Die Sicherheitsstandards und -regulierungen im Bereich eingebetteter Systeme, insbesondere im Automobilsektor, haben in den letzten Jahren an drastisch an Bedeutung gewonnen. Schon heute sind viele Tier-1s und Fahrzeughersteller zu drastischen Maßnahmen verpflichtet, Cyber Security durch die gesamte Wertschöpfungskette sicherzustellen. Im Zuge dieser Entwicklungen spielen die UNECE R155 und UNECE R156 sowie die Arbeiten der WP.29 eine zentrale Rolle. Diese Regulierungen und Gremien zielen darauf ab, die Cybersicherheit und Software-Updates in vernetzten Fahrzeugen zu gewährleisten
UNECE R155: Cyber Security Management System (CSMS)
Die UNECE-Verordnung R155 betrifft die Anforderungen an ein Cyber Security Management System (CSMS) für Fahrzeuge. Diese Verordnung wurde vom Weltforum für die Harmonisierung der Fahrzeugvorschriften (WP.29) der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) entwickelt. Fahrzeughersteller müssen ein umfassendes CSMS implementieren, das die Verwaltung von Cyber-Sicherheitsrisiken über den gesamten Lebenszyklus des Fahrzeugs hinweg gewährleistet. Dies umfasst die Phasen der Entwicklung, Produktion, Nutzung und Entsorgung des Fahrzeugs. Ferner müssen Risiken identifiziert und bewertet werden um in Form von Bedrohungsanalysen und Risikobewertungen. Die kontinuierliche Überwachung der Cybersicherheit des Fahrzeugs ist erforderlich, um auf neue Bedrohungen und Schwachstellen reagieren zu können. Hersteller müssen sicherstellen, dass sie in der Lage sind, auf Cyberangriffe zu reagieren.
UNECE R156: Software Update Management System (SUMS)
R156 hingegen befasst sich mit den Anforderungen an ein Software Update Management System (SUMS). Diese Verordnung ist ebenfalls ein Produkt der WP.29 und zielt darauf ab, die Sicherheit und Integrität von Software-Updates in Fahrzeugen zu gewährleisten. Hersteller müssen ein SUMS implementieren, das die Verwaltung von Software-Updates über den gesamten Lebenszyklus des Fahrzeugs hinweg gewährleistet. Dies umfasst sowohl Over-the-Air (OTA) Updates als auch physische Updates. Updates müssen daher sicher und zuverlässig sein. Sie müssen vor ihrer Bereitstellung auf Sicherheit geprüft werden und sollten während der Übertragung verschlüsselt sein. Zudem gibt es Pflichten zu umfassenden Aufzeichnungen über alle Software-Updates und diese Informationen auf Anfrage den zuständigen Behörden zur Verfügung zu stellen.
Die Realität: AUTOSAR und Co.
Die Reaktion der Automobilindustrie auf die Anforderungen der UNECE R155 und R156 ist in der Regel die Anpassung bestehender umfassender Frameworks wie AUTOSAR-konformer Betriebssysteme (OS). Beispiele für solche Betriebssysteme sind Lösungen von Anbietern wie Elektrobit und Vector. Diese Betriebssysteme werden so modifiziert, dass sie den Anforderungen der Cybersicherheit entsprechen. Selbst die kleinsten Steuergeräte werden mit einem umfangreichen Betriebssystem-Stack ausgestattet, um die nötigen Sicherheitsfunktionen zu integrieren. Dies stellt sicher, dass auch Geräte mit geringen Ressourcen den hohen Sicherheitsanforderungen gerecht werden können. Das Betriebssystem wird so angepasst, dass es Hardware Security Modules (HSM) oder ARM TrustZone-Features aktivieren kann. Diese Technologien bieten eine zusätzliche Schicht an Sicherheit, indem sie kritische Sicherheitsfunktionen und -daten isolieren und schützen.
Hardware Security Modules sind spezialisierte Hardware-Komponenten, die kryptografische Schlüssel sicher verwalten und sicherheitsrelevante Operationen durchführen. Sie schützen sensible Daten und Funktionen vor Manipulation und unbefugtem Zugriff. Die ARM TrustZone-Technologie ermöglicht eine Aufteilung des Systems in zwei Welten – die sichere Welt und die normale Welt. Speicherzugriffe sind dann exklusiver und müssen beim Security-Modul über Schlüssel requestet werden.
Also: AUTOSAR drauf, CSO kontaktiert. Fertig?
Rückbesinnung auf die Relevanz
Nicht für jeden Hersteller ist ein umfassendes SUMS das notwendige Mittel. Schließlich ist es wichtig, sich daran zu erinnern, dass nicht jede Komponente und nicht jedes Gerät diese umfassenden Maßnahmen benötigt. Besonders im Kontext kleinerer Steuergeräte oder spezieller Anwendungen wie Busse, LKWs, Gabelstapler und anderer industrieller Fahrzeuge kann ein übermäßiger Einsatz von umfangreichen OS-Stacks und kryptografischen Sicherungsmaßnahmen als "mit Kanonen auf Spatzen schießen" angesehen werden. Die wesentlichen Punkte der UNECE R155 und R156 konzentrieren sich auf die Gewährleistung von Cybersicherheit und der Integrität von Software-Updates. Dies bedeutet jedoch nicht, dass jedes eingebettete System eine umfassende, kryptografisch gesicherte Umgebung erfordert. Vielmehr sollten Hersteller eine risikobasierte Herangehensweise wählen und die Sicherheitsmaßnahmen entsprechend der spezifischen Anforderungen und Bedrohungen ihrer Geräte und Anwendungen anpassen. Einfache Geräte, die keine sicherheitskritischen Funktionen erfüllen oder keinen Zugang zu sensiblen Daten haben, können durch grundlegende Sicherheitsmaßnahmen wie sichere Kommunikationsprotokolle und regelmäßige Updates geschützt werden.
