Best Practices für Stärkung der Cyber-Sicherheit in der Telematik

Der Wert von Telematikdaten

Telematik generiert eine enorme Menge an Daten, die den detaillierten Verlauf von Fahrzeug- und Fahrer-Aktivitäten sowie Betriebsverhalten enthält. Diese Art von Daten sind für Unternehmen extrem hilfreich, um Kraftstoff- und Wartungskosten zu überwachen, Produktivität und Sicherheit zu steigern und Risiken zu vermeiden. Bei Verwendung der Telematik für Unfallrekonstruktionen oder Benchmarking sind noch tiefere Einblicke möglich.

Der Schutz dieser wertvollen Daten ist unerlässlich. Der böswillige und unerlaubte Zugriff auf diese Daten kann ernsthafte Folgen haben und möglicherweise empfindliche Informationen kompromittieren. Cyber-Angriffe werden begangen, weil aus Daten Gewinn geschlagen werden kann, sei es, dass diese aus einer Sammlung von Benutzernamen und Kennwörtern, Kreditkartennummern, Sozialversicherungsnummern oder – wie wir gleich sehen werden – Telematikdaten bestehen.

Deshalb ist es wichtig zu verstehen, ganz gleich, ob Sie ein Kleinunternehmer, Fuhrparkmanager, Entwickler, CIO oder CEO sind, wie Ihre Telematikdaten behandelt und geschützt werden.

Was Sie erfahren

In diesem Whitepaper erfahren Sie:

• Die Struktur des Telematik-Ökosystems
• Wie Geotab Telematikdaten auf jeder Ebene schützt
• Best Practices für Telematik-Cyber-Sicherheit
• Wichtige Fragen zur Sicherheit an Ihren Telematik-Anbieter

Übersicht über das Telematik-Ökosystem

Eine offene Telematik-Softwareplattform verbindet mehrere IoT-Geräte über das zentrale Kommunikationssystem des Geotab GO-Geräts mit dem Fahrzeug. Eine wachsende Liste an Geräten von Drittanbietern kann mit der Telematik integriert werden, einschließlich Lösungen vom Marketplace:

• Bluetooth-Beacons
• Temperatursensoren
• Reifenluftdrucksensoren
• Verbale Rückmeldungen aus dem Fahrzeug
• Kollisionsvermeidungssysteme
• Kameras

Offene Telematik Plattform: Die IoT Hub des Fahrzeugs

Das Telematik-Ökosystem umfasst sowohl Hardware als auch die Software, die für das Sammeln und Analysieren der Fahrzeugdaten verantwortlich ist.

Das Telematik-Ökosystem

Geotab GO-Telematikgerät/GO RUGGED Robustes Telematikgerät

Der Geotab GO ist ein kleines Telematikgerät mit GPS-Modul und einem selbstkalibrierenden Beschleunigungssensor, das in den Diagnoseanschluss eines Fahrzeugs gesteckt wird. Das Gerät sammelt Daten über Fahrzeugposition, Geschwindigkeit, starke Brems- und Fahrmanöver, Sicherheitsgurt, Kraftstoffverbrauch, Kilometerzähler, Fahrzeugfehlercodes, Batteriespannung, Lufttemperatur und viele andere Motordaten. Das Gerät sendet verschlüsselte Daten zur Verarbeitung und Analyse an die MyGeotab Cloud-gehostete Umgebung. ISO-Sicherheitszertifizierungen: 27001; ISO 27017; ISO 27018.

MyGeotab Fuhrpark-Managementsoftware

Flexible und skalierbare, webbasierte Software für die Verwaltung von Fuhrparks, zur Analyse von Telematikdaten und zur Anzeige von Berichten.

Zu den Hauptmerkmalen gehören fortgeschrittene Berichterstattung, Fahrerverhaltensmanagement, Motordatenberichterstattung, Routenoptimierung, Motorzustand und Wartung, Unfallrekonstruktion, GPS-Fahrzeugverfolgung, offene Datenintegration und benutzerdefinierte Zuweisungen.

Eingabe-/Ausgabe-Expander

Drittanbieter-Hardware, die mit dem Expander-Port des Geotab-Telematikgeräts verbunden ist, um bestimmte Aufgaben auszuführen und Informationen an und von MyGeotab weiterzuleiten.

