Sichere Over-the-Air-Updates (OTA) - Automotive Cyber Security für Funk- und Kabelnetze
Veranstaltungsnummer: 01SE183
- Informationsfluss zwischen Verbraucher, OEM und Fahrzeug
- Cyber-Security mobiler Endgeräte (Handy, PC etc.)
- Aushebeln der Cyber Security des OEM
Kommende Termine:
Alle Termine und Optionen ansehenModerne Fahrzeuge verfügen über deutlich mehr Software als z.B. Verkehrsflugzeuge und müssen regelmäßig Updates erhalten. Kunden sowie Hersteller wünschen sich dabei effiziente und bequeme Wege. Over-the-Air Updates (OTA) bieten hier eine optimale Lösung – sind aber nicht ohne Risiken vor Hackerangriffen! Genauso wie die Netze der Fahrzeuge geraten sie ins Visier von Hackern.
Die Software der ECUs muss in immer kürzeren Zyklen weiterentwickelt werden, um Fehler zu bereinigen und Verbesserungen umzusetzen. Es gilt, moderne Methoden einzusetzen, die für Updates Funkschnittstellen wie WLAN oder Mobilfunk nutzen. Beim klassischen Over-the-Air (OTA) werden lediglich Einstellungen für einzelne Dienste übertragen. Höhere Anforderungen hat die Firmware Over-the-Air (FOTA). Dabei geht es um das Aufspielen neuer Software auf die ECU. Bei (F)OTA sind teilweise neue Aspekte zu berücksichtigen. Dazu zählt u.a. das wirksame Signieren der Aktualisierungen oder auch das Authentifizieren des Nutzers.
Es gilt hier die Angriffsfläche für Angriffe von außen wirksam zu verringern. Erfahren Sie in diesem VDI-Seminar praxisorientiert, was Sie tun können, um den Schutz Ihrer Software vor unbefugtem Zugriff Dritter bei der Übertragung ins Auto und im Auto sicherzustellen. In ausgesuchten Übungen lernen Sie spielerisch, wie Hacker Netzwerke übernehmen und wie eine gezielte Abwehrstrategie aussehen kann.
Top-Themen
- Informationsfluss zwischen Verbraucher, OEM und Fahrzeug
- Cyber-Security mobiler Endgeräte (Handy, PC etc.)
- Aushebeln der Cyber Security des OEM
- Kontrolle über die Funknetze am Fahrzeug
- Technische Lösungsansätze für OTA und FOTA
- Best Practice - Beispiele
Programm
Diese Inhalte erwarten Sie im Seminar "Sichere Over-the-Air-Updates (OTA)":
1. Tag: 09:00 Uhr bis 17:30 Uhr
2. Tag: 08:30 Uhr bis 16:00 Uhr
Einleitung
- Illusion sicherer Software
- Problem eines langen Lebenszyklus
- Risikoquelle Remote Access
- Rechtliche Aspekte
- Statistiken und Schadensbilanzen
- Gezieltes Ausnutzen von Ignoranz und Arroganz
- Dringende Änderung des Mindsets
- Automotive - ein IT-System mit Rädern
Analyse einer End-to-End OTA -Architektur
- Use-cases: Wartung, Updates und Mehrwertdienste
- Geräte im Feld (OEM und 3rd party)
- Öffentliche Netzwerke
- Cloud-Dienste
- Mobile Geräte (Endkunden, Service)
- IT-Netzwerke und Systeme des ECU-Herstellers
Netzwerk-Sicherheit
- Daten in Netzwerken abgreifen
- Ethernet und WLAN Sicherheit
- Datensicherheit in öffentlichen Netzen
- Öffentliche und eigene Zertifikate
- Maßnahme: Verschlüsselung und sichere Passwörter
- Maßnahme: VPN-Verbindungen bevorzugen
Einführung Kryptographie
- Hash-Werte berechnen
- Symmetrische Verfahren
- Asymmetrische Verfahren
- Zertifikate als Berechtigungsnachweis
Hacking ist auch ein Wettbewerb zwischen Angreifer und Verteidiger. In dieser Übung verteidigen Sie Ihren digitalen Würfel in einem Spiel, der über ein Funknetz angesteuert wird und erleben praxisnahe Angriffstechniken in Funknetzen.
