Wettlauf Hacker gegen Industrie: Cyber Security in Fahrzeugen

Welche Randbedingungen müssen erfüllt sein, um Security sinnvoll in die Entwicklung einfließen lassen zu können? Hacker arbeiten stets team- und lösungsorientiert. Sie benötigen für ihre Arbeit Expertise, Ausrüstung und Zugänge zum System. Security-Entwickler können lediglich den Zugang so beschwerlich wie möglich zu machen. Das setzt aber voraus, dass Entwickler detailliert und ständig aufs Neue lernen, wie Hacker sich Zugänge verschaffen – und dies bedeutet, selbst zu hacken. Dabei beginnt ein Wettlauf gegen die Zeit, denn Bedrohungen müssen innerhalb weniger Tage ausgeschaltet werden können. Der normale Entwicklungszyklus von 1-3 Jahren greift nicht mehr.

Hacker sind nicht automatisch kriminell, sondern nur begabt
Hacking wird allgemein mit digitalem Vandalismus, Erpressung, Datendiebstahl und anderen Straftaten assoziiert. Hacking ist im Wortsinn aber die Gabe, sehr ungewöhnliche und alles andere als naheliegende Lösungsansätze zu finden. Der Begriff fand seine Prägung in den 1950ern am MIT, dem Massachusetts Institute of Technology. Die Techniker dort erkannten in einer alten Telefonanlage eine Eisenbahnsteuerung und haben diese entsprechend verwendet. Normale Menschen würden in einer Telefonanlage nur eine Telefonanlage erkennen. Bei Hackern geht also um Menschen, die aus einer Kaffeemaschine auch Sandwichtoaster machen können.

Naivität, Arroganz, Ignoranz und Selbstüberschätzung
In vielen Unternehmen hört man, Hacker haben keine Chance, weil sie ja keine Ahnung von Autos oder Anlagensteuerungen in der Industrie oder von Medizinanwendungen haben. Das ist naiv und zeigt ein falsches Feindbild: der Hacker, das singuläre Wesen. Diese Simplifizierung ist tückisch, denn es gibt solche Cracks im wahren Leben so nicht. Auch vernetzen sich Hacker, tauschen sich aus und arbeiten somit team- und lösungsorientiert zusammen. Darüber hinaus schreibt man grob zwei Drittel aller Taten Insidern zu. Bei gezielten Angriffen verlassen sich die Angreifer nicht nur auf ihr technisches Können, sondern sie nutzen auch menschliche Schwächen wie das Bedürfnis nach Anerkennung, Habgier, Sucht etc. aus. Dieser Aspekt der Cyber Security ist unter dem Begriff Social Engineering bekannt. Gerne machen Unternehmen den Fehler, Cyber Security ausschließlich in der Installation von Technik zu suchen. Dabei übersehen sie, dass gezielte Angriffe immer Social Engineering einschließen.

Security Engineering Prozesse alleine bieten keinen ausreichenden Schutz
Die Entwicklungsprozesse der meisten Unternehmen zielen auf die sog. best practices ab, also auf bewährte Konstruktionsprinzipien. Sie sind in Normen und Standards niedergeschrieben. Jeder Entwickler wählt bei der Lösung einer Aufgabe die gleichen Methoden aus einem Standard aus. Der starre, lineare Ansatz der Unternehmensprozesse ist exakt das Gegenteil von der besonderen Gabe der Hacker, alternative Anwendungsmöglichkeiten zu sehen. Daher haben Security Engineering Prozesse in der Praxis nicht die erhoffte Wirkung. Trotzdem sollte man nicht darauf verzichten – man sollte sich allerdings der Grenzen der Prozesse klar bewusst sein. Ein Hack bedingt eine unmittelbare Reaktion auf das Geschehen. Vielen ist nicht bewusst, dass sie keine sechs Monate haben, um eine Schwachstelle zu schließen - auch keine drei Monate oder vier Wochen. Nehmen wir mal an, ein Hack würde die Fahrzeugflotte eines Paketdienstleisters wie DHL oder UPS stilllegen, dann steigen Tag für Tag die Schäden ins Unermessliche. Viele Manager verkennen, dass Cyber Security die Entwicklung fundamental umkrempelt. Wer nicht in der Lage ist, Patches innerhalb von Tagen zu liefern, kann den Wettstreit Hacker vs. Industrie nie gewinnen.

Wahre Experten findet man spielerisch
Experten aller Fachrichtungen sind in diesen Tagen rar - auch Security-Experten. Man findet sie im wahrsten Sinne des Wortes spielerisch. Wir raten Unternehmen, den Mitarbeitern eine Reihe von Herausforderungen zu stellen. Die folgende Abbildung zeigt z.B. einen Assembler-Code. Wer detailliert die Schwachstelle erklären kann, ist eine Runde weiter. Wer viele Runden meistert, eignet sich für eine Tätigkeit im Schwerpunkt Cyber Security.

Fazit: Cyber Security ist ein Spiel, das man gewinnt oder verliert
Security sollte weniger als Teil eines Entwicklungs-Prozesses verstanden werden, sondern als Wettkampf, den man gewinnt oder verliert. Meistens gilt: wenn man den Gegner kennt, kann man den Kampf gewinnen – das Überraschungsmoment muss ausgenutzt werden! Security ist kein Selbstzweck, sondern es braucht die kriminelle Energie der Hacker als Treibstoff für die Entwickler. Wer im Wettkampf Hacker vs. Industrie bestehen will, muss vor allem ständig neue Angriffstechniken lernen und praktizieren. Die zweite Voraussetzung ist, im Notfall innerhalb von Stunden ausgenutzte Sicherheitsrisiken zu schließen. Das setzt voraus, Menschen zu finden, die eine besondere Gabe haben, nämlich die alternativen Anwendungsmöglichkeiten zu sehen. Auch setzt Cyber Security eine Organisation voraus, die fähig und willens ist, im Wettkampf Hacker gegen Industrie ebenbürtig und nicht selbstverliebt zu sein.

Autor

Dipl.-Ing. Jürgen Belz, Geschäftsführer, PROMETO GmbH, Paderborn

Nach dem Elektrotechnikstudium, Fachrichtung Automatisierung, leitete Herr Belz die System- und Softwareentwicklung für Hybridfahrzeuge bei Continental. Diese wurde für die „Zukunftsweisende Software-Initiative“ mit einem Award ausgezeichnet.
Danach war er sieben Jahre weltweit verantwortlich für die Prozesse, Methoden und Werkzeuge in der Hard- und Softwareentwicklung beim Automobilzulieferer Hella. Unter seiner Leitung erreichte Hella als erster Zulieferer den SPICE Level 3 und die Vorstellung des ersten prototypischen AUTOSAR-Steuergerätes, das in einem Fahrzeug verbaut wurde. Seit 2010 ist er Senior Consultant Safety & Security bei PROMETO. PROMETO ist ein Anbieter von Prozessen, Werkzeugen und Spezialisten für die Entwicklung sicherer Produkte.

Diese Veranstaltungen könnten Sie auch interessieren

Conference
in English
2nd International VDI Conference - Charging Infrastructure for Electromobility

06.11. - 07.11.2019
Amsterdam

This conference will engage with the challenges presented by the needs of electric vehicles and how to intelligently build up the charging infrastructure to run them.

Informieren & Buchen

Der für Sie ausgewählte Bereich

  • Automobil
    IT-Security