API Security für Connected Cars

API Management für mehr Fahrzeugsicherheit

| Autor / Redakteur: Georg Lauer / Peter Schmitz

Auf mehr als 100 Milliarden US-Dollar soll der Connected-Car-Markt im nächsten Jahr steigen und immer mehr Funktionen müssen gegen Schwachstellen abgesichert werden.
Auf mehr als 100 Milliarden US-Dollar soll der Connected-Car-Markt im nächsten Jahr steigen und immer mehr Funktionen müssen gegen Schwachstellen abgesichert werden. (© beebright - stock.adobe.com)

Geht es um das Thema autonomes Fahren, stehen meist Aspekte wie hochpräzise Sensoren und KI im Vordergrund. Doch die zahlreichen Services, die autonomes Fahren ermöglichen, bergen auch Gefahren, denn mit jeder neuen Funktion kommen auch neue Sicherheitslücken und Schwachstellen.

Sicherheitsexperten schätzen, dass viele Autohersteller bis zu drei Jahre hinterherhinken, was die Verteidigung gegen Cyberattacken betrifft. Und das, wo eine Attacke Leben kosten könnte. Die Branche steht in puncto Sicherheit vor einigen, ganz besonderen Herausforderungen: Die etablierte Supply Chain ist zwar perfekt organisiert und gut eingespielt, aber kaum auf Security-Features ausgelegt. Sie entsprechend umzubauen ist eher eine langfristige Möglichkeit, denn es gilt, extrem viele Prozesse und Komponenten anzupassen. Zudem werden Autos in großer Stückzahl und mit langen Lebenszyklen produziert. Selbst wenn es gelänge, den Schalter heute umzulegen, sind sehr viele „Vorgänger-Modelle“ noch lange auf den Straßen.

Dazu kommt: Connected Car ist eigentlich ein ganzes Ökosystem aus Lösungen, die fast alle auf ein zuverlässiges und omnipräsentes Netzwerk bauen. Das beginnt bei einem grundlegenden Entertainment-Angebot und reicht über Navigation und mobile Connectivity hin zur Diagnose und Fernwartung. Dafür müssen die Fahrzeughersteller Millionen von Codezeilen mit einer extremen Vielfalt an Schnittstellen (APIs) aus Herstellung, Service, Versicherung sowie Behörden und Technologiepartnern integrieren.

Und der Markt ist dynamisch – die In-Car-Telematik steht erst am Anfang. Es ist abzusehen, dass die Kommunikation auch bald direkter zwischen den Fahrzeugen und ihrer nächsten, immer intelligenteren Umwelt stattfinden wird – ermöglicht durch Technologien, die unter dem Betreff „Vehicle Infrastructure Integration“ zusammengefasst werden. Dann kommunizieren Autos nicht mehr nur mit dem Hersteller, sondern auch mit dem Fahrzeug daneben, der Ampel, den Verkehrszeichen oder Sensoren auf der Straße. Autos werden zu Rechenzentren auf Rädern – und müssen entsprechend gesichert werden.

API Security für Connected Cars

Technisch gesehen heißt das: Die Zahl der Geräte und ihrer APIs steigt enorm. Doch jede Öffnung nach außen ist ein potentieller Angriffspunkt für Hacker und mit jeder Schnittstelle steigt auch das Risiko für Sicherheit und Datenschutz. Eine enorme Aufgabe für die Automobilbranche, die sich – anders als Branchen wie Einzelhandel und Finanzwesen – bisher mit Fragen der IT-Security und des Schutzes von Netzwerken und APIs so nicht auseinandersetzen musste.

Ein Connected Car mag eine ungewohnte Art von Rechenzentrum sein, aber die Art und Weise, wie man es absichern kann, entspricht den Cyber-Security-Maßnahmen in anderen Branchen, die auch sensitive Daten integrieren und an mobilen Endpunkten bereitstellen müssen. Auch die Automobilbranche schafft und managt heute Connectivity über APIs und muss sie entsprechend gegen Cyberattacken und Hacking schützen, ohne dabei den schnellen und zuverlässigen Zugriff für autorisierte Anwender einzuschränken.

Die gesamte Kommunikation ins Web läuft über REST-APIs. Nicht alleine ihre reine Masse macht sie zum Problem. Zwar ist es schon aufgrund dessen eine Herausforderung, den Überblick zu behalten. Doch viele dieser APIs stammen auch von Drittanbietern. Manche davon sind nicht ausreichend gesichert, entsprechen nicht den Standards, den die OEMs brauchen. Ein Problem dabei: Die Standards existieren nur zum Teil, sind oft nicht für die gesamte Branche ein Muss und müssen teilweise auch aus anderen Branchen wie der Finanzbranche übernommen werden. Damit rückt die Notwendigkeit eines umfassenden API Managements immer mehr in den Fokus der Branche. Zum Funktionsumfang gehören auch die API Key Kontrolle, Versionierung und Support, die Registrierung und Sicherung von Entwicklern und Geräten, aber auch Analysen und die Gewährleistung von Performance und Skalierbarkeit.

Damit spielen APIs auch eine wichtige Rolle bei der End-to-End-Verschlüsselung bei Authentifizierung und Datenübertragung. Viele Hersteller setzen hier auf Hardware-Sicherheitsmodule (HSM), die zufällig generierte, individuelle Schlüssel bereitstellen und bei der Authentifizierung in Rahmen einer Public Key Infrastruktur helfen. Eine Alternative wäre es, die Software bereits in der Produktion zu verschlüsseln. Die Schlüssel für die Datenübertragung werden in der Hardware physikalisch, getrennt von der Datenbank, gespeichert.

Im Bereich API und Übertragungssicherheit gibt es für die OEMs noch viel zu tun. Doch viele Schritte sind auch schon gemacht: Die Hersteller sind bereits dabei, Cybersecurity-Lösungen bei Produktdesign und Produktion zu berücksichtigen. Ihr erster Schritt zur mehr Sicherheit und Datenschutz ist die Nutzung etablierter Protokolle und Sicherheitsfeatures, wie eine zuverlässige Authentifizierung mit 3-legged OAuth, OAuth 2.0 und Single Sign-On für den Zugriff auf Fahrfunktionen, aber auch Verschlüsselung und OpenID.

Eine Selbstverständlichkeit? Leider nicht: Erst im vergangenen Jahr musste ein großer Autohersteller sein gesamtes, mobiles App-Programm vorübergehend deaktivieren. Security-Spezialisten hatten festgestellt, dass eine der APIs ohne jegliche Authentifizierung genutzt werden konnte, um die Kontrolle über die Fahrzeugfunktionen auf der ganzen Welt zu erlangen– nur eine VIN und eine einfache Web-Anfrage waren nötig, um das Fahrzeug von überall kontrollieren zu können.

Risk Assessment und Kooperationen

Natürlich wird es nicht möglich sein, alle Funktionen in einem Connected Car gleichermaßen abzusichern. Hier kann Risk Assessment helfen: Infotainment-Features dürfen beispielsweise mehr Lücken aufweisen als ein System für autonomes Fahren. Zur Absicherung dieser APIs könnten eine sorgfältige Auswahl der Security-Tools für jedes Subsystem im Fahrzeug, aber auch intensive Kooperationen beitragen.

Tatsächlich ist das Sicherheitsniveau in Autos sehr von der Supply Chain abhängig. Ein intensiver Dialog mit der Zulieferindustrie und vor allem strategische Umsetzungsplanung mit strengen Richtlinien ist absolut notwendig, um Sicherheitsrisiken von Anfang an zu reduzieren und das Patchen zu vereinfachen. Over-the-Air (OTA) Updates sind dabei nur ein Teil der Lösung: Sie sind oft nur für Teile der Software im Fahrzeug verfügbar und so notwendig sie auch für mehr Sicherheit sind, setzen ihnen hohe Komplexität und Kosten doch Grenzen.

Der Fokus auf Security wächst mit dem Markt

Auf mehr als 100 Milliarden US-Dollar soll der Connected-Car-Markt im nächsten Jahr steigen. Immer mehr Funktionen müssen gegen Schwachstellen abgesichert werden. Dies erfordert allerdings einen echten Paradigmenwechsel bei den Autoherstellern, denn sie müssen Cyber- und Netzwerksicherheit ebenso zu ihrer Kernkompetenz machen, wie es Motorsteuerung, Airbags, Bremsen oder andere zentrale Fahrzeugbestandteile bereits sind.

Über den Autor: Georg Lauer weist eine mehr als 35-jährige Erfahrung in der IT Industrie auf. Seit 1997 ist er in unterschiedlichen Rollen bei CA Technologies, unter anderem als Area Manager Professional Services und Vice President Presales, tätig. Seit 2014 berät er für CA Technologies als Senior Principal Business Technology Architect Großunternehmen auf dem Weg der Digitalen Transformation.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45135095 / APIs)