Fahrzeug-Security im Connected Car
-
Upload
mhp-a-porsche-company -
Category
Technology
-
view
438 -
download
1
Transcript of Fahrzeug-Security im Connected Car
© 2015 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Das Thema Security wird für unsere Fahrzeuge immer wichtiger!
Fahrzeug-Security – Connected Car
Thomas Schütz und Fabian Kehle | MHPBoxenstopp: 05.04.2016
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 2
12.04.2016 Big Data Analysen mit QlikView Mehrwert aus Vernetzung mit HANA, BWonHANA & HADOOP
19.04.2016 Complaint Management Integrierte Beanstandungsabwicklung mit dem MHP AddOn
Complaint Cockpit
19.04.2016 Digitalisierung im HR Wie HR Predictive Analytics und Social Media Analysen Ihrem
Unternehmen helfen
26.04.2016 Text Mining im analytischen CRM Generierung von Wissen aus unstrukturierten Texten
26.04.2016 Das E-Auto in der Future City Ein Ausblick für das vernetzte Elektrofahrzeug im urbanen Raum
Einleitung
MHPBoxenstopp: Fahrzeug-Security – Connected Car
Agenda
Weitere MHPBoxenstopps www.mhp.com/events
Zu Anfang sind alle Teilnehmer auf stumm geschalten.
Wo Sie uns in 2016 auch finden können… www.mhp.com/events
13.00 – 13.10 Uhr Begrüßung Fabian Kehle
13.10 – 13.45 Uhr Vortrag Thomas Schütz
13.45 – 14.00 Uhr Offene Fragerunde Sie können bereits während der Web Session über Chat-
funktion im rechten Fenster Fragen einreichen.
www.youtube.de/MHPProzesslieferant www.slideshare.net/MHPInsights
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 3
MHPBoxenstopp: Fahrzeug-Security – Connected Car
Ihre Gesprächspartner
Fabian Kehle
Senior Professional
Produkt- und
Innovationsmanagement
Thomas Schütz
Manager
Connected Vehicle
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 4
Prozesse verbessern kann nur, wer sich im Detail auskennt.
Genauso wie im Großen und Ganzen.
MHPBoxenstopp: Fahrzeug-Security – Connected Car
Wir wissen aus Erfahrung,
wie man Ziele erreicht und dabei vorneweg fährt.
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 5
Mieschke Hofmann und Partner (MHP)
A Porsche Company
MHPBoxenstopp: Fahrzeug-Security – Connected Car
Der Unterschied
Symbiose aus Management- + IT-Beratung l Prozesslieferant l Excellence l Automotive l Kunden
Die Kompetenz Ganzheitliches Beratungsportfolio über die gesamte Wertschöpfungskette
Technology
Services
Application
Mgmt.
Services
Product
Lifecycle
Mgmt.
Supply
Chain
Mgmt.
Production
& Opera-
tions Mgmt.
Customer
Relations
Mgmt.
Finance &
Controlling
Business
Intelligence
After
Sales
Retail
Mgmt.
Human
Resources
Die Leistung
Management Consulting
System Integration
Managed Services
Business Solutions
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 6
Ganzheitliches Beratungsportfolio über die komplette Wertschöpfungskette.
Unsere Kompetenzbereiche mit Themenfeldern.
MHPBoxenstopp: Fahrzeug-Security – Connected Car
Technology
Services
Application
Mgmt.
Services
Product
Lifecycle
Mgmt.
Supply
Chain
Mgmt.
Production
& Opera-
tions Mgmt.
Customer
Relations
Mgmt.
Finance &
Controlling
Business
Intelligence
After
Sales
Retail
Mgmt.
Human
Resources
Production Planning
Strategic Production
Consulting
Lean Production
Manufacturing
Execution
Maintenance
Retail Service
Management
Retail Consulting
Fleet Management
Sourcing
Planning
Affiliation
Performance
Development & Talent
Management
Governance, Risk and
Compliance
Template
Development and
Rollouts
Business Process
Development &
Optimization
Legal and Fiscal
Requirements
Accounts, Reporting
and Consolidation
System Harmonization
CIO Management
Consulting
Enterprise Content
Management
Standard Software
Individual Software
Application & Process
Services
Application
Management
Consulting
Product Structure
Management
Product Development
Process (PDP)
Management
SAP PLM Consulting &
Solution
Implementation
PTC Windchill Solution
Integration
DS Enovia V6 Solution
Integration
PLM Strategy &
Management
Consulting
Production
Logistics
Procurement & Quality
Sales Logistics
Service Management
Spare Parts
Management
Supply Chain &
Demand Planning
Service Management
Spare Parts
Management
Warranty Processes
(Pro-active) Complaint
Management
Digital incl. Connected
CRM & Social CRM
CRM Strategy &
Management
Consulting
Sales Force
Automation incl.
Mobile CRM
Analytics incl.
Segmentation &
Campaign
Management
Vertical Retail
Integration
(Pro-active) Complaint
Management
BI Technology
BI Strategy
Integrated Corporate
Planning
Analytical Business
Processes
Next Generation BI &
BIG DATA
Mobile BI Scenarios
CRM IT Consulting &
Solution
Implementation
Transition & Change
Management
Administrative Core
Processes
MHP Dealer
Performance
Management
Finance and
Controlling for
Automotive Retailers
Dealer Management
Systems
MHP Carbon
Innovations Connected Vehicle Future City Sustainable
Mobility Digitalisierung
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 7
Ganzheitliches Beratungsportfolio über die komplette Wertschöpfungskette.
Unsere Kompetenzbereiche mit Themenfeldern.
MHPBoxenstopp: Fahrzeug-Security – Connected Car
Technology
Services
Application
Mgmt.
Services
Product
Lifecycle
Mgmt.
Supply
Chain
Mgmt.
Production
& Opera-
tions Mgmt.
Customer
Relations
Mgmt.
Finance &
Controlling
Business
Intelligence
After
Sales
Retail
Mgmt.
Human
Resources
Production Planning
Strategic Production
Consulting
Lean Production
Manufacturing
Execution
Maintenance
Retail Service
Management
Retail Consulting
Fleet Management
Sourcing
Planning
Affiliation
Performance
Development & Talent
Management
Governance, Risk and
Compliance
Template
Development and
Rollouts
Business Process
Development &
Optimization
Legal and Fiscal
Requirements
Accounts, Reporting
and Consolidation
System Harmonization
CIO Management
Consulting
Enterprise Content
Management
Standard Software
Individual Software
Application & Process
Services
Application
Management
Consulting
Product Structure
Management
Product Development
Process (PDP)
Management
SAP PLM Consulting &
Solution
Implementation
PTC Windchill Solution
Integration
DS Enovia V6 Solution
Integration
PLM Strategy &
Management
Consulting
Production
Logistics
Procurement & Quality
Sales Logistics
Service Management
Spare Parts
Management
Supply Chain &
Demand Planning
Service Management
Spare Parts
Management
Warranty Processes
(Pro-active) Complaint
Management
Digital incl. Connected
CRM & Social CRM
CRM Strategy &
Management
Consulting
Sales Force
Automation incl.
Mobile CRM
Analytics incl.
Segmentation &
Campaign
Management
Vertical Retail
Integration
(Pro-active) Complaint
Management
BI Technology
BI Strategy
Integrated Corporate
Planning
Analytical Business
Processes
Next Generation BI &
BIG DATA
Mobile BI Scenarios
CRM IT Consulting &
Solution
Implementation
Transition & Change
Management
Administrative Core
Processes
MHP Dealer
Performance
Management
Finance and
Controlling for
Automotive Retailers
Dealer Management
Systems
MHP Carbon
Innovations Connected Vehicle Future City Sustainable
Mobility Digitalisierung
Fahrzeug-
Security -
Connected
Car
Agenda
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 8
1. Fahrzeug-Connectivity und seine Risiken
2. Aufgaben und Vorgehensweise der Fahrzeug-Security
3. Besondere Herausforderungen der Fahrzeug-Security
Agenda
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 9
1. Fahrzeug-Connectivity und seine Risiken
2. Aufgaben und Vorgehensweise der Fahrzeug-Security
3. Besondere Herausforderungen der Fahrzeug-Security
10 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Entwicklung „Fahrzeug-Connectivity“
1. Fahrzeug-Connectivity und seine Risiken
Abschottung der Fahrzeuge Mobile Online Dienste Software Download Over The Air
Remote Diagnose
Car2X, Car2Car Kommunikation
Autonomes Fahren
Smartphone als Fahrzeugschlüssel
Navigation
Safety
Infotainment
eMobility
Remote Dienste
Vergangenheit Gegenwart Zukunft
Bildquelle: Tresor (tresore.net), Porsche 911.2 (porsche.com)
11 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
1. Fahrzeug-Connectivity und seine Risiken
BMW Hack
~ 2 Millionen
Fahrzeuge.
Jeep Hack
~ 1.4 Millionen
Fahrzeuge
Tesla Hack
Alle Tesla Model S
Fahrzeuge
GM Hack
> 1 Millionen inst.
Smartphone Apps
Unberechtigtes Öffnen und
Ausführen anderer Remote Dienste
aufgrund mangelhafter Fahrzeug-
Security.
Änderung der Konfiguration der
Connect Unit im Fahrzeug über
Remote Update / SMS.
Software-Manipulation der Infotain-
ment Unit über Mobilfunk. Remote
Ausführen von Fahrzeugfunktionen wie
Lenken, Ausschalten der Bremsen …
Rückruf von 1,4 Millionen
Fahrzeugen in die Werkstatt. SW
Update der Infotainment Unit.
Mitlesen der Zugangsdaten.
Ausführen der Remote Dienste mithilfe
der Zugangsdaten.
Update IT-System.
Update iPhone App.
Manipulation der Fahrzeug-Software.
Danach Remote Ausführen von Start
/Stopp Motor, Fahrzeug öffnen u.a.
Remote Software Update, um
Schwachstellen zu beheben.
Top Fahrzeug Hacks 2015 Angriff Maßnahmen
Bildquelle: Jeep Hack (youtube.com), GM Hack (sijutech.com)
12 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Wired: Hackers Remotely Kill a Jeep on the Highway (0:00 – 3:18, 4:36 – Ende)
1. Fahrzeug-Connectivity und seine Risiken
Videoquelle: https://www.youtube.com/watch?v=MK0SrxBC1xs
13 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Wachsende Themenfelder der Fahrzeug-Security
1. Fahrzeug-Connectivity und seine Risiken
2010 2012 2014 2016 2018
DS DS DS DS
MS MS MS KS
KS
KS
KS
NT
NT
NT
Neue Themen (NT)
SW Update OTA, Car2X, Autonomes Fahren, PLC
Kommunikationsschutz
(KS)
Manipulationsschutz
(MS)
Diebstahlschutz
(DS)
Au
fwan
d
Agenda
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 14
1. Fahrzeug-Connectivity und seine Risiken
2. Aufgaben und Vorgehensweise der Fahrzeug-Security
3. Besondere Herausforderungen der Fahrzeug-Security
15 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Inhalte Phase 2:
Schutzzieldefinition
Schadens-
kategorisierung
Risikoanalyse
Vorgehensmodell - angelehnt an BSI 100-2 IT-Grundschutz Vorgehensweise
2. Aufgaben und Vorgehensweise der Fahrzeug-Security
Inhalte Phase 1:
Securityrelevanz
Inhalte Phase 3:
Security-
Anforderungen
Schutzmaßnahmen
zur Reduzierung
der Risiken
Inhalte Phase 4:
Verifikation der
Spezifikation
Penetrationstests
Inhalte Phase 5:
Ggf. weitere Security-
Tests
Freigabeempfehlung
Prüfung und
Freigabe
Umsetzungs-
und
Testphase
Anforderungs
-phase
Schutzbedarfs
-feststellung
Security-
Relevanz-
prüfung
3 1 2 4 5
16 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Untersuchungs-
gegenstand
Phase 2 und Phase 3: Schutzbedarfsfeststellung
2. Aufgaben und Vorgehensweise der Fahrzeug-Security
Daten
Schnittstellen
Komponenten
Funktionen
Schutzbedarf
Bedrohungen
Schutzziele Vertraulichkeit
Integrität
Verlässlichkeit
Authentizität
Schadens-
kategorien Safety
Privacy and Law
Money and Business
Image
Potentieller
Schaden
Bedrohungen
Bedrohungsklassen
Katalog
Maßnahmen
Maßnahmenklassen
Katalog
Angriffs-
Aufwand
RISIKO
17 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Schadenskategorien
2. Aufgaben und Vorgehensweise der Fahrzeug-Security
Safety (indirekt)
Schutz von Fahrzeuginsassen
und Verkehrsteilnehmern
Allgemeine Betriebssicherheit und
Zuverlässigkeit von Fahrzeug und
Funktion
Gefahr für Leib und Leben
Money & Business
Freischalten kostenpflichtiger Funktionen
(z.B. SWAP)
Verlust von Knowhow (IP)
Gefährdung von Geschäftsmodellen (z.B.
Zugriff auf Fahrzeugdaten)
Gefahr: finanzieller Schaden für den
Konzern
Image
Subjektive Wahrnehmung der
Fahrzeugfunktionen vor Kunde
Fehlverhalten & Verfügbarkeit der Funktion
Störung des Fahrgastes durch Manipulation
von Multimedia und Telefon (gefälschte
Anrufe)
Gefahr: Reputationsverlust
Privacy & Law
Gewährleistung der Privatsphäre der Kunden
Schutz von Unternehmensdaten
Gesetzgebung
Gefahr: Verletzung der Privatsphäre,
vertraulicher Daten, Gesetze
Schadens-
kategorien
18 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Risikotabelle
2. Aufgaben und Vorgehensweise der Fahrzeug-Security
Schwer
Fortgeschritten
Einfach
Nahezu nicht
möglich
Besonders
schwer
Sehr
gering Vernachlässigbares
Risiko
Vernachlässigbares
Risiko
Vernachlässigbares
Risiko Tolerierbares Risiko Tolerierbares Risiko
Gering Vernachlässigbares
Risiko
Vernachlässigbares
Risiko Tolerierbares Risiko Tolerierbares Risiko Tolerierbares Risiko
Moderat Vernachlässigbares
Risiko Tolerierbares Risiko
Ernsthaftes Risiko;
Handlungsbedarf
Ernsthaftes Risiko;
Handlungsbedarf
Hohes Risiko;
Dringender
Handlungsbedarf
Hoch Tolerierbares Risiko Ernsthaftes Risiko;
Handlungsbedarf
Ernsthaftes Risiko;
Handlungsbedarf
Hohes Risiko;
Dringender
Handlungsbedarf
Hohes Risiko;
Dringender
Handlungsbedarf
Sehr
hoch Tolerierbares Risiko
Ernsthaftes Risiko;
Handlungsbedarf
Hohes Risiko;
Dringender
Handlungsbedarf
Hohes Risiko;
Dringender
Handlungsbedarf
Hohes Risiko;
Dringender
Handlungsbedarf
Sch
ad
en
Angriffsschwierigkeit
19 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Phase 4: Umsetzung und Testphase
2. Aufgaben und Vorgehensweise der Fahrzeug-Security
Festlegung der Teststrategie
Abstimmen der Security Tests mit Entwicklung/Zulieferer
Überprüfung der Umsetzung der Security Maßnahmen (frühe Phase der Integration)
Code Review
Tests von Teilfunktionen und von einzelnen Komponenten
Penetrationstests von Komponenten
20 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Phase 5: Prüfung und Nachweis
2. Aufgaben und Vorgehensweise der Fahrzeug-Security
Prüfung durch Ende-zu-Ende Tests, Penetrationstests
Finale Überprüfung der Umsetzung der Security Maßnahmen
Ende-zu-Ende Tests mit allen relevanten Systemen: Fahrzeug, IT-Systeme,
Smartphone.
Suche nach Schwachstellen, die trotz Umsetzung der Security Maßnahmen
vorhanden sein können.