Beispiele: Fahreridentifikation über Nahfeldkommunikation (NFC), verbale Rückmeldung GO TALK aus dem Fahrzeug, Salz- und Sandstreuerüberwachung und Gerätekommunikation über das Iridium-Satellitennetzwerk für Fernarbeiter.

Marketplace-Lösungen

Ein Partner-Ökosystem von Fuhrpark-Managementlösungen, die mit der offenen Telematik-Plattform Geotab integriert sind, einschließlich Software-Add-Ins, Hardware-Zubehör und Add-Ons, mobile Apps, allgemeine Softwarelösungen und benutzerdefinierte Berichte.

Software Development Kit (SDK)/Anwendungsprogrammierschnittstellen (APIs)

Das Geotab Software Development Kit (SDK) und Anwendungsprogrammierschnittstellen (APIs) sind eine Reihe von Tools für die Automatisierung von Aufgaben, zum Erstellen von Drittanbieter-Hardware-Add-Ons für das Geotab GO-Gerät und die Integration von Geschäftssystemen wie Buchhaltung, Lohn- und Gehaltsabrechnung, CRM, Wartung, Routenplanung, Risikomanagement und der Konformität zur Einhaltung von Sicherheitsrichtlinien.

Best Practices für Telematik-Cyber-Sicherheit

Während Unternehmen zu Software-basierten Systemen streben und die Cloud nutzen, stellt die Datensicherheit für die Telematik eine immer größere Herausforderung dar. Telematik-Systeme sind erweiterbar und mehrstufig: Sie sind eine Kombination aus physischer Hardware, Funksystemen, Software-Servern und menschlichen Bedienern. Aufgrund dieser Vielzahl an Komponenten sind potenzielle Bedrohungen zahlreich und können Diebstahl, GPS-Störungen, das Bespitzeln über das Mobilfunknetz, Firmware-Manipulation, Server-Exploits und Phishing beinhalten.

Allgemeine Strategien für die Cyber-Sicherheit

Der Schutz von Telematikdaten erfordert einen umfassenden, proaktiven Ansatz. Die Integrität des Systems beruht auf der Aufrechterhaltung vieler Teilsysteme, jedes mit seinem eigenen Satz möglicher Schwachstellen. Daher ist der beste Weg, neben strengen Richtlinien und Verfahren, im gesamten Unternehmen eine Sicherheitskultur zu schaffen, um Daten zu schützen und Ausfallsicherheit gegen böswillige Angriffe zu gewährleisten.

Im Allgemeinen kann die Telematik-Sicherheit mit diesen Grundsätzen von IoT-Sicherheit gestärkt werden:

• Führung: Gründung eines engagierten Teams von Sicherheitsspezialisten und Management, denen die Wichtigkeit von Sicherheit bewusst ist.
• Richtlinien: Umfassende und transparente Richtlinien für Sicherheit und Privatsphäre.
• Design: Implementierung bewährter Best Practices in der Produkt- und Softwareentwicklung.
• Schulung: Regelmäßige Schulung von Mitarbeitern, Partnern und Endbenutzern zu Sicherheitsrichtlinien und -verfahren.

Sicherheit der Geotab-Telematikplattform

Geotab unternimmt einen rigorosen Ansatz für die Datensicherheit nach dem Prinzip der kontinuierlichen Verbesserung. Um unsere Kunden und Partner zu schützen, überprüft und optimiert Geotab unsere Sicherheitsmechanismen und -prozesse kontinuierlich, sodass unsere Systeme anpassbar bleiben. Geotab bietet den Kunden eine umfassende Dokumentation über die in unserem Ökosystem durchgeführten technischen und organisatorischen Datensicherheitsmaßnahmen. Wir arbeiten auch mit führenden Stakeholdern zusammen, um die Sicherheit branchenweit voranzutreiben.

Als vertikal integrierter Telematik-Anbieter ist Geotab direkt in jeder Phase seines Telematik-Ökosystems involviert.

