Die zunehmende Vernetzung nach draußen macht das Connected Car als Angriffsziel immer attraktiver. Gelingt es einem Angreifer, sich darüber Zugang zum internen Netzwerk eines Fahrzeugs zu verschaffen, kann er großen Schaden anrichten. Deshalb analysiert T-Systems kontinuierlich Angriffsszenarien und entwickelt Detektionsalgorithmen. Als Software-Detektiv im Auto wacht ein Intrusion Detection System (IDS) über das Bordnetz.
Mit einem IDS als Softwaremodul auf dem zentralen Gateway im Auto lässt sich die Kommunikation im Fahrzeugnetzwerk in Echtzeit auf Anomalien überwachen. Stellt das IDS ein bekanntes Fehlverhalten fest, löst es ein – zuvor mit dem Fahrzeughersteller abgestimmtes – Abwehrverhalten zum Schutz des Fahrzeugs aus (Intrusion Prevention System, IPS). Das soll verhindern, dass ein Cyberangriff auf das interne Fahrzeugnetzwerk die Fahrzeugfunktionen beeinflusst und die Sicherheit der Fahrzeuginsassen gefährdet.
Alle Alarme sendet das IDS ans Backend des Herstellers, wo die Daten mit modernen Machine-Learning-Methoden analysiert und zurück ans Fahrzeug geschickt werden. Das IDS-Backend kann variabel an Systeme des Herstellers angedockt oder in einem Automotive Security Operation Center bereitgestellt werden. Anomalien werden dort kategorisiert und bilden eine Basis für die weitere Vorgehensstrategie, um sowohl den Fahrer als auch das Fahrzeug akut und zukünftig vor Gefahren durch Hackerangriffe zu schützen.
Workflows auf Basis der Datenanalyse der Ergebnisse
Benachrichtigungen
Eingriffe aus der Ferne
Nach dem Prinzip „Security by Design“ sollten Unternehmen ein Intrusion Detection System bereits bei der Entwicklung des Fahrzeugs mitdenken und -planen. Je nach fahrzeuginterner Netzwerk- und Steuergerätestruktur lässt sich das IDS unterschiedlich realisieren. Auf jedem komplexen Steuergerät kann beispielsweise eine Sensorkomponente eingesetzt werden, die Anomalien in Firmware, CAN-Bus-Verkehr und Sensordaten erkennt. Diese Sensoren melden erkannte Anomalien an die IDS-Kernkomponente, die auf einem zentralen Steuergerät mit Gateway-Funktionalität (inklusive Firewall) läuft. Die Kernkomponente kann komplexere Analysen durchführen und über die Telematik-Steuergeräte mit dem Backend des Herstellers kommunizieren.
In modernen vernetzten Autos reduzieren Fahrzeugserver und Virtualisierung die Zahl der benötigten Steuergeräte – und damit die Komplexität. Wie die Funktionen der aktuellen Steuergeräte kann auch die IDS-Software als Funktionsblock auf der Virtualisierungsschicht des Fahrzeugservers laufen. Die Fähigkeiten des IDS lassen sich zudem erweitern, um Prozesse und Funktionen auf dem Fahrzeugserver zu überwachen und böswilliges Verhalten zu erkennen.
T-Systems bietet Unternehmen aus der Automobilbranche mit ESLOCKS (Embedded Security Locks) ein Intrusion Detection System als passgenauen Service an. Die Funktionsweise: Eine Autosar-konforme Onboard-Software zur Erkennung von Anomalien gleicht dynamisch das Soll-Verhalten der Kommunikation im Fahrzeug ab. Entspricht der aktuelle Netzwerkverkehr nicht dem definierten Verhalten oder zeigt verdächtige Aktivitäten, klassifiziert das IDS als nächsten Schritt den Datenverkehr in bekannte oder unbekannte Anomalien.
Eine Backend-Anbindung ist wesentlicher Bestandteil des Verfahrens. Das Backend wird von allen Fahrzeugen einer Flotte mit Informationen zu unbekannten Anomalien versorgt. So sammeln sich nach und nach im Backend große Mengen an Daten, die sich für eine Auswertung mittels Machine-Learning-Methoden auf Basis eines Big-Data-Clusters eignen. Ziel der Massendatenauswertung ist es, unbekannte Anomalien entweder als Normalverkehr (Soll-Verhalten) oder als Angriff (neue Anomalie) zu identifizieren.
Ist im Backend ein Automotive-SOC angeschlossen, kümmern sich Forensik-Experten um die Auswertung der Analyseergebnisse aus der Intrusion Detection. Die gewonnenen Informationen werden aufbereitet und als Signatur-Update zurück in die Fahrzeuge übermittelt. Die Onboard-Software wird so dank der ständig steigenden Datenbasis fortlaufend optimiert – und kann das Auto per Intrusion Prevention vor neu festgestellten Bedrohungen schützen.