VATT&EK: Das Framework für Automotive & Rail Cybersecurity

In einer Ära, in der die Digitalisierung und Vernetzung von Transportsystemen rasant fortschreiten, hat sich die Cybersecurity zu einem unverzichtbaren Bestandteil der modernen Mobilität entwickelt. Intelligente Transportsysteme (ITS) stehen im Zentrum dieser Entwicklung. Sie repräsentieren eine komplexe Mischung aus fortschrittlicher Technologie, Vernetzung und Automatisierung, die sie zu attraktiven Zielen für Cyberangriffe macht. Die Sicherheit dieser Systeme ist nicht nur für die Funktionalität des Verkehrs, sondern auch für die Sicherheit der Nutzer von entscheidender Bedeutung.

Hintergrund des Projektes: VATT&EK und das FINESSE-Projekt

Das VATT&EK-Paper

Das VATT&EK-Framework, entstand aus einer tiefgreifenden Forschungsarbeit, die in dem Paper "VATT&EK: Formalization of Cyber Attacks on Intelligent Transport Systems - a TTP based approach for Automotive and Rail" dargelegt wird. Dieses Paper, verfasst von einem Team aus Experten, darunter Ali Recai Yekta von Yekta IT GmbH, Dominik Spychalski von INCYDE industrial cyber defense GmbH, Erhan Yekta und Cenk Yekta von Yekta IT GmbH sowie Stefan Katzenbeisser von der Universität Passau, bietet eine umfassende Analyse der Cybersecurity-Herausforderungen in ITS.

Das FINESSE-Projekt

Das Forschungsprojekt "Fahrzeug Intrusion Detection und Prävention in einheitlicher Struktur für Straße und Schiene (FINESSE)" ist eine gemeinsame Initiative von

• INCYDE GmbH
• ETAS GmbH
• Fraunhofer SIT
• Universität Passau
• Yekta IT GmbH
• DB Systemtechnik GmbH

und wird durch das Bundesministerium für Forschung und Entwicklung gefördert.FINESSE zielt darauf ab, ein multimodales und ganzheitliches Sicherheitsüberwachungssystem für Fahrzeuge zu entwickeln, das sowohl Straßen- als auch Schienenfahrzeuge berücksichtigt, um Synergieeffekte zu nutzen und eine standardisierte Sicherheitsarchitektur zu konzipieren.

Im Rahmen von FINESSE wurde auch der Bedarf für ein Framework wie VATT&EK deutlich, insbesondere für die Entwicklung, Implementierung und das Testen von sicheren On-Board-Komponenten zur Erkennung von fahrzeugspezifischen Angriffen sowie von Angriffen auf Fahrzeugflotten, Gruppen oder Kommunikationskanäle. Die Forschung im Rahmen von FINESSE offenbarte, dass herkömmliche Modelle zur Formalisierung von Angriffen ihre Grenzen erreichen, wenn es um die ITS-Sicherheitsüberwachung auf allen architektonischen Ebenen geht. Es wurde klar, dass ein ganzheitliches Verständnis von Angriffsvektoren und Angriffsverhalten in ITS sowie von Fahrzeugarchitekturen und den Angriffsphasen auf jeder Architekturebene erforderlich ist. Hieraus entstand die Notwendigkeit einer gemeinsamen und fundierten Taxonomie, die VATT&EK erfüllt.

Einführung in das VATT&EK-Framework

Das "Vehicle Adversarial Tactics, Techniques & Expert Knowledge" (VATT&EK) Framework repräsentiert einen Ansatz, der darauf abzielt, die spezifischen Herausforderungen der ITS-Cybersecurity zu adressieren. Entwickelt, um den einzigartigen Anforderungen dieser Systeme gerecht zu werden, bietet VATT&EK einen strukturierten Rahmen zur Analyse und Abwehr von Cyberbedrohungen.

Die Herausforderungen in der ITS-Cybersecurity

Zunehmende Vernetzung und Komplexität

• Vernetzte Fahrzeuge und Infrastrukturen: Mit der zunehmenden Vernetzung von Fahrzeugen und Infrastrukturen steigen auch die Risiken von Cyberangriffen. Diese Systeme sind komplex und oft miteinander verknüpft, was sie anfällig für vielfältige Sicherheitsbedrohungen macht.
• Datenlecks und Hackerangriffe: Die Sammlung und Verarbeitung großer Mengen an Daten in ITS erhöhen das Risiko von Datenlecks. Zudem bieten die vielfältigen Schnittstellen und Systemkomponenten potenzielle Einfallstore für Hacker.