Stärke durch vertikale Integration

Die Geotab-Plattformsicherheit ist auf den End-to-End-Schutz Ihrer Daten ausgerichtet. Zu Schlüsselimplementationen gehören:

• GO-Geräte und Netzwerkschnittstellen verwenden Authentifizierung, Verschlüsselung und Nachrichtenintegritätsprüfung, um sicherzustellen, dass Telematikdaten nicht von bösartigen Parteien gelesen oder gefälscht werden können.
• OTA-Updates setzen Firmware mit digitaler Signatur ein, um zu verifizieren, dass der Ursprung des Updates von einer vertrauenswürdigen Quelle stammt.
• Geotab setzt Experten unabhängiger Dritter ein, um die gesamte Plattform zu überprüfen.

Im Folgenden finden Sie weitere Einzelheiten, wie ein Telematiksystem geschützt ist.

Sicherheit bei Design und Herstellung

Die mikroelektronischen Module jedes Geotab GO-Geräts werden in Fertigungsstätten weltweit gefertigt. Die Teile kehren zu den Einrichtungen von Geotab zurück, wo dann die Endmontage der GO-Geräte-Hardware durch Geotab-Mitarbeiter erfolgt. Die Elektronik der einzelnen Geräte wird geprüft und dann für die Firmware-Programmierung vorbereitet.

Da Geotab die Geräte-Hardware von keinem anderen Unternehmen bezieht und die volle Kontrolle über Design, Fertigung, Montage und Prüfung hat, können wir schnell und effizient auf Fehler oder mögliche Hardware-Schwachstellen bei der Herstellung reagieren, ohne auf eine andere Partei angewiesen zu sein.

Firmware-Schutz

Da ein Telematikgerät an das komplexe Verbundnetz des Fahrzeugs angeschlossen ist, wird die Firmware des Geräts aufgrund ihrer Kontrolle über die vom Fahrzeug erfassten Daten zu einem außerordentlich wichtigen Teil des angeschlossenen Systems.

Aus diesem Grund sollte die Firmware auf dem Telematikgerät kontinuierliche Updates erhalten, um Funktionalität hinzuzufügen und um mögliche Schwachstellen im Code zu beheben. Am häufigsten werden solche Updates in einer für den Benutzer unsichtbaren Weise durchgeführt: Aktualisierungen werden per Funk empfangen und der Installationsvorgang erfolgt automatisch und erfordert keine menschliche Interaktion.

Solche Updates sind einfach und bequem; sie können jedoch eine mögliche Öffnung für Angreifer hinterlassen, die die Firmware eines Telematikgeräts mit ihrer eigenen bösartigen Firmware ersetzen wollen. Bei einem erfolgreichen Angriff dieser Art könnte der Angreifer die volle Kontrolle über das Telematikgerät erlangen.

Zur Vermeidung eines solchen Angriffs sollten die folgenden Methoden verwendet werden:

• Prüfen der Firmware-Installation auf dem Gerät bereits während der Fertigungsstufe.
• Digitales Signieren von Over-the-Air-Updates, um die Updates auf Vertrauenswürdigkeit zu überprüfen.

Ohne diese beiden Schritte zur Überprüfung der Authentizität jedes Firmware-Updates ist es unmöglich festzustellen, ob das Gerät Ihrer Kontrolle oder der Kontrolle einer bösartigen Partei untersteht, um Ihre Daten abzugreifen.

Sichere Datenübertragung

Das Telematikgerät sendet über eine Mobilfunkverbindung Daten vom Fahrzeug zum zentralen Server. Je nach Region, Anbieter und Infrastruktur geschieht die Mobilfunkkommunikation über 2G-, 3G- und LTE-Netzwerke, die alle ihre eigenen spezifischen Schwachstellen aufweisen können.

Mithilfe von Verschlüsselung kann ein sicherer Kommunikationskanal aufgebaut werden. Verschlüsselung ist der Prozess des Codierens einer Nachricht, sodass nur der Absender und der Empfänger die Nachricht anzeigen können. Diese verschlüsselte Nachricht würde für eine außenstehende Person, wie beispielsweise einen Angreifer, nur als eine bedeutungslose Sammlung von Symbolen erscheinen. Der beabsichtigte Empfänger der Nachricht verwendet einen speziellen Schlüssel und kann diese Sammlung von Symbolen in verständliche Informationen verwandeln.

