Entwurf eines sicheren Fernwartsystems für Automobilsoftware Stefan Trienen Philip Weber
Stefan Trienen, Philip Weber Einleitung 05.07.11 Stefan Trienen, Philip Weber
Stefan Trienen, Philip Weber Akteure Auto Hersteller Werkstatt Geselle Meister 05.07.11 Stefan Trienen, Philip Weber
Funktionale Anforderungen Grundlegende Funktionalität: Wartungsbedarf erkennen Daten auslesen per Remotezugriff Updates übertragen/installieren Systemtest Protokollierung aller Vorgänge (Logs) 05.07.11 Stefan Trienen, Philip Weber
Nicht-funktionale Anforderungen Datensicherheit Datenintegrität Datenschutz Verfügbarkeit Technische Sicherheit des Fahrzeugs Erreichbarkeit der Rechner Nicht bekommen Nicht manipulieren Nicht lesen/weitergeben 05.07.11 Stefan Trienen, Philip Weber
Stefan Trienen, Philip Weber Architektur 05.07.11 Stefan Trienen, Philip Weber
Stefan Trienen, Philip Weber Architektur - Auto Controller Authentifizierter Zugriff durch Werkstatt Updates vom Hersteller Mobile Internetverbindung 05.07.11 Stefan Trienen, Philip Weber
Architektur - Werkstatt Wartungsrechner Durchführung der Wartung Authentifizierung am System Wartungsserver Protokolle Updates Ist eine „Blackbox“ für die Werkstatt Muss verbunden sein für eine Wartung 05.07.11 Stefan Trienen, Philip Weber
Architektur - Hersteller Update-Server Fahrzeugsoftware Authentifizierung Hersteller mit Fahrzeug Hersteller mit Werkstatt Nötig, um Update durchzuführen 05.07.11 Stefan Trienen, Philip Weber
Bedrohungsanalyse: Auto Meister Manipulation der Fahrzeugeinstellungen Gefährdet Sicherheit und Verfügbarkeit Weitergabe der Fahrzeugdaten Fahrer und Mobiler Code Hauptsächlich Viren und Trojaner oder anderer Schadcode Große Gefahr weil interne Angriffe möglich sein Eigentlich keine Gefahr, da er eine vertrauenswürdige Person sein sollte. Kann auch ohne Fernwartung schaden anrichten - Anlegen von Statistiken 05.07.11 Stefan Trienen, Philip Weber
Bedrohungsanalyse: Auto Angreifer „Man in the middle“ Angriff Angriff auf das Fahrzeug über Schnittstelle der Werkstatt Auslesen der Fahrzeugdaten Manipulation der Fahrzeugdaten Schadcode Große Gefahr weil interne Angriffe möglich sein Eigentlich keine Gefahr, da er eine vertrauenswürdige Person sein sollte. Kann auch ohne Fernwartung schaden anrichten - Anlegen von Statistiken 05.07.11 Stefan Trienen, Philip Weber
Bedrohungsanalyse: Werkstatt Meister Manipulation der Software Manipulation der Protokolldatei Auslesen und Weitergabe der Protokolldatei Manipulation des Wartungsrechners oder des Servers Update von fehlerhafter Software 05.07.11 Stefan Trienen, Philip Weber
Bedrohungsanalyse: Werkstatt Fahrer Abhören der Kommunikation Mobiler Code Viren und Trojaner 05.07.11 Stefan Trienen, Philip Weber
Bedrohungsanalyse: Werkstatt Angreifer Abhören der Kommunikation Austausch der SW Auslesen der Protokolle Angriff auf Wartungsrechner 05.07.11 Stefan Trienen, Philip Weber
Bedrohungsanalyse: Hersteller Meister Angriff über Lücke in der Authentifizierung Hersteller Fälschung von Protokollen Herausgabe fehlerhafter Software Weitergabe vertraulicher Daten 05.07.11 Stefan Trienen, Philip Weber
Bedrohungsanalyse: Hersteller Mobiler Code Schadcode Angreifer Manipulation der Software Beschaffung und Austausch der Software auf dem Server Angriff auf Update Server 05.07.11 Stefan Trienen, Philip Weber
Stefan Trienen, Philip Weber Bedrohungsszenario 05.07.11 Stefan Trienen, Philip Weber
Stefan Trienen, Philip Weber Risikoanalyse 05.07.11 Stefan Trienen, Philip Weber
Schutzziele & zu schützende Objekte Hardware 05.07.11 Stefan Trienen, Philip Weber
Schutzziele & zu schützende Objekte Daten 05.07.11 Stefan Trienen, Philip Weber
Sicherheitsmaßnahmen Server auf Werkstattebene entfernen Verschlüsselung Authentifizierung Autorisierung Firewall Virenscanner 05.07.11 Stefan Trienen, Philip Weber
Zugriffsrechte Statische Zugriffsmatrix Wartungsrechner Protokoll Update-Server Fahrzeug Meister rx r x rwx Geselle Fahrer - Hersteller 05.07.11 Stefan Trienen, Philip Weber
Architekturverbesserung 05.07.11 Stefan Trienen, Philip Weber
Stefan Trienen, Philip Weber Risikoneubewertung 2.1.1 3->4 2.1.3 4->5 2.2.1.1 4->5 2.2.2.1 3->4 2.2.2.2 2->3 05.07.11 Stefan Trienen, Philip Weber
Nachweis der Informationssicherheit Datensicherheit und –integrität Verschlüsselung Authentifizierung Datenschutz Rechtemanagement Technische Sicherheit des Fahrzeugs Keine sicherheitskritischen Updates Selbsttest nach Update 05.07.11 Stefan Trienen, Philip Weber
Nachweis der Informationssicherheit Verfügbarkeit (Fahrzeug) Selbsttest Evtl. Update-Rückrollung Verfügbarkeit (Werkstatt, Hersteller) Problem: DoS-Angriff Auto: Funktionstüchtigkeit Andere: Erreichbarkeit 05.07.11 Stefan Trienen, Philip Weber
Stefan Trienen, Philip Weber Fazit Sicherheitsverbesserung durch Architekturveränderung Sicherheitsbetrachtung nicht vollständig Aus Zeitgründen Für jede Bedrohung durchzuführen 05.07.11 Stefan Trienen, Philip Weber
Vielen Dank für Ihre Aufmerksamkeit