wie kann ich die Folgen abmildern? Wie kann ich die Möglichkeiten der Angreifer einschränken, wenn sie erst einmal Fuß gefasst haben – kann ich zum Beispiel seitliche Bewegungen verhindern? Wie und wann kann ich den normalen Betrieb wiederherstellen? Es geht darum, sich auf das Schlimmste vorzubereiten.

Vielen Dank, Michael! Wir wünschen Ihnen weiterhin viel Erfolg.

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter A wie Awareness bis Z wie Zero Trust im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote für Ihre IT, OT oder IoT. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.