So kann ein normalerweise anfälliger Kommunikationsweg wie beispielsweise ein Mobilfunknetzwerk durch den Einsatz verschlüsselter Nachrichten, die vom Telematikgerät zum Zielserver gesendet werden, geschützt werden. Aufgrund ihrer mathematischen Eigenschaften kann selbst ein leistungsfähiger Computer eine starke Verschlüsselung nicht auf triviale Weise entschlüsseln. Geotab-Geräte verwenden eine branchenführende Verschlüsselung.

Sicherheit in der Cloud

Telematikgeräte kommunizieren ihre Daten an Speicher- und Verarbeitungs-Server, die man mit Tresoren mit wertvollen Informationen vergleichen könnte. Die Server selbst können durch Beschränken des physischen Zugriffs für nur autorisierte Personen geschützt werden. Dagegen können die Daten durch Sicherung der Cloud-Umgebung mit Firewalls, Zugriffskontrolle und Aktivitätsüberwachung nach Industriestandard geschützt werden.

Dennoch ist von entscheidender Bedeutung, dass selbst die sichersten Systeme nicht perfekt sind. Im Falle einer Sicherheitsverletzung ist es wichtig, den von einem unberechtigten Zugriff verursachten Schaden zu minimieren.

Schadensbegrenzung ist wichtig, um mögliche Auswirkungen einer Sicherheitsverletzung zu minimieren. In der Cloud kann ein effektiver Schutz darin bestehen, Benutzerkennwörter niemals zu speichern, sodass sie von Angreifern nicht abgegriffen werden können. Diesen Prozess nennt man Hashing und Salting eines Kennworts – d. h., dass anstatt eines Kennworts ein Hash-und-Salt-Wert gespeichert wird. Dieser Prozess verlangsamt die Geschwindigkeit, mit der ein Angreifer bei einem bösartigen Zugriff wertvolle Daten eines Cloud-Benutzers abgreift, was wertvolle Zeit liefert, um der Sicherheitsverletzung zu begegnen und den Schaden zu begrenzen.

Hashing und Salting erweitert die Metapher des Tresors: Wenn ein Einbrecher sich Zugang zum Tresor verschafft, sieht er nicht den gesamten Inhalt, sondern muss sich zunächst Zugang zu jedem einzelnen persönlichen Schließfach verschaffen, um Wertgegenstände zu entwenden.

Sicherheit als Unternehmenskultur

Datensicherheit ist eher eine Routine als eine Handlung. Neue Sicherheitsbedrohungen entstehen, wenn sich Technologie entwickelt und die Komplexität eines Systems wächst. Ein Unternehmen, das ernsthaft an Sicherheit interessiert ist, beschäftigt sich kontinuierlich mit Sicherheitsproblemen, indem Systeme aktualisiert, Mitarbeiter geschult, Prozesse verfeinert und Schwachstellen erkannt werden.

Den Kern des Telematiksystems bildet das Team aus Technikern und Supportmitarbeitern, das einen reibungslosen Betrieb ermöglicht. Widerstandsfähige Unternehmen sollten sich mit der Tatsache befassen, dass Mitarbeiter möglicherweise nicht im Interesse des Unternehmens handeln – sei es durch Datendiebstahl und Bestechungsgelder von Mitbewerbern, gesetzwidriges Verhalten oder einfach durch unbeabsichtigte Fehler.

Aus diesen Gründen sollte ein Unternehmen auf allen Ebenen Wachsamkeit üben. Dies kann erreicht werden, indem man Zugriffsberechtigungen kontrolliert und überwacht, Protokoll-Aufzeichnungen über wichtige Betriebsabläufe erstellt und sicherstellt, dass alle Mitarbeiter sich der Risiken im Zusammenhang mit ihren Handlungen bewusst sind. Eine starke Sicherheitskultur sollte den Mitarbeitern Vertrauen in ihre Fähigkeiten geben, auf Sicherheitsbedrohungen zu reagieren, jedoch keine Angst vor möglichen Angriffen schüren.

Eine Möglichkeit, Sicherheitsbewusstsein in einem Unternehmