Sergej Japs präsentierte sein Paper auf der ICED Konferenz
Sicherheitslücken in intelligenten technischen Systemen können schwere Folgen nach sich ziehen. Besonders in der Automobilindustrie ist es wichtig, die Systeme zu schützen, um bösartige Eingriffe von außen und damit auch Unfälle zu vermeiden. Sergej Japs, wissenschaftlicher Mitarbeiter des Fraunhofer IEM, hielt einen Vortrag zum Thema auf der ICED Konferenz.
Das Video zum Vortrag:
Welche Risiken bestehen speziell in der Automobilindustrie?
In den letzten Jahren ist bereits mehrfach deutlich geworden, dass bei den Systemen der Automobilindustrie noch einiges an Optimierungsbedarf besteht, wenn es um das Thema Sicherheit geht.
2011 konnten Hacker die Bremsen und Schlösser eines Chevrolet Malibu von außerhalb manipulieren. Im Jahr 2015 konnte ein Jeep Cherokee von außerhalb sogar komplett ferngesteuert werden. Beim BMW i3 war es dann 2018 möglich den Motor zu hacken und beim Tesla Model S konnte 2019 der Fahrspurassistent manipuliert werden.
Durch die zunehmende Vernetzung technischer Systeme werden diese leider auch immer angreifbarer. Aber wie kann man diese neue Herausforderung angehen?
Eine neue Methode
»Build it – Break it – Fix it«
Das ist die Idee mit der Sergej Japs Sicherheitslücken angehen will. Das Motto steht dabei für drei Phasen, die in der Produktentwicklung berücksichtig werden sollten. In der ersten Phase »Build it« soll zunächst mithilfe von simplen SysML Konstrukten ein Systemmodell erstellt werden. Die Phase »Break it« führt direkt im Anschluss eine Risikoanalyse durch, um Schwachstellen und Bedrohungen schnellstmöglich zu identifizieren. In der dritten Phase »Fix it« können die gefundenen Sicherheitslücken schließlich mithilfe von Entwurfsmustern geschlossen werden.
Ist das Konzept praktisch umsetzbar?
Eine erste Testphase in einem achtwöchigen Projekt, an dem 21 Studentengruppen teilnahmen, lieferte vielversprechende Ergebnisse. Durchschnittlich mussten nur 18% der Komponenten und 19% der Beziehungen angepasst werden, um die Risiken deutlich zu verringern und Sicherheitslücken weitgehend zu schließen. Der Mehraufwand hält sich hier also tatsächlich in Grenzen, wenn man bedenkt, welche Vorteile dieser auf lange Sicht mit sich bringt.
Bei weiterem Interesse ist das vollständige Paper hier zu finden.