Neues Thema im IT-Grundschutz: : Mobile Informationssicherheit im Kontext von Fahrzeugen
Die Digitalisierung umfasst immer neue Technologiebereiche. Dazu zählen Fahrzeuge jeder Art – von einem herkömmlichen Pkw oder Lkw über Schiffe bis hin zu Flugzeugen. Digitale Infotainmentsysteme oder Assistenzsysteme sind aus den heutigen Fahrzeugen nicht mehr wegzudenken. Daraus ergeben sich aber auch neue Risiken für die Informationssicherheit der Fahrzeuge, die das BSI in einem neuen IT-Grundschutz-Baustein „Allgemeines Fahrzeug“ aufgreift.
Von Daniel Gilles, BSI
Seitdem das Antiblockiersystem, besser bekannt als ABS, in den 70er-Jahren des letzten Jahrhunderts als erstes elektronisches Assistenzsystem erfunden wurde, hat eine rasante Weiterentwicklung im Bereich der Fahrzeug-IT stattgefunden. Für alle heutigen Fahrzeuge – ob an Land, zu Wasser oder in der Luft – gilt, dass neben Aspekten zur herkömmlichen Fahrzeugsicherheit (Safety), die Informationssicherheit (Security) frühzeitig bei dem Einsatz neuer Geräte mitbedacht werden muss.
Ein Spediteur hat heute in den eingesetzten Lkw Informationen über Kundendaten wie Lieferumfänge oder Kontaktdaten; ein Vertriebsmitarbeiter verfügt in seinem Pkw über ein mobiles Büro mit Laptop und Smartphone, das sich mit der IT des Fahrzeugs verbindet. Fahrzeuge, die dienstlich genutzt werden und mit einer beträchtlichen IT-Ausstattung aus dem Werk kommen, sind besonderen Risiken ausgesetzt.
Der neue IT-Grundschutz-Baustein „Allgemeines Fahrzeug“ informiert über die Risiken und liefert Empfehlungen zur Absicherung von Fahrzeugen. Aufgrund der großen Bandbreite an Themen und unterschiedlichen Aspekten war es eine große Herausforderung, die Thematik für das IT-Grundschutz-Kompendium aufzubereiten. Zudem hat die Informationssicherheit von Fahrzeugen für Anwender in unterschiedlichen Szenarien eine jeweils andere Bedeutung. Diese unterschiedlichsten Anforderungen sollten im IT-Grundschutz-Baustein gelöst werden.
Dazu gab es zwei unterschiedliche Ansätze, um sich dem Thema Fahrzeug zu nähern und einen ersten Bausteinentwurf zu erstellen:
- Bottom-up-Ansatz über einzelne Fahrzeugtypen oder -aspekte
- Top-down-Ansatz über einen möglichst grundlegenden, allgemeinen Baustein
Hierzu wurde im BSI eine Arbeitsgruppe – bestehend aus Vertretern des Kommando Cyber- und Informationsraum (KdoCIR der Bundeswehr), der Bundes- sowie Landespolizeien und des Feuerwehrwesens – gegründet, da sich diese Institutionen zeitgleich mit dieser Thematik auseinandergesetzt haben. Dies war wichtig, um Experten, die täglich mit den Systemen in Fahrzeugen arbeiten, mit im Boot zu haben. Eine weitere Herausforderung dabei war die Abgrenzung der Begrifflichkeiten Safety (Leben schützen) und Information-Security (Informationen schützen). Die Arbeitsgruppe entschied sich für den Top-down-Ansatz, da ein eher übergeordneter Baustein direkt von vielen Anwendern eingesetzt und perspektivisch um weitere spezifische Bausteine zu einzelnen Fahrzeugarten ergänzt werden kann.
Der Baustein „Allgemeines Fahrzeug“ soll für alle Fahrzeugarten mit Motor und Fahrzeugkabine anwendbar sein, die sich in der Regel auf Land-, Luft-, Wasser- und Seestraßen fortbewegen. Schienen- oder Raumfahrzeuge sowie ferngesteuerte oder autonom fahrende Fahrzeuge sind hier zunächst ausgeschlossen, da sie andere Gefährdungen mit sich bringen. Abbildung 1 visualisiert mögliche Gefährdungen im Kontext der Fahrzeugbenutzung.
Die Gefährdungen lassen sich dabei grundsätzlich in zwei Cluster einteilen, die sich in der Ausrichtung des IT-Grundschutz-Bausteins widerspiegeln:
Gefährdungen, die von der IT-Ausstattung von Fahrzeugen ausgehen
Die meisten modernen Fahrzeuge haben eine umfangreiche IT-Ausstattung. Das fängt mit multifunktionalen Infotainmentsystemen an, die Synchronisationsmöglichkeiten mit mobilen Endgeräten bieten, und geht bis hin zu Assistenzsystemen, die technisch betrachtet auch nur hochspezialisierte IT-Systeme sind. Zum Beispiel wird für fortgeschrittene Assistenzsysteme, die teilautomatisiertes Fahren ermöglichen, eine vergleichbare Hardware verwendet, wie sie auch in Smartphones oder Tablets eingesetzt wird.
Die fortschreitende Digitalisierung des Fahrzeugs bringt dabei auch zahlreiche Gefährdungen für die Fahrzeugnutzer mit sich. Werden zum Beispiel Infotainmentsysteme falsch konfiguriert, besteht die Gefahr, dass sensible Informationen automatisch mit Cloud-Diensten synchronisiert werden. Dadurch sind Informationen nicht mehr im geschützten Institutionsnetz und verlassen somit den Einflussbereich der Institution. Die möglichen Gefährdungen für fahrsicherheitsrelevante Assistenzsysteme sind ebenso mannigfaltig, können aber im Rahmen dieses Bausteins nicht abschließend gelöst werden. Die integrierten IT-Systeme sind im Wesentlichen geschlossene Systeme, die Anwender nicht verändern können beziehungsweise aus zulassungsrelevanten Gründen nicht verändern dürfen.
Gefährdungen, die von der Benutzung des Fahrzeugs als IT-Arbeitsplatz ausgehen
Für die Informationssicherheit ist das Fahrzeug auch als IT-Arbeitsplatz für mobiles Arbeiten von Relevanz. Hieraus ergeben sich zahlreiche Gefährdungen, wie zum Beispiel, wenn offenliegende Informationen in einem abgestellten Fahrzeug von außerhalb eingesehen werden können. Auch von außen sichtbare IT-Systeme, wie Laptops oder Smartphones, können Begehrlichkeiten wecken und zu einem Diebstahl führen.
Zu diesen eher organisatorischen Fragestellungen kommen technische hinzu: Ist das im Fahrzeug integrierte WLAN sicher genug, um eine Verbindung mit den mobilen Endgeräten aufzubauen, oder sollte besser eine alternative Verbindung verwendet werden? Wie müssen schützenswerte IT-Systeme, die im Fahrzeug aufbewahrt werden, technisch gesichert werden – welche Schließsysteme bieten hierzu eine ausreichende Sicherheit?
Baustein „Allgemeines Fahrzeug“
Der IT-Grundschutz-Baustein „Allgemeines Fahrzeug“ führt die relevanten Gefährdungen auf und stellt Anforderungen zur Verfügung, um diesen Gefährdungen systematisch und effizient begegnen zu können. Hierbei musste besonders berücksichtigt werden, dass die integrierten IT-Systeme von Fahrzeugen zwar teilweise durch den Anwender konfiguriert werden können, die Sicherheit der Funktionen aber technisch nur sehr eingeschränkt beeinflusst werden kann. Mit Hinblick auf die damit verbundenen Zulassungsverfahren dürfen in den meisten Fällen die Anwender diese überhaupt nicht verändern. Dieser Umstand wird im Baustein durch folgende Schritte gelöst:
- Zunächst werden die Anwender bezüglich der Gefährdungen, die mit den integrierten IT-Systemen einhergehen, sensibilisiert. Viele Nutzer wissen zum Beispiel nicht, dass viele moderne Pkw über die integrierte Mobilfunkverbindung Daten über das Fahrverhalten und den Kilometerstand an den Hersteller senden.
- Da diese Gefährdungen in der Regel nicht vollständig im Betrieb technisch gelöst werden können, müssen sie schon bei der Anforderungserhebung an neue Fahrzeuge – und somit bei der Beschaffung – so weit wie möglich berücksichtigt werden.
- Sofern nicht alle Gefährdungen bereits durch die Auswahl geeigneter Fahrzeuge, die alle sicherheitsrelevanten Anforderungen erfüllen, gelöst werden können, sollten diese durch geeignete organisatorische Regelungen behandelt werden: Verfügt das Fahrzeug zum Beispiel über ein schlüsselloses Schließsystem, das durch Relay-Angriffe leicht umgangen werden kann, so kann die unsichere, „schlüssellose“ Funktion in vielen Fällen einfach deaktiviert werden. Oder falls technisch nicht sichergestellt werden kann, dass das Infotainmentsystem keine relevanten Informationen unerlaubt mit Cloud-Diensten automatisch synchronisiert, dürfen mobile Endgeräte nicht mit dem Infotainmentsystem synchronisiert werden et cetera.
Neben diesen Aspekten, die sich auf die Handhabung der IT-Ausstattung von Fahrzeugen beziehen, werden organisatorische Anforderungen gestellt, die das Fahrzeug zu einer sicheren Arbeitsumgebung und gegebenenfalls zu einem sicheren Ablageort für mobile IT-Systeme und Informationen machen. Dazu gehören Regelungen und Anweisungen für kritische Situationen, wie Wartung, Auswahl eines geeigneten Anlege- oder Parkplatzes, Notfälle und Unfälle.
Informationssicherheit sollte dabei immer ganzheitlich betrachtet werden. Die Grundidee des IT-Grundschutzes besteht in einem Baukastenprinzip, sodass nicht nur einzelne IT-Grundschutz-Bausteine betrachtet werden sollten, sondern der Informationsverbund immer mit allen zutreffenden Bausteinen modelliert werden sollte. Der IT-Grundschutz-Baustein „Allgemeines Fahrzeug“ enthält dazu umfangreiche Modellierungshinweise.
Damit stellt der neue Baustein eine erste Ausgangsbasis für das breite Themenfeld der Informationssicherheit von Fahrzeugen dar. Aufgrund der zunehmenden Verbreitung von IT in Fahrzeugen aller Art ist es vorstellbar, den ersten IT-Grundschutz-Baustein perspektivisch um Bausteine zu weiteren Themen zu ergänzen.
In der Vergangenheit hat sich hierbei der Weg bewährt, dass Anwender und Experten für spezifische Anwendungsszenarien, wie zum Beispiel spezielle Fahrzeuge, zunächst benutzerdefinierte Bausteine erstellen. Diese werden für die fachliche Diskussion und Weiterentwicklung auf der BSI-Website veröffentlicht. Auf dieser Basis kann das BSI evaluieren, welche neuen Themen mit Relevanz für die Informationssicherheit von Fahrzeugen in die zukünftigen Editionen des IT-Grundschutz-Kompendiums aufgenommen werden sollen.
Feedback zu dem neuen IT-Grundschutz-Baustein und weitere Anregungen zu dem Thema Informationssicherheit von Fahrzeugen nimmt das BSI unter grundschutz@bsi.bund.de gerne entgegen.
Von der Idee zum IT-Grundschutz-Baustein
Das IT-Grundschutz-Team wird häufig gefragt, wie neue IT-Grundschutz-Bausteine entstehen und Anwender sich beteiligen können. Die Grafik zeigt die vier Prozessschritte, die ein Baustein-Text durchläuft.
- Nachdem Bedarf für ein Thema oder eine Überarbeitung eines bestehenden Bausteins festgestellt wurde, wird zunächst ein sogenannter Working-Draft erarbeitet. Diese Drafts dienen der weiteren internen Abstimmung.
- Im zweiten Schritt wird der Baustein als Community-Draft veröffentlicht und kann von Anwendern und weiteren am Thema Interessierten kommentiert werden.
- Nachdem Anwenderkommentare in den Baustein eingearbeitet wurden, wird ein Final Draft veröffentlicht.
- Im Februar erscheint jährlich aktualisiert eine neue Edition des IT-Grundschutz-Kompendiums, das alle finalisierten Drafts enthält.
Community- und Final Drafts können ganzjährig veröffentlicht werden. Dieses Vorgehen ermöglicht es, neue und überarbeitete Bausteine agil und zeitnah mit der Community abzustimmen und bereitzustellen. Dabei können Anwender bereits Final Drafts für ihre Sicherheitsbetrachtungen heranziehen, da diese unverändert in die jeweils nächste Edition des IT-Grundschutz-Kompendiums aufgenommen werden. Zugleich gewährt dieser Veröffentlichungsprozess die nötige Stabilität und planerische Sicherheit für Zertifizierungsverfahren.