Entwurf eines sicheren Fernwartsystems für Automobilsoftware Stefan Trienen Philip Weber
Einleitung Stefan Trienen, Philip Weber1
Akteure Hersteller Werkstatt Geselle Meister Auto Stefan Trienen, Philip Weber2
Funktionale Anforderungen Grundlegende Funktionalität: ○ Wartungsbedarf erkennen ○ Daten auslesen per Remotezugriff ○ Updates übertragen/installieren ○ Systemtest Stefan Trienen, Philip Weber3
Architektur Stefan Trienen, Philip Weber4
Architektur - Auto Controller Authentifizierter Zugriff durch Werkstatt Updates vom Hersteller Mobile Internetverbindung Stefan Trienen, Philip Weber5
Architektur - Werkstatt Wartungsrechner ○ Durchführung der Wartung ○ Authentifizierung am System Wartungsserver ○ Protokolle ○ Updates ○ Ist eine „Blackbox“ für die Werkstatt ○ Muss verbunden sein für eine Wartung Stefan Trienen, Philip Weber6
Architektur - Hersteller Update-Server ○ Fahrzeugsoftware Authentifizierung ○ Hersteller mit Fahrzeug ○ Hersteller mit Werkstatt ○ Nötig, um Update durchzuführen Stefan Trienen, Philip Weber7
Bedrohungsanalyse: Auto Meister ○ Manipulation der Fahrzeugeinstellungen Gefährdet Sicherheit und Verfügbarkeit ○ Weitergabe der Fahrzeugdaten Fahrer und Mobiler Code ○ Hauptsächlich Viren und Trojaner oder anderer Schadcode Stefan Trienen, Philip Weber8
Bedrohungsanalyse: Auto Angreifer ○ „Man in the middle“ Angriff ○ Angriff auf das Fahrzeug über Schnittstelle der Werkstatt ○ Auslesen der Fahrzeugdaten ○ Manipulation der Fahrzeugdaten ○ Schadcode Stefan Trienen, Philip Weber9
Bedrohungsanalyse: Werkstatt Meister ○ Manipulation der Software ○ Manipulation der Protokolldatei ○ Auslesen und Weitergabe der Protokolldatei ○ Manipulation des Wartungsrechners oder des Servers ○ Update von fehlerhafter Software Stefan Trienen, Philip Weber10
Bedrohungsanalyse: Werkstatt Fahrer ○ Abhören der Kommunikation Mobiler Code ○ Viren und Trojaner Stefan Trienen, Philip Weber11
Bedrohungsanalyse: Werkstatt Angreifer ○ Abhören der Kommunikation ○ Austausch der SW ○ Auslesen der Protokolle ○ Angriff auf Wartungsrechner Stefan Trienen, Philip Weber12
Bedrohungsanalyse: Hersteller Meister ○ Angriff über Lücke in der Authentifizierung Hersteller ○ Fälschung von Protokollen ○ Herausgabe fehlerhafter Software ○ Weitergabe vertraulicher Daten Stefan Trienen, Philip Weber13
Bedrohungsanalyse: Hersteller Mobiler Code ○ Schadcode Angreifer ○ Manipulation der Software ○ Beschaffung und Austausch der Software auf dem Server ○ Angriff auf Update Server Stefan Trienen, Philip Weber14
Bedrohungsszenario Stefan Trienen, Philip Weber15
Risikoanalyse Stefan Trienen, Philip Weber16
Schutzziele & zu schützende Objekte Hardware Stefan Trienen, Philip Weber17
Schutzziele & zu schützende Objekte Daten Stefan Trienen, Philip Weber18
Sicherheitsmaßnahmen Server auf Werkstattebene entfernen Verschlüsselung Authentifizierung Autorisierung Firewall Virenscanner Stefan Trienen, Philip Weber19
Zugriffsrechte Statische Zugriffsmatrix WartungsrechnerProtokollUpdate-ServerFahrzeug Meisterrxrxrwx Gesellerxrxrwx Fahrer---rx Hersteller-rrwx Stefan Trienen, Philip Weber20
Architekturverbesserung Stefan Trienen, Philip Weber21
Risikoneubewertung Stefan Trienen, Philip Weber22
Nachweis der Informationssicherheit Datensicherheit und –integrität ○ Verschlüsselung ○ Authentifizierung Datenschutz ○ Rechtemanagement Technische Sicherheit des Fahrzeugs ○ Keine sicherheitskritischen Updates ○ Selbsttest nach Update Stefan Trienen, Philip Weber23
Nachweis der Informationssicherheit Verfügbarkeit (Fahrzeug) ○ Selbsttest ○ Evtl. Update-Rückrollung Verfügbarkeit (Werkstatt, Hersteller) ○ Problem: DoS-Angriff Stefan Trienen, Philip Weber24
Fazit Sicherheitsverbesserung durch Architekturveränderung Sicherheitsbetrachtung nicht vollständig ○ Aus Zeitgründen ○ Für jede Bedrohung durchzuführen Stefan Trienen, Philip Weber25
Vielen Dank für Ihre Aufmerksamkeit