Fahrzeug-Security im Connected Car

25
© 2015 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH Das Thema Security wird für unsere Fahrzeuge immer wichtiger! Fahrzeug-Security – Connected Car Thomas Schütz und Fabian Kehle | MHPBoxenstopp: 05.04.2016

Transcript of Fahrzeug-Security im Connected Car

© 2015 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Das Thema Security wird für unsere Fahrzeuge immer wichtiger!

Fahrzeug-Security – Connected Car

Thomas Schütz und Fabian Kehle | MHPBoxenstopp: 05.04.2016

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 2

12.04.2016 Big Data Analysen mit QlikView Mehrwert aus Vernetzung mit HANA, BWonHANA & HADOOP

19.04.2016 Complaint Management Integrierte Beanstandungsabwicklung mit dem MHP AddOn

Complaint Cockpit

19.04.2016 Digitalisierung im HR Wie HR Predictive Analytics und Social Media Analysen Ihrem

Unternehmen helfen

26.04.2016 Text Mining im analytischen CRM Generierung von Wissen aus unstrukturierten Texten

26.04.2016 Das E-Auto in der Future City Ein Ausblick für das vernetzte Elektrofahrzeug im urbanen Raum

Einleitung

MHPBoxenstopp: Fahrzeug-Security – Connected Car

Agenda

Weitere MHPBoxenstopps www.mhp.com/events

Zu Anfang sind alle Teilnehmer auf stumm geschalten.

Wo Sie uns in 2016 auch finden können… www.mhp.com/events

13.00 – 13.10 Uhr Begrüßung Fabian Kehle

13.10 – 13.45 Uhr Vortrag Thomas Schütz

13.45 – 14.00 Uhr Offene Fragerunde Sie können bereits während der Web Session über Chat-

funktion im rechten Fenster Fragen einreichen.

www.youtube.de/MHPProzesslieferant www.slideshare.net/MHPInsights

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 3

MHPBoxenstopp: Fahrzeug-Security – Connected Car

Ihre Gesprächspartner

Fabian Kehle

Senior Professional

Produkt- und

Innovationsmanagement

Thomas Schütz

Manager

Connected Vehicle

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 4

Prozesse verbessern kann nur, wer sich im Detail auskennt.

Genauso wie im Großen und Ganzen.

MHPBoxenstopp: Fahrzeug-Security – Connected Car

Wir wissen aus Erfahrung,

wie man Ziele erreicht und dabei vorneweg fährt.

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 5

Mieschke Hofmann und Partner (MHP)

A Porsche Company

MHPBoxenstopp: Fahrzeug-Security – Connected Car

Der Unterschied

Symbiose aus Management- + IT-Beratung l Prozesslieferant l Excellence l Automotive l Kunden

Die Kompetenz Ganzheitliches Beratungsportfolio über die gesamte Wertschöpfungskette

Technology

Services

Application

Mgmt.

Services

Product

Lifecycle

Mgmt.

Supply

Chain

Mgmt.

Production

& Opera-

tions Mgmt.

Customer

Relations

Mgmt.

Finance &

Controlling

Business

Intelligence

After

Sales

Retail

Mgmt.

Human

Resources

Die Leistung

Management Consulting

System Integration

Managed Services

Business Solutions

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 6

Ganzheitliches Beratungsportfolio über die komplette Wertschöpfungskette.

Unsere Kompetenzbereiche mit Themenfeldern.

MHPBoxenstopp: Fahrzeug-Security – Connected Car

Technology

Services

Application

Mgmt.

Services

Product

Lifecycle

Mgmt.

Supply

Chain

Mgmt.

Production

& Opera-

tions Mgmt.

Customer

Relations

Mgmt.

Finance &

Controlling

Business

Intelligence

After

Sales

Retail

Mgmt.

