Absicherung von Diagnosefunktionen in E/E-Fahrzeugarchitekturen durch verteilte Zugriffskontrolle und Anomalieerkennung

Die Automobilindustrie befindet sich derzeit in einer Transformation, die durch Trends wie beispielsweise der Elektromobilität, dem automatisierten und vernetzten Fahren oder der geteilten Mobilität angetrieben wird. Das Fahrzeug sowie insbesondere die zugehörige Elektrik/Elektronik-Architektur ist ein Teil dieser Transformation. Für die Bereitstellung neuer Fahr- und Komfortfunktionen wird zunehmend mehr Software integriert sowie der Vernetzungsgrad durch die Anbindung der Umwelt (z.B. Hersteller-Backend Systeme) über drahtlose Kommunikationstechnologien gesteigert. Dabei sind in den letzten Jahren zunehmend Angriffe auf die Informationssicherheit von Fahrzeugen bekannt geworden, die auf schwache oder fehlende Absicherungsmaßnahmen zurückzuführen sind. Dadurch gelang es beispielsweise im Jahr 2015 unautorisierten Personen über das Mobilfunknetz aktiv in die Fahrzeugkommunikation einzugreifen und darüber Aktuatoren wie die Lenkung oder Bremse aus der Ferne anzusteuern. Im Rahmen dieser Dissertation werden daher bekannte Angriffe im Zeitraum 2010 - 2019 analysiert sowie bisherige Schwächen bei der Absicherung und Erkennung von Angriffen identifiziert. Im Kern kristallisiert sich auf Basis der untersuchten Angriffe eine bisherige Schwäche im Bereich der Zugriffskontrolle auf Anwendungs- und Netzwerkebene heraus, da kein oder nur ein eingeschränktes Rechtemanagement implementiert war. Darüber hinaus zeigt die Aufarbeitung des aktuellen Stands der Technik und Wissenschaft eine bisherige Forschungslücke auf diesem Gebiet. Auf der Grundlage dieses Wissensstandes wird im Rahmen dieser Arbeit ein Konzept für eine verteilte automotive attributsbasierte Zugriffskontrolle (A-ABAC) vorgestellt. Diese ermöglicht die Kontrolle sowie Durchsetzung von Diagnose-Berechtigungen in Fahrzeugsteuergeräten sowie den Datenaustausch der beteiligten Module in signal-orientierten Fahrzeugarchitekturen. In Anlehnung an bekannte Angriffe wird das entwickelte Konzept durch verschiedene Use-Cases im Rahmen eines Proof-of-Concepts getestet. Ein weiterer Schwerpunkt dieser Arbeit liegt auf der Entwicklung eines Konzepts zur Erkennung von Anomalien innerhalb der Diagnosekommunikation, die durch Insider-Angriffe verursacht werden. Dieser Aspekt wurde bisher im Stand der Technik und Wissenschaft noch nicht adressiert. Präventive Maßnahmen sind in ihrer Wirkung eingeschränkt, einen Angreifer mit Insider-Wissen (z.B. legitimierte Zugangsdaten) abzuwehren. Das entwickelte Intrusion Detection System (IDS) besitzt die Fähigkeit, auf Basis eines bekannten Normalverhaltens durch einen Insider verursachte Abweichungen (Anomalien) zu erkennen, indem eine Methode der Computerlinguistik auf die Diagnosekommunikation adaptiert wird. Die prinzipielle Funktionsfähigkeit des Erkennungsansatzes wird im Rahmen von drei unterschiedlichen Anomalietypen gezeigt. Neben signal-basierten Architekturen werden zunehmend service-orientierte Architekturen (SOA) in Fahrzeuge integriert, um die Updatefähigkeit sowie Anpassungsmöglichkeiten während des Entwicklungsprozesses sowie im Feld durch dynamische Kommunikationsbeziehungen zu steigern. Durch diesen Paradigmenwechsel entstehen jedoch neue Herausforderungen in Bezug auf die Informationssicherheit. Bisherige Absicherungsmaßnahmen sind in das veränderte SOA-Kommunikationsverhalten nur eingeschränkt adaptierbar. Im Ausblick werden zugehörige Unterschiede mit Fokus auf die Maßnahmen der Zugriffskontrolle und Anomalieerkennung diskutiert sowie Potentiale aufgezeigt. Darunter auch die Möglichkeit zur Adaptierung der in dieser Arbeit entwickelten Zugriffskontrolle

Generic Patterns for Intrusion Detection Systems in Service-Oriented Automotive and Medical Architectures

To implement new software functions and more flexible updates in the future as well as to provide cloud-based functionality, the service-oriented architecture (SOA) paradigm is increasingly being integrated into automotive electrical and electronic architecture (E/E architectures). In addition to the automotive industry, the medical industry is also researching SOA-based solutions to increase the interoperability of devices (vendor-independent). The resulting service-oriented communication is no longer fully specified during design time, which affects information security measures. In this paper, we compare different SOA protocols for the automotive and medical fields. Furthermore, we explain the underlying communication patterns and derive features for the development of an SOA-based Intrusion Detection System (IDS)

An Overview of Automotive Service-Oriented Architectures and Implications for Security Countermeasures

New requirements from the customers\u27 and manufacturers\u27 point of view such as adding new software functions during the product life cycle require a transformed architecture design for future vehicles. The paradigm of signal-oriented communication established for many years will increasingly be replaced by service-oriented approaches in order to increase the update and upgrade capability. In this article, we provide an overview of current protocols and communication patterns for automotive architectures based on the service-oriented architecture (SOA) paradigm and compare them with signal-oriented approaches. Resulting challenges and opportunities of SOAs with respect to information security are outlined and discussed. For this purpose, we explain different security countermeasures and present a state of the section of automotive approaches in the fields of firewalls, Intrusion Detection Systems (IDSs) and Identity and Access Management (IAM). Our final discussion is based on an exemplary hybrid architecture (signal- and service-oriented) and examines the adaptation of existing security measures as well as their specific security features

CAN Radar: Sensing Physical Devices in CAN Networks based on Time Domain Reflectometry

The presence of security vulnerabilities in automotive networks has already been shown by various publications in recent years. Due to the specification of the Controller Area Network (CAN) as a broadcast medium without security mechanisms, attackers are able to read transmitted messages without being noticed and to inject malicious messages. In order to detect potential attackers within a network or software system as early as possible, Intrusion Detection Systems (IDSs) are prevalent. Many approaches for vehicles are based on techniques which are able to detect deviations from specified CAN network behaviour regarding protocol or payload properties. However, it is challenging to detect attackers who secretly connect to CAN networks and do not actively participate in bus traffic. In this paper, we present an approach that is capable of successfully detecting unknown CAN devices and determining the distance (cable length) between the attacker device and our sensing unit based on Time Domain Reflectometry (TDR) technique. We evaluated our approach on a real vehicle network.Comment: Submitted to conferenc