| Author | Ring, Martin | dc.contributor.author |
| Date of accession | 2019-03-14T14:18:38Z | dc.date.accessioned |
| Available in OPARU since | 2019-03-14T14:18:38Z | dc.date.available |
| Year of creation | 2019 | dc.date.created |
| Date of first publication | 2019-03-14 | dc.date.issued |
| Abstract | Kraftfahrzeuge waren abgeschlossene Systeme und daher für digitale Angriffe weitestgehend uninteressant. Dies hat sich in den vergangenen Jahren stark geändert, es halten immer mehr drahtlose Schnittstellen Einzug und seit März 2018 ist jedes Neufahrzeug verpflichtend mit einer SIM-Karte für das eCall-System ausgestattet und damit potenziell von überall auf der Welt zu erreichen. Kraftfahrzeuge gehören zur kritischen Infrastruktur und werden z.B. vom Department of Homeland Security als Teil zweier kritischer Infrastruktursektoren definiert. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ordnet Kraftfahrzeuge als Teil der kritischen Infrastruktur dem Sektor Transport und Verkehr zu. Einig ist man sich darüber, dass Störungen und Ausfälle von kritischen Infrastrukturen verhindert werden müssen. Mit der Fragestellung, wie Störungen und Ausfälle verhindert werden können, beschäftigen sich dedizierte Projekte wie KRITIS und SecForCARs. Es wurde zwar festgelegt, dass Kraftfahrzeuge Bestandteile dieser kritischen Infrastruktursektoren sind, besondere Vorkehrungen zum Erhalt der Funktion dieser Elemente der kritischen Infrastruktur sind aber nur unzureichend umgesetzt, z. B. durch die Hauptuntersuchung (HU) bei Kraftfahrzeugen. Eine Möglichkeit, die Sicherheit (Security) von Kraftfahrzeugen unabhängig und vergleichend zu beurteilen, gibt es bis heute nicht.
Diese Arbeit trägt einen Teil dazu bei, die Vergleichbarkeit des Security-Niveaus von Kraftfahrzeugen mithilfe der entwickelten Testmethodik und der entwickelten Testtools zu ermöglichen. Erweitert wird die Arbeit mit der Vorstellung von Schutzkonzepten, um skalierende Angriffe zu verhindern. Als Basis für die Entwicklung der Testmethodik und der Testtools dient eine umfassende Untersuchung des Sicherheitsniveaus von Kraftfahrzeugen. Basierend auf diesen Ergebnissen fand eine tief greifende Auseinandersetzung mit dem Problem statt. Um eine Vergleichbarkeit der Testergebnisse von verschiedenen Testern über Hersteller und Modellreihen hinweg zu ermöglichen und um Testern ohne Erfahrung im Gebiet Security-Tests den Einstieg zu erleichtern, wurde in dieser Arbeit eine Testmethodik entwickelt und evaluiert. Als Basis für die Entwicklung der Automotive Security Testing Methodik (ASTM) wurden eine umfassende Quellenrecherche durchgeführt, die verfügbaren Testmethodiken miteinander verglichen und auf ihre Übertragbarkeit auf den automobilen Sektor untersucht. Die entwickelte Testmethodik wurde um Testtools für Portscans automotiver Netze und zur Busanalyse erweitert. Diese Tools sind nötig, um die benötigte Testabdeckung in einer vertretbaren Zeit zu erreichen. Auf Basis der Erkenntnisse aus unseren eigenen Tests und der Quellenrecherche zu Angriffen auf Kraftfahrzeuge haben wir Sicherheitskonzepte und ein Angreifermodell für Fahrzeuge entwickelt. Unsere Vorschläge zur zukünftigen Absicherung von Fahrzeugen umfassen neben einer öffentlichen Datenbank eine Absicherung mithilfe eines Defense-in-Depth-Ansatzes. Beispielhaft wird eine Schutzmethode auf Ebene des Anwendungsschutzes genauer vorgestellt. Das Angreifermodell kann von Entwicklern und Entscheidungsträgern verwendet werden, um die Ressourcen für Security im Projekt auf kritische Stellen zu fokussieren, und als Argumentationsgrundlage für die Implementierung von Sicherheitsmechanismen dienen. | dc.description.abstract |
| Abstract | Vehicles have been self-contained systems and thus not been an interesting target for cyber attacks. This fact has changed in recent years, as more and more interfaces are added and since March 2018 cars have been mandatory equipped with a SIM card and thus offer a remote interface that is possibly accessible from all over the world. Vehicles are regarded as critical infrastructure elements by the Department of Homeland Security. The Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) defines vehicles as critical infrastructure elements as part of the sector Transport und Verkehr (transportation and traffic). It is an agreed fact that disruption and loss of critical infrastructure has to be prevented. Projects like KRITIS and SecForCARs try to answer the question how such disruptions and losses can be mitigated. It was determined that vehicles are part of the critical infrastructure but the necessary protections that have to be implemented to preserve the function of these critical infrastructure elements are insufficient. One of the only implemented protections to preserve the functionality are the biennial mandatory general inspections. As of today, there is no possibility of independently comparing the state of vehicles regarding their cybersecurity.