Geräte in speziellen Anwendungen wie in Gabelstaplern oder landwirtschaftlichen Maschinen benötigen möglicherweise keine umfangreichen AUTOSAR-basierten Lösungen. Hier können angepasste, weniger aufwändige Sicherheitsmaßnahmen ausreichend sein, um die Anforderungen der UNECE-Verordnungen zu erfüllen.
STRIDE - ein robuster Ansatz für die TARA-Analyse
Was kann eigentlich passieren? Diese Frage gilt es zuallererst zu beantworten.
Die Anwendung des STRIDE-Modells auf eingebettete Systeme bietet einen strukturierten Ansatz, um Sicherheitsrisiken zu verstehen und zu adressieren. STRIDE ist eine Art Standard-Angriffsmodell und geht davon aus, dass maliziöse Nutzer immer eines dieser Einfallstore wählen - ungeachtet der Motivation. Dabei werden die Einfallstore wie Datenbusse, I/O-Schnittstellen, analoge Eingänge, Stromanschlüsse und Stromversorgungen sowie auf Schnittstellen zur Speicherzugriffskontrolle betrachtet, die physikalischen und elektronischen Zugriff auf das Gerät bieten.
STRIDE-Analyse
Spoofing in eingebetteten Systemen tritt auf, wenn ein Angreifer falsche Nachrichten oder Datenpakete in das System einschleust, um falsche Informationen zu übermitteln oder unautorisierten Zugang zu erlangen. Beispielsweise könnte ein Angreifer gefälschte Datenpakete auf einem Datenbus senden, um falsche Sensordaten zu übermitteln oder das Verhalten des Systems zu manipulieren. Ein Angreifer sendet zum Beispiel gefälschte Datenpakete auf dem Datenbus, die vorgeben, von einem legitimen Temperatursensor zu stammen, und fälscht Temperaturwerte, um ein unerwünschtes Ereignis vorzutäuschen.
Tampering kann schwerwiegende Folgen haben, da sie zur Korruption, Manipulation oder unbefugten Änderung von Daten führen kann. Anders als beim Spoofing werden Nachrichten nicht imitiert, sondern im Bitstream verändert. So können zum Beispiel dominante Bits in CAN-Frames eingeschleust werden um den ursprünglichen Sender vom Bus zu nehmen und die Daten daraufhin zu manipulieren.
Repudiation ist die Unfähigkeit, die Herkunft oder Authentizität von Aktionen oder Ereignissen zu verifizieren, was zu Streitigkeiten oder Herausforderungen in der Verantwortlichkeit führen kann. Zum Beispiel könnte ein kompromittiertes IoT-Gerät falsche Sensordaten generieren, was zu Streitigkeiten über die Genauigkeit der Umweltdaten führt. Ein anderes Beispiel wäre die Manipulation von Logging-Daten über den Zugriff auf ein Gerät. Dieser Punkt ist insbesondere bei Embedded Devices mit personen- oder transaktionsbezogenen Daten relevant.
Information Disclosure ist der Case, wenn sensible Daten versehentlich an unbefugte Parteien weitergegeben oder geleakt werden. Das umfasst nahezu alles sensible, wie auch Firmware Images, Schlüssel oder Authentifikationsdaten. Aber auch personenbezogene Daten können darunter fallen.
Denial of Service-Angriffe auf ECUs können kritische Operationen oder Dienste unterbrechen, was zu Ausfallzeiten oder Dienstunverfügbarkeit führt. Zum Beispiel könnte ein verteilter DoS-Angriff (DDoS) ein eingebettetes Gerät mit übermäßigem Traffic überlasten und es unbrauchbar machen.
Elevation of Privilege bezieht sich auf die unbefugte Eskalation von Benutzerprivilegien oder Zugriffsrechten, die es einem Angreifer ermöglichen, erhöhte Berechtigungen und Kontrolle über das System zu erlangen. Beispielsweise könnte eine Schwachstelle in einem Automobil-Infotainmentsystem einem Angreifer ermöglichen, Root-Zugriff auf das zugrunde liegende Betriebssystem zu erlangen, was die Sicherheit und Integrität des Fahrzeugs gefährdet.
Zusammenfassung
Bevor Hersteller zu umfassenden Maßnahmen greifen, steht die Durchführung einer Bedrohungsanalyse und Risikoabschätzung (TARA) mit dem STRIDE-Modell im Vordergrund. Eine sorgfältige Analyse ermöglicht es, Sicherheitsmaßnahmen gezielt und effizient zu entwerfen. In der Regel stellt sich heraus, dass Spoofing und Tampering verhältnismäßig einfach zu verhindern sind. Für DoS-Attacken sollte ein sicherer Zustand eingeführt werden, um den Betrieb aufrechtzuerhalten. Repudiation und Information Disclosure sind nur dann relevant, wenn sensible Daten wie Firmwares und Schlüssel ausgetauscht werden. Elevation of Privilege ist hauptsächlich dann von Bedeutung, wenn dediziert über das Einfallstor Bussysteme in Zugriffsrollen unterteilt wird.
Durch die Anwendung des STRIDE-Modells können Hersteller die Sicherheitsanforderungen der UNECE R155 und R156 effektiv und effizient erfüllen, indem sie Maßnahmen auf Basis einer fundierten Analyse implementieren. So wird sichergestellt, dass die Sicherheitsmaßnahmen den tatsächlichen Bedrohungen entsprechen und nicht unnötig komplex oder kostspielig sind.
Kommentieren