IT-Security-Standardisierung in der Automobilindustrie: Ein Einblick & ein Ausblick

Transkript

1 IT-Security-Standardisierung in der Automobilindustrie: Ein Einblick & ein Ausblick Marko Wolf ESCRYPT GmbH Embedded Security KITS Konferenz 2014, 30. Juni 2014 DIN Koordinierungsstelle IT-Sicherheit (KITS)

2 Digitale Revolution im Automobil: Von Glas & Stahl zum Smartphone auf Rädern BMW 5er (1984) BMW 5er (2014) iphone 5S (2014) ~75 >10k 32GB >90% 7 5 ~16GB ~ 40% 2 ~20 <5 ~2k <1kB <5% 1 μcontroller SW-Funktionen SW-Umfang Kosten H&E E/E COM IF Abb: HLW, PD-USGov, Zametti, Wikimedia Commons 3

3 Digitale Revolution im Automobil: Vom Zahnrad zum Internetupdate Einfache mechanisch getriebene Automobile werden zu intelligenten, vernetzten, software-basierten IT-Systemen Treiber: Komplexität, Flexibilität, Kosten, Gewicht Vorgestern Gestern Heute Morgen Steigender Anteil an digitaler Elektronik- und Software 4

4 Digitale Revolution im Automobil: Vom Transistorradio zur Datenwolke Vom stummen, geschlossenen System zum komplexen, stets vernetzen, interaktiven Kommunikationsknoten Treiber: Verkehrssicherheit, Verkehrseffizienz, Infotainment, automobile Internetanwendungen Vorgestern Gestern Heute Morgen Steigender interner und externer Vernetzungsgrad 5

5 Digitale Revolution im Automobil: Vom Tachodreh zum Onlinevirus Vom Tachodreh zum global vernetzten Computervirus Treiber: Spaß, Ruhm, Profit, Spionage, Sabotage... für Besitzer, Konkurrenten, Organisationen, Dritte Vorgestern Gestern Heute Morgen Steigenden Anforderungen an Informationssicherheit und Datenschutz Abb: lnteriot, Schaeffer, Wikimedia Commons, CAESS, US DoT 6

6 Alles nur Theorie? Original Veröffentlichung: C. Miller and C. Valasek. Adventures in Automotive Networks and Control Units. In DEFCON 21 Hacking Conference, Las Vegas, August August Zugehöriger Artikel + Video: A. Greenberg. Hackers Reveal Nasty New Car Attacks With Me Behind The Wheel. In Forbes.com, 12. August

7 Handlungsempfehlungen für Politik, Wirtschaft und Wissenschaft Politik & Gesellschaft Bewusstsein schaffen und Transparenz einfordern Gesetzliche Mindestanforderungen und Regelungen erstellen, Rechtslücken schließen Automobilwirtschaft Security und Safety Entwicklung vereinen Höchster Schutzlevel für Fahrsicherheit & Datenschutz Weltweite Kooperation im Bereich IT-Sicherheit über globale Standardisierung Wissenschaft & Forschung Vorreiter Automotive Security Forschung bzgl. Bedrohungen und Lösungen Kooperation mit Automobil- Industrie und Gesellschaft für verlässliche IT-Sicherheit und Datenschutz Enge, länder- und herstellerübergreifende Zusammenarbeit Abb: Qualle, Siyuvvj, Oian, Wikimedia Commons 8

8 Handlungsempfehlungen für Politik, Wirtschaft und Wissenschaft Politik & Gesellschaft Bewusstsein schaffen und Transparenz einfordern Gesetzliche Mindestanforderungen und Regelungen erstellen, Rechtslücken schließen Automobilwirtschaft Security und Safety Entwicklung vereinen Höchster Schutzlevel für Fahrsicherheit & Datenschutz Weltweite Kooperation im Bereich IT-Sicherheit über globale Standardisierung Wissenschaft & Forschung Vorreiter Automotive Security Forschung bzgl. Bedrohungen und Lösungen Kooperation mit Automobil- Industrie und Gesellschaft für verlässliche IT-Sicherheit und Datenschutz Enge, länder- und herstellerübergreifende Zusammenarbeit Abb: Qualle, Siyuvvj, Oian, Wikimedia Commons 9

9 Standardisierung im Automobil: Status Quo Generische, standardisierte Methodologie & Prüfinfrastruktur zum Nachweis & Bewertung von IT-Sicherheit (CC) vorhanden Erste, gemeinsame Standardisierungsbestrebungen im Bereich V2X-Security (IEEE ) und Hardware Security (HIS SHE) Kein standardisierter oder getrennter Entwicklungsprozess von IT-Sicherheit und Funktionssicherheit Automobiler Entwicklungsprozess zur Fahrsicherheit (ISO 26262) (noch) ohne Anforderungen an IT-Sicherheit Über allgemeine Anforderungen zur Produkthaftung und Produktsicherheit sowie den generischen, europäischen Datenschutzrichtlinien (e.g. 95/46/EG) noch keine dezidierten, verpflichtenden automobilen Security- & Privacy-Standards und Mindestschutzanforderungen (Ausnahmen: Digitaler Tachograph, Toll Collect) 10

10 Sicherheit, Vertrauen, Zuverlässigkeit Safety Security Privacy Keine Safety ohne Security. Security & Privacy sind keine Wettbewerbsmerkmale. Standards für gemeinsamen, verlässlichen Grundschutz. ISO Standardisierung notwendig! Regulierung notwendig! 11

11 Marko Wolf Head of Engineering Europe ESCRYPT Embedded Security 12