Freigabeempfehlung:
Ergebnisse der Prüfungen/Penetrationstests überprüfen
Bei aufgedeckten Schwachstellen: Risikoeinstufung der gefundenen Schwachstellen
Wenn nicht tolerierbare Risiken vorhanden sind, müssen diese
(durch Maßnahmen) reduziert oder
(temporär) akzeptiert oder
die betroffene Funktion darf nicht freigegeben werden.
Agenda
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 21
1. Fahrzeug-Connectivity und seine Risiken
2. Aufgaben und Vorgehensweise der Fahrzeug-Security
3. Besondere Herausforderungen der Fahrzeug-Security
22 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Product-Life-Cycle
3. Besondere Herausforderung der Fahrzeug-Security
IT-Systeme
• Regelmäßige Software Updates nach Inbetriebnahme
• Hardware Updates nach < 5 Jahren
Security Maßnahmen können bei Bedarf angepasst werden
Fahrzeuge (Lebensdauer > 15 Jahre)
• Software Updates für Fahrzeuge in Produktion oder nach Produktionsende
SW Update OTA oder Rückrufaktion!
• Hardware Update: (noch) nicht geplant
Anpassung der Security Maßnahmen über Lebensdauer nicht sichergestellt
Bildquelle: Serverschränke (reinigung-computer.de)
23 © 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH
Weitere Herausforderungen
3. Besondere Herausforderung der Fahrzeug-Security
Kosten: Security Maßnahmen unterliegen auch dem hohen Kostendruck, z.B. Wahl eines
Prozessors mit Secure Hardware Extension (SHE)
Benutzerfreundlichkeit: Die Notwendigkeit der Eingabe eines PIN Codes bei jedem
Fahrzeugstart ist nicht erwünscht. Der Fahrzeugschlüssel als Token muss ausreichen.
Fahrzeug-Hacks sind „IN“: Hacker Angriffe auch ohne größeren Schaden werden in
vielen Medien publiziert. Konsequenzen sind Imageverlust des OEMs und
Akzeptanzverlust bei potentiellen Käufern Möglicher Imageverlust muss bei der
Betrachtung der potentiellen Schäden beachtet werden (Risikoanalyse)
Angreifer hat Zugang zum Fahrzeug: Angreifer, die im Besitz eines Fahrzeugs sind,
können sich durch „Reverse Engineering“ Kenntnisse über die Security Maßnahmen
aneignen (BMW Hack)
Unsicheres Smartphone: das Smartphone, mit dem viele Connect-Funktionen heute
bedient werden, muss als „Unsicher“ eingestuft werden.
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 24
MHPBoxenstopp: Fahrzeug-Security – Connected Car
Thomas Schütz
Manager
Connected Vehicle
Mobil: +49 (0)151 4066 7583
E-Mail: [email protected]
Ihr Ansprechpartner
© 2016 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbH 25
MHPBoxenstopp
Das E-Auto in der
Future City
MHPTimetable 2016
Weitere Infos
www.mhp.com/
events
Mit nur einem “Klick” zur MHPBoxenstopp Anmeldung
Haben Sie einen MHPBoxenstopp verpasst? Kein Problem - in unserem MHP YouTube-Channel und auf unserem SlideShare
Profil finden Sie alle vergangenen Websessions:
Mitschnitte und Videos im Channel: Präsentationsunterlagen:
http://www.youtube.com/MHPProzesslieferant http://de.slideshare.net/MHPInsights
MHPBoxenstopp
Big Data Analysen
mit QlikView
MHPBoxenstopp
Complaint
Management
11-12 Uhr | 19.04.16
MHPBoxenstopp
Digitalisierung im
HR
MHPBoxenstopp
Text Mining im
analytischen CRM
MHPForum Projektmanagement
Komplexität. Flexibilität. Geschwindigkeit.
Sie schaffen das!
13-18 Uhr | 10.05.16 in Ludwigsburg
13-14 Uhr | 19.04.16 11-12 Uhr | 26.04.16 13-14 Uhr | 26.04.16 11-12 Uhr | 12.04.16