Grenzen bestehender Cybersecurity-Frameworks

• Fokus auf traditionelle IT-Umgebungen: Viele bestehende Cybersecurity-Frameworks wie bspw. MITRE ATT&CK sind hauptsächlich auf traditionelle IT-Umgebungen ausgerichtet und erfassen nicht die speziellen Anforderungen von ITS.
• Mangel an spezifischen Werkzeugen: Es fehlt oft an spezifischen Werkzeugen und Strategien, um die einzigartigen Herausforderungen in der ITS-Cybersecurity effektiv zu adressieren.

Die Rolle von VATT&EK in der ITS-Cybersecurity

Spezifische Ausrichtung auf ITS

VATT&EK wurde entwickelt, um die besonderen Cybersecurity-Herausforderungen in ITS zu adressieren, und berücksichtigt dabei die spezifischen Eigenschaften dieser Systeme.

Systematischer Ansatz

Das Framework bietet einen systematischen Ansatz zur Identifizierung, Analyse und Abwehr von Cyberbedrohungen in ITS und ermöglicht eine effektive Reaktion auf diese Herausforderungen.

Grundlagen des VATT&EK-Frameworks

Was ist VATT&EK?

Das "Vehicle Adversarial Tactics, Techniques, and Expert Knowledge" (VATT&EK) Framework ist eine innovative Antwort auf die wachsenden Cybersecurity-Herausforderungen in Intelligenten Transportsystemen (ITS). Entwickelt, um die einzigartigen Bedrohungen und Angriffsmuster in diesem Bereich zu adressieren, bietet VATT&EK einen umfassenden Ansatz zur Sicherung von ITS.

Zielsetzung

Das Hauptziel von VATT&EK ist es, Organisationen und Sicherheitsexperten ein Werkzeug an die Hand zu geben, mit dem sie die komplexen und vielfältigen Cyberbedrohungen in ITS effektiv identifizieren, analysieren und bekämpfen können.

Entwicklungshintergrund

Angesichts der Tatsache, dass herkömmliche Cybersecurity-Methoden oft nicht ausreichen, um die spezifischen Bedrohungen in ITS zu bewältigen, wurde VATT&EK entwickelt, um diese Lücke zu schließen. Es kombiniert Expertenwissen aus verschiedenen Bereichen, um einen umfassenden Ansatz zur ITS-Sicherheit zu bieten.

Kernkonzepte von VATT&EK

Taktiken (Tactics)

Dieser Aspekt des Frameworks konzentriert sich auf die strategischen Ziele oder Absichten von Cyberangreifern im Kontext von ITS. Beispiele für Taktiken könnten das Erlangen von unbefugtem Zugriff auf Fahrzeugsteuerungssysteme oder die Störung des Verkehrsflusses sein. Die Identifizierung von Taktiken hilft dabei, die Absichten hinter Cyberangriffen zu verstehen und entsprechende Gegenmaßnahmen zu entwickeln.

Techniken (Techniques)

Hier geht es um die spezifischen Methoden oder Ansätze, die Angreifer verwenden, um ihre Ziele zu erreichen. Techniken können von der Ausnutzung von Software-Schwachstellen in Fahrzeugen bis hin zu Angriffen auf die Kommunikationsinfrastruktur reichen. Durch das Verständnis dieser Techniken können ITS-Betreiber Schwachstellen identifizieren und absichern.

Verfahren (Procedures)

Dieser Teil des Frameworks beschreibt die genauen Schritte oder Aktionen, die ein Angreifer unternimmt. Verfahren könnten beispielsweise das spezifische Vorgehen bei einem Hack eines Fahrzeugs oder die Methoden zur Umgehung von Sicherheitsmaßnahmen umfassen. Die Analyse von Verfahren ermöglicht es, Angriffsmuster zu erkennen und präventive Sicherheitsstrategien zu entwickeln.

Use Cases

1. TARA: Threat Analysis & Risk Assessment

• Systematische Bedrohungsanalyse: Einsatz von VATT&EK zur Identifizierung und Bewertung potenzieller Bedrohungen in ITS, insbesondere in Bezug auf Fahrzeuge und deren Komponenten.
• Risikobewertung: Anwendung von VATT&EK zur Einschätzung der Risiken, die von identifizierten Bedrohungen ausgehen, und zur Priorisierung von Sicherheitsmaßnahmen.

2. Penetration Testing

• Systematisches Testen von Fahrzeugen: Nutzung von VATT&EK zur Entwicklung strukturierter Penetrationstests für Fahrzeuge und Fahrzeugkomponenten.
• Analyse von Angriffsvektoren: Identifikation möglicher Angriffsvektoren auf Fahrzeuge und deren Systeme durch VATT&EK-gestützte Penetrationstests.

3. Threat Intelligence

• Manuelle und automatisierte Analysen: Einsatz von VATT&EK zur Durchführung sowohl manueller als auch automatisierter Analysen und zum Mapping identifizierter Bedrohungen auf spezifische Techniken.
• Überwachung von Berichten: Verbesserung der Überwachung und Analyse verschiedener Sicherheitsberichte und -warnungen durch VATT&EK.

4. Security Monitoring

• Entwicklung von Monitoring-Use-Cases: Erarbeitung sinnvoller Security Monitoring Use Cases für Fahrzeuge unter Verwendung von VATT&EK.
• Abdeckungsanalyse: Bewertung der Abdeckung und Effektivität des Sicherheitsmonitorings in Fahrzeugsystemen mit Hilfe von VATT&EK.

5. Incident Response

• Analyse von Sicherheitsvorfällen: Anwendung von VATT&EK zur Untersuchung von Sicherheitsvorfällen, um zu verstehen, wie Angreifer in Systeme eindringen konnten und welche Spuren sie hinterlassen haben.
• Dashboard für Visualisierung: Entwicklung eines Dashboards zur Visualisierung und Analyse von Sicherheitsvorfällen in ITS.

6. Lehre und Ausbildung

• Ausbildung und Schulung: Einsatz von VATT&EK als Lehrmittel in der Ausbildung von Cybersecurity-Experten, insbesondere im Bereich der ITS-Cybersecurity.
• Praktische Übungen: Integration von VATT&EK in praktische Übungen und Szenarien, um angehenden Sicherheitsexperten realistische Einblicke in die ITS-Cybersecurity zu geben.

VATT&EK in der Automobil Industrie

Fallstudie: Der Jeep Hack 2015

• Überblick über den Vorfall: Im Jahr 2015 demonstrierten Forscher eine bemerkenswerte Sicherheitslücke in der Automobilindustrie, indem sie ein Fahrzeug über das Multimediasystem hackten und Kontrolle über wesentliche Funktionen erlangten.
• Bedeutung des Vorfalls: Dieser Vorfall unterstreicht die Notwendigkeit eines robusten Cybersecurity-Frameworks wie VATT&EK in der Automobilindustrie.

Anwendung von VATT&EK auf den Jeep Hack

• Identifikation der Taktik: VATT&EK hilft dabei, die Taktik des "Fernzugriffs auf Fahrzeugsysteme" zu identifizieren. Dies ist ein entscheidender Schritt, um zu verstehen, wie Angreifer Zugang zu Fahrzeugsystemen erlangen und welche Ziele sie verfolgen.
• Analyse der Technik: Die Ausnutzung von Schwachstellen im Multimediasystem und im CAN-Bus wird durch VATT&EK detailliert analysiert. Dies ermöglicht es, spezifische Schwachstellen zu identifizieren und Gegenmaßnahmen zu entwickeln.
• Untersuchung des Verfahrens: VATT&EK ermöglicht eine tiefgreifende Untersuchung des Angriffsverfahrens, einschließlich des Brute-Force-Angriffs auf das WLAN-Passwort und der anschließenden Firmware-Manipulation zur Kontrolle des Fahrzeugs.

Remote Attack Chain – Schrittweise Analyse

• Exploitation of Internet Accessible Device: VATT&EK analysiert, wie Angreifer Zugang zu internetfähigen Geräten im Fahrzeug erlangen.
• Inter-process Communication: Die Analyse der Kommunikation zwischen verschiedenen Prozessen im Fahrzeug hilft dabei, potenzielle Einfallstore für Angriffe zu identifizieren.
• Reprogram ECU for Privilege Escalation: VATT&EK untersucht, wie die Neuprogrammierung der Electronic Control Unit (ECU) zur Erhöhung von Zugriffsrechten genutzt wird.
• Control of Vehicle Functions: Die finale Phase der Attack Chain umfasst die Kontrolle über verschiedene Fahrzeugfunktionen wie Beleuchtung, Motorabschaltung, Instrumentensteuerung und Bremsen.

VATT&EK im Schienenverkehr

Der Schienenverkehr ist ein wesentlicher Bestandteil der öffentlichen Infrastruktur und daher ein kritisches Ziel für Cyberangriffe. Das VATT&EK-Framework bietet einen spezialisierten Ansatz, um die Cybersecurity-Herausforderungen in diesem Bereich effektiv zu adressieren.

Fallstudie: Cyberangriff auf das Schienennetz in Polen

• Überblick über den Vorfall: Bei einem bemerkenswerten Cyberangriff in Polen wurden über 20 Züge durch Radiosignale zum Stehen gebracht. Dieser Vorfall unterstreicht die Verwundbarkeit des Schienenverkehrs gegenüber Cyberangriffen und die Notwendigkeit eines robusten Sicherheitsframeworks wie VATT&EK.

Anwendung von VATT&EK auf den polnischen Zugvorfall

• Identifikation der Taktik: VATT&EK hilft dabei, die Taktik des "Störens des Zugverkehrs" zu identifizieren. Dies ist entscheidend, um die Absichten der Angreifer zu verstehen und entsprechende Gegenmaßnahmen zu entwickeln.
• Analyse der Technik: Die Analyse konzentriert sich auf den "Einsatz eines einfachen Funk-Hacks". VATT&EK ermöglicht es, solche Techniken detailliert zu untersuchen und Schwachstellen in der Funkkommunikation zu identifizieren.
• Untersuchung des Verfahrens: Das Framework wird genutzt, um das Verfahren des "Sendens von Funksignalen zur Auslösung eines Notfallstopps" zu untersuchen. Dies umfasst die Analyse der Signalübertragung und der Reaktion der Zugsicherheitssysteme.

Mapping von Cyberangriffen im Schienenverkehr

• Herausforderungen bei der Darstellung: Während herkömmliche Frameworks wie MITRE ATT&CK oft nicht spezifisch genug sind, um solche Szenarien im Schienenverkehr abzubilden, bietet VATT&EK die notwendige Tiefe und Spezialisierung.
• Vorteile von VATT&EK: Das Framework ermöglicht ein präzises Mapping von Cyberangriffen im Schienenverkehr, was für die Entwicklung effektiver Sicherheitsstrategien unerlässlich ist.

Fazit & Ausblick – Potenzial von VATT&EK in der ITS-Cybersecurity

VATT&EK, als ein kürzlich entwickeltes Framework, steht für einen innovativen Ansatz in der Welt der Intelligenten Transportsysteme (ITS). Es zielt darauf ab, spezifische Cybersecurity-Herausforderungen in diesem Bereich zu adressieren und bietet einen strukturierten Rahmen für die Analyse und Abwehr von Bedrohungen.

Potenzial für die Zukunft

Obwohl VATT&EK noch am Anfang steht und bisher keine Praxiserfahrung vorliegt, zeigt es großes Potenzial, die Sicherheitslandschaft in der Automobil- und Schienenverkehrsindustrie maßgeblich zu beeinflussen. Seine spezialisierten Methoden und Ansätze könnten in Zukunft entscheidend zur Verbesserung der ITS-Cybersecurity beitragen.

Vorbereitung auf zukünftige Herausforderungen

Mit dem Fortschritt in Bereichen wie autonomes Fahren und erweiterte Vernetzung wird die Rolle von Frameworks wie VATT&EK zunehmend wichtiger. Ihre Entwicklung und Anpassung an diese neuen Technologien wird entscheidend sein, um die Sicherheit in ITS zu gewährleisten.

VATT&EK als umfassender Rahmen

VATT&EK bietet einen umfassenden Rahmen, der darauf abzielt, alle Aspekte der ITS-Cybersecurity zu berücksichtigen. Dieser Ansatz ist entscheidend, um eine effektive und ganzheitliche Sicherheitsstrategie in der sich ständig weiterentwickelnden Welt der ITS zu fördern.