The present dissertation enables the comparison of vehicles regarding cybersecurity by offering a testing methodology and the appropriate testing tools. Furthermore this dissertation presents security concepts to mitigate scalable cyber attacks. The developments of the testing methodology as well as the testing tools are based on an exhaustive research regarding the state of cybersecurity in vehicles. Based on these results we carried out a profound examination of the problem. To make test results comparable between testers, OEMs and models as well as lowering the access threshold for novice testers we developed and evaluated a test methodology for vehicles as part of this dissertation. The development of the ASTM is based on a thorough source research, regarding available testing methodologies and the comparison and applicability of the available methodologies for the automotive field. The developed testing methodology is supplemented by a port scanner for vehicular networks and a bus analysis tool. These testing tools are necessary to achieve the required test coverage in an acceptable time. Based on our analysis and source research regarding attacks on automobiles we developed a security concept as well as an attacker model for vehicles. The proposed protections for vehicles include a public domain vulnerability data base and a defense-in-depth-strategy to safeguard vehicles. We examplify a safeguard that protects vehicles on application level as part of the defense-in-depth-strategy. The proposed attacker model can be used by engineers and decision makers to focus their security resources in a project on the most critical parts. The attacker model further provides arguments for the implementation of security measures. | dc.description.abstract |
| Language | de | dc.language.iso |
| Publisher | Universität Ulm | dc.publisher |
| License | Standard (ohne Print-on-Demand) | dc.rights |
| Link to license text | https://oparu.uni-ulm.de/xmlui/license_opod_v1 | dc.rights.uri |
| Keyword | Cybersecurity | dc.subject |
| Keyword | Security Konzepte | dc.subject |
| Keyword | Automotive vulnerabilities | dc.subject |
| Keyword | Automotive security | dc.subject |
| Keyword | Security testing | dc.subject |
| Dewey Decimal Group | DDC 630 / Agriculture and related technologies | dc.subject.ddc |
| LCSH | Automobiles; Electronic equipment | dc.subject.lcsh |
| LCSH | Computer security; Testing | dc.subject.lcsh |
| LCSH | Penetration testing (Computer security) | dc.subject.lcsh |
| LCSH | Computer crimes; Prevention | dc.subject.lcsh |
| LCSH | Automotive electronics | dc.subject.lcsh |
| LCSH | Automotive computers | dc.subject.lcsh |
| Title | Systematische Security-Tests von Kraftfahrzeugen | dc.title |
| Resource type | Dissertation | dc.type |
| Date of acceptance | 2019-02-11 | dcterms.dateAccepted |
| Referee | Kargl, Frank | dc.contributor.referee |
| Referee | Kriesten, Reiner | dc.contributor.referee |
| Referee | Weippl, Edgar | dc.contributor.referee |
| DOI | http://dx.doi.org/10.18725/OPARU-12168 | dc.identifier.doi |
| PPN | 1663579075 | dc.identifier.ppn |
| URN | http://nbn-resolving.de/urn:nbn:de:bsz:289-oparu-12225-6 | dc.identifier.urn |
| GND | Datensicherung | dc.subject.gnd |
| GND | Autonomes Fahrzeug | dc.subject.gnd |
| GND | Cybersicherheit | dc.subject.gnd |
| GND | Mobile Computing | dc.subject.gnd |
| GND | Kraftfahrzeugelektronik | dc.subject.gnd |
| Faculty | Fakultät für Ingenieurwissenschaften, Informatik und Psychologie | uulm.affiliationGeneral |
| Institution | Institut für Verteilte Systeme | uulm.affiliationSpecific |
| Grantor of degree | Fakultät für Ingenieurwissenschaften, Informatik und Psychologie | uulm.thesisGrantor |
| DCMI Type | Text | uulm.typeDCMI |
| Category | Publikationen | uulm.category |
| Bibliography | uulm | uulm.bibliographie |