- Funkverkehr abhören
- Funk-Netzwerk übernehmen
- Verschlüsselungsschutz umgehen
- Authentifikation richtig umsetzen↓
Produktlebenszyklen und System-Design
- Hardware-Lebenszyklus eines Gerätes
- Lebenszyklus für Sicherheitslösungen
- Mechanismen zum Software-Update
- Schlüssel- und Zertifikatsmanagement
- Netzwerk-Sicherheit (Automotive Ethernet, CAN)
- Geeignete Ausrüstung von Mitarbeitern (Notebooks, Handys und andere Mobilgeräte)
Automotive CAN-Netzwerk mit einem Tacho: Ziel dieser Übung ist es, Schritt für Schritt die erforderlichen Werkzeuge zu bauen, um die Kontrolle über das Netzwerk zu erlangen. Sie erleben aus der Perspektive der Hacker, wie sie ihre Werkzeuge anpassen. Dabei lernen Sie nicht nur effektive Verteidigungsstrategien, sondern auch den Aufbau von kostengünstigen Umgebungen, die sich auch im Entwicklungsumfeld effektiv einsetzen lassen.
- Stärken und Schwächen von AUTOSAR SecOC
- CAN Netze übernehmen
- Aufbau von CAN Hacking- Umgebungen
- Maßnahme: CAN Black & Whitelists
ECU-Design und Anti-Tamper
- Hardware fälschungssicherer gestalten
- Speicher vor Auslesen schützen
- Debug- und Programmier-Schnittstellen vermeiden
- Schlüssel und Zertifikate managen
- Crypto-Chips auswählen
- Secure Boot richtig aufsetzen
- CAN-Netze absichern
- Sichere Netze mit Automotive Ethernet
- Netzwerk-Verbindungen ausreichend verschlüsseln
- Anwender und Sender richtig authentifizieren
Abschlussdiskussion und Ausblick
Zielgruppe
Die Weiterbildung "Sichere Over-the-Air-Updates (OTA) richtet sich an Fachkräfte z.B. aus folgenden Bereichen:
- Systemingenieure
- Software-Architekten
- Entwickler von Software und Hardware
- Führungskräfte, Projektleiter, Teamleiter aus dem Bereich E/E
- Sicherheitsingenieure und –verantwortliche
- Functional Safety-Manager
bei Fahrzeugherstellern und Zulieferern (Automobil, Mobile Arbeitsmaschinen, NFZ, Bahn, Luftfahrt)
Ihr Seminarleiter, Experte für Cyber Security in Fahrzeugen:
Dipl.-Ing. Jürgen Belz, PROMETO GmbH, Paderborn
Nach dem Elektrotechnikstudium, Fachrichtung Automatisierung, leitete Herr Belz die System und Softwareentwicklung für Hybridfahrzeuge bei Continental. Diese wurde für die „Zukunftsweisende Software-Initiative“ mit einem Award ausgezeichnet. Danach war er sieben Jahre weltweit verantwortlich für die Prozesse, Methoden und Werkzeuge in der Hard- und Softwareentwicklung beim Automobilzulieferer Hella. Unter seiner Leitung erreichte Hella als erster Zulieferer den SPICE Level 3 und die Vorstellung des ersten prototypischen AUTOSAR-Steuergerätes, das in einem Fahrzeug verbaut wurde. Seit 2010 ist er Senior Consultant Safety & Security bei PROMETO. PROMETO ist Anbieter von Dienstleistungen, Infrastrukturen und Technologien zu Embedded-, IT- und Sicherheits-Systemen. Seit 2017 ist Herr Belz erfolgreich als Referent für verschiedene Schulungen zur Cyber Security beim VDI Wissensforum tätig.