Human

Resources

Production Planning

Strategic Production

Consulting

Lean Production

Manufacturing

Execution

Maintenance

Retail Service

Management

Retail Consulting

Fleet Management

Sourcing

Planning

Affiliation

Performance

Development & Talent

Management

Governance, Risk and

Compliance

Template

Development and

Rollouts

Business Process

Development &

Optimization

Legal and Fiscal

Requirements

Accounts, Reporting

and Consolidation

System Harmonization

CIO Management

Consulting

Enterprise Content

Management

Standard Software

Individual Software

Application & Process

Services

Application

Management

Consulting

Product Structure

Management

Product Development

Process (PDP)

Management

SAP PLM Consulting &

Solution

Implementation

PTC Windchill Solution

Integration

DS Enovia V6 Solution

Integration

PLM Strategy &

Management

Consulting

Production

Logistics

Procurement & Quality

Sales Logistics

Service Management

Spare Parts

Management

Supply Chain &

Demand Planning

Service Management

Spare Parts

Management

Warranty Processes

(Pro-active) Complaint

Management

Digital incl. Connected

CRM & Social CRM

CRM Strategy &

Management

Consulting

Sales Force

Automation incl.

Mobile CRM

Analytics incl.

Segmentation &

Campaign

Management

Vertical Retail

Integration

(Pro-active) Complaint

Management

BI Technology

BI Strategy

Integrated Corporate

Planning

Analytical Business

Processes

Next Generation BI &

BIG DATA

Mobile BI Scenarios

CRM IT Consulting &

Solution

Implementation

Transition & Change

Management

Administrative Core

Processes

MHP Dealer

Performance

Management

Finance and

Controlling for

Automotive Retailers

Dealer Management

Systems

MHP Carbon

Innovations Connected Vehicle Future City Sustainable

Mobility Digitalisierung

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 7

Ganzheitliches Beratungsportfolio über die komplette Wertschöpfungskette.

Unsere Kompetenzbereiche mit Themenfeldern.

MHPBoxenstopp: Fahrzeug-Security – Connected Car

Technology

Services

Application

Mgmt.

Services

Product

Lifecycle

Mgmt.

Supply

Chain

Mgmt.

Production

& Opera-

tions Mgmt.

Customer

Relations

Mgmt.

Finance &

Controlling

Business

Intelligence

After

Sales

Retail

Mgmt.

Human

Resources

Production Planning

Strategic Production

Consulting

Lean Production

Manufacturing

Execution

Maintenance

Retail Service

Management

Retail Consulting

Fleet Management

Sourcing

Planning

Affiliation

Performance

Development & Talent

Management

Governance, Risk and

Compliance

Template

Development and

Rollouts

Business Process

Development &

Optimization

Legal and Fiscal

Requirements

Accounts, Reporting

and Consolidation

System Harmonization

CIO Management

Consulting

Enterprise Content

Management

Standard Software

Individual Software

Application & Process

Services

Application

Management

Consulting

Product Structure

Management

Product Development

Process (PDP)

Management

SAP PLM Consulting &

Solution

Implementation

PTC Windchill Solution

Integration

DS Enovia V6 Solution

Integration

PLM Strategy &

Management

Consulting

Production

Logistics

Procurement & Quality

Sales Logistics

Service Management

Spare Parts

Management

Supply Chain &

Demand Planning

Service Management

Spare Parts

Management

Warranty Processes

(Pro-active) Complaint

Management

Digital incl. Connected

CRM & Social CRM

CRM Strategy &

Management

Consulting

Sales Force

Automation incl.

Mobile CRM

Analytics incl.

Segmentation &

Campaign

Management

Vertical Retail

Integration

(Pro-active) Complaint

Management

BI Technology

BI Strategy

Integrated Corporate

Planning

Analytical Business

Processes

Next Generation BI &

BIG DATA

Mobile BI Scenarios

CRM IT Consulting &

Solution

Implementation

Transition & Change

Management

Administrative Core

Processes

MHP Dealer

Performance

Management

Finance and

Controlling for

Automotive Retailers

Dealer Management

Systems

MHP Carbon

Innovations Connected Vehicle Future City Sustainable

Mobility Digitalisierung

Fahrzeug-

Security -

Connected

Car

Agenda

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 8

1. Fahrzeug-Connectivity und seine Risiken

2. Aufgaben und Vorgehensweise der Fahrzeug-Security

3. Besondere Herausforderungen der Fahrzeug-Security

Agenda

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 9

1. Fahrzeug-Connectivity und seine Risiken

2. Aufgaben und Vorgehensweise der Fahrzeug-Security

3. Besondere Herausforderungen der Fahrzeug-Security

10 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Entwicklung „Fahrzeug-Connectivity“

1. Fahrzeug-Connectivity und seine Risiken

Abschottung der Fahrzeuge Mobile Online Dienste Software Download Over The Air

Remote Diagnose

Car2X, Car2Car Kommunikation

Autonomes Fahren

Smartphone als Fahrzeugschlüssel

Navigation

Safety

Infotainment

eMobility

Remote Dienste

Vergangenheit Gegenwart Zukunft

Bildquelle: Tresor (tresore.net), Porsche 911.2 (porsche.com)

11 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

1. Fahrzeug-Connectivity und seine Risiken

BMW Hack

~ 2 Millionen

Fahrzeuge.

Jeep Hack

~ 1.4 Millionen

Fahrzeuge

Tesla Hack

Alle Tesla Model S

Fahrzeuge

GM Hack

> 1 Millionen inst.

Smartphone Apps

Unberechtigtes Öffnen und

Ausführen anderer Remote Dienste

aufgrund mangelhafter Fahrzeug-

Security.

Änderung der Konfiguration der

Connect Unit im Fahrzeug über

Remote Update / SMS.

Software-Manipulation der Infotain-

ment Unit über Mobilfunk. Remote

Ausführen von Fahrzeugfunktionen wie

Lenken, Ausschalten der Bremsen …

Rückruf von 1,4 Millionen

Fahrzeugen in die Werkstatt. SW

Update der Infotainment Unit.

Mitlesen der Zugangsdaten.

Ausführen der Remote Dienste mithilfe

der Zugangsdaten.

Update IT-System.

Update iPhone App.

Manipulation der Fahrzeug-Software.

Danach Remote Ausführen von Start

/Stopp Motor, Fahrzeug öffnen u.a.

Remote Software Update, um

Schwachstellen zu beheben.

Top Fahrzeug Hacks 2015 Angriff Maßnahmen

Bildquelle: Jeep Hack (youtube.com), GM Hack (sijutech.com)

12 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Wired: Hackers Remotely Kill a Jeep on the Highway (0:00 – 3:18, 4:36 – Ende)

1. Fahrzeug-Connectivity und seine Risiken

Videoquelle: https://www.youtube.com/watch?v=MK0SrxBC1xs

13 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Wachsende Themenfelder der Fahrzeug-Security

1. Fahrzeug-Connectivity und seine Risiken

2010 2012 2014 2016 2018

DS DS DS DS

MS MS MS KS

KS

KS

KS

NT

NT

NT

Neue Themen (NT)

SW Update OTA, Car2X, Autonomes Fahren, PLC

Kommunikationsschutz

(KS)

Manipulationsschutz

(MS)

Diebstahlschutz

(DS)

Au

fwan

d

Agenda

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 14

1. Fahrzeug-Connectivity und seine Risiken

2. Aufgaben und Vorgehensweise der Fahrzeug-Security

3. Besondere Herausforderungen der Fahrzeug-Security

15 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Inhalte Phase 2:

Schutzzieldefinition

Schadens-

kategorisierung

Risikoanalyse

Vorgehensmodell - angelehnt an BSI 100-2 IT-Grundschutz Vorgehensweise

2. Aufgaben und Vorgehensweise der Fahrzeug-Security

Inhalte Phase 1:

Securityrelevanz

Inhalte Phase 3:

Security-

Anforderungen

Schutzmaßnahmen

zur Reduzierung

der Risiken

Inhalte Phase 4:

Verifikation der

Spezifikation

Penetrationstests

Inhalte Phase 5:

Ggf. weitere Security-

Tests

Freigabeempfehlung

Prüfung und

Freigabe

Umsetzungs-

und

Testphase

Anforderungs

-phase

Schutzbedarfs

-feststellung

Security-

Relevanz-

prüfung

3 1 2 4 5

16 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Untersuchungs-

gegenstand

Phase 2 und Phase 3: Schutzbedarfsfeststellung

2. Aufgaben und Vorgehensweise der Fahrzeug-Security

Daten

Schnittstellen

Komponenten

Funktionen

Schutzbedarf

Bedrohungen

Schutzziele Vertraulichkeit

Integrität

Verlässlichkeit

Authentizität

Schadens-

kategorien Safety

Privacy and Law

Money and Business

Image

Potentieller

Schaden

Bedrohungen

Bedrohungsklassen

Katalog

Maßnahmen

Maßnahmenklassen

Katalog

Angriffs-

Aufwand

RISIKO

17 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Schadenskategorien

2. Aufgaben und Vorgehensweise der Fahrzeug-Security

Safety (indirekt)

Schutz von Fahrzeuginsassen

und Verkehrsteilnehmern

Allgemeine Betriebssicherheit und

Zuverlässigkeit von Fahrzeug und

Funktion

Gefahr für Leib und Leben

Money & Business

Freischalten kostenpflichtiger Funktionen

(z.B. SWAP)

Verlust von Knowhow (IP)

Gefährdung von Geschäftsmodellen (z.B.

Zugriff auf Fahrzeugdaten)

Gefahr: finanzieller Schaden für den

Konzern

Image

Subjektive Wahrnehmung der

Fahrzeugfunktionen vor Kunde

Fehlverhalten & Verfügbarkeit der Funktion

Störung des Fahrgastes durch Manipulation

von Multimedia und Telefon (gefälschte

Anrufe)

Gefahr: Reputationsverlust

Privacy & Law

Gewährleistung der Privatsphäre der Kunden

Schutz von Unternehmensdaten

Gesetzgebung

Gefahr: Verletzung der Privatsphäre,

vertraulicher Daten, Gesetze

Schadens-

kategorien

18 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Risikotabelle

2. Aufgaben und Vorgehensweise der Fahrzeug-Security

Schwer

Fortgeschritten

Einfach

Nahezu nicht

möglich

Besonders

schwer

Sehr

gering Vernachlässigbares

Risiko

Vernachlässigbares

Risiko

Vernachlässigbares

Risiko Tolerierbares Risiko Tolerierbares Risiko

Gering Vernachlässigbares

Risiko

Vernachlässigbares

Risiko Tolerierbares Risiko Tolerierbares Risiko Tolerierbares Risiko

Moderat Vernachlässigbares

Risiko Tolerierbares Risiko

Ernsthaftes Risiko;

Handlungsbedarf

Ernsthaftes Risiko;

Handlungsbedarf

Hohes Risiko;

Dringender

Handlungsbedarf

Hoch Tolerierbares Risiko Ernsthaftes Risiko;

Handlungsbedarf

Ernsthaftes Risiko;

Handlungsbedarf

Hohes Risiko;

Dringender

Handlungsbedarf

Hohes Risiko;

Dringender

Handlungsbedarf

Sehr

hoch Tolerierbares Risiko

Ernsthaftes Risiko;

Handlungsbedarf

Hohes Risiko;

Dringender

Handlungsbedarf

Hohes Risiko;

Dringender

Handlungsbedarf

Hohes Risiko;

Dringender

Handlungsbedarf

Sch

ad

en

Angriffsschwierigkeit

19 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Phase 4: Umsetzung und Testphase

2. Aufgaben und Vorgehensweise der Fahrzeug-Security

Festlegung der Teststrategie

Abstimmen der Security Tests mit Entwicklung/Zulieferer

Überprüfung der Umsetzung der Security Maßnahmen (frühe Phase der Integration)

Code Review

Tests von Teilfunktionen und von einzelnen Komponenten

Penetrationstests von Komponenten

20 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Phase 5: Prüfung und Nachweis

2. Aufgaben und Vorgehensweise der Fahrzeug-Security

Prüfung durch Ende-zu-Ende Tests, Penetrationstests

Finale Überprüfung der Umsetzung der Security Maßnahmen

Ende-zu-Ende Tests mit allen relevanten Systemen: Fahrzeug, IT-Systeme,

Smartphone.

Suche nach Schwachstellen, die trotz Umsetzung der Security Maßnahmen

vorhanden sein können.

Freigabeempfehlung:

Ergebnisse der Prüfungen/Penetrationstests überprüfen

Bei aufgedeckten Schwachstellen: Risikoeinstufung der gefundenen Schwachstellen

Wenn nicht tolerierbare Risiken vorhanden sind, müssen diese

(durch Maßnahmen) reduziert oder

(temporär) akzeptiert oder

die betroffene Funktion darf nicht freigegeben werden.

Agenda

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 21

1. Fahrzeug-Connectivity und seine Risiken

2. Aufgaben und Vorgehensweise der Fahrzeug-Security

3. Besondere Herausforderungen der Fahrzeug-Security

22 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Product-Life-Cycle

3. Besondere Herausforderung der Fahrzeug-Security

IT-Systeme

• Regelmäßige Software Updates nach Inbetriebnahme

• Hardware Updates nach < 5 Jahren

Security Maßnahmen können bei Bedarf angepasst werden

Fahrzeuge (Lebensdauer > 15 Jahre)

• Software Updates für Fahrzeuge in Produktion oder nach Produktionsende

SW Update OTA oder Rückrufaktion!

• Hardware Update: (noch) nicht geplant

Anpassung der Security Maßnahmen über Lebensdauer nicht sichergestellt

Bildquelle: Serverschränke (reinigung-computer.de)

23 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH

Weitere Herausforderungen

3. Besondere Herausforderung der Fahrzeug-Security

Kosten: Security Maßnahmen unterliegen auch dem hohen Kostendruck, z.B. Wahl eines

Prozessors mit Secure Hardware Extension (SHE)

Benutzerfreundlichkeit: Die Notwendigkeit der Eingabe eines PIN Codes bei jedem

Fahrzeugstart ist nicht erwünscht. Der Fahrzeugschlüssel als Token muss ausreichen.

Fahrzeug-Hacks sind „IN“: Hacker Angriffe auch ohne größeren Schaden werden in

vielen Medien publiziert. Konsequenzen sind Imageverlust des OEMs und

Akzeptanzverlust bei potentiellen Käufern Möglicher Imageverlust muss bei der

Betrachtung der potentiellen Schäden beachtet werden (Risikoanalyse)

Angreifer hat Zugang zum Fahrzeug: Angreifer, die im Besitz eines Fahrzeugs sind,

können sich durch „Reverse Engineering“ Kenntnisse über die Security Maßnahmen

aneignen (BMW Hack)

Unsicheres Smartphone: das Smartphone, mit dem viele Connect-Funktionen heute

bedient werden, muss als „Unsicher“ eingestuft werden.

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 24

MHPBoxenstopp: Fahrzeug-Security – Connected Car

Thomas Schütz

Manager

Connected Vehicle

Mobil: +49 (0)151 4066 7583

E-Mail: [email protected]

Ihr Ansprechpartner

© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 25

MHPBoxenstopp

Das E-Auto in der

Future City

MHPTimetable 2016

Weitere Infos

www.mhp.com/

events

Mit nur einem “Klick” zur MHPBoxenstopp Anmeldung

Haben Sie einen MHPBoxenstopp verpasst? Kein Problem - in unserem MHP YouTube-Channel und auf unserem SlideShare

Profil finden Sie alle vergangenen Websessions:

Mitschnitte und Videos im Channel: Präsentationsunterlagen:

http://www.youtube.com/MHPProzesslieferant http://de.slideshare.net/MHPInsights

MHPBoxenstopp

Big Data Analysen

mit QlikView

MHPBoxenstopp

Complaint

Management

11-12 Uhr | 19.04.16

MHPBoxenstopp

Digitalisierung im

HR

MHPBoxenstopp

Text Mining im

analytischen CRM

MHPForum Projektmanagement

Komplexität. Flexibilität. Geschwindigkeit.

Sie schaffen das!

13-18 Uhr | 10.05.16 in Ludwigsburg

13-14 Uhr | 19.04.16 11-12 Uhr | 26.04.16 13-14 Uhr | 26.04.16 11-12 Uhr | 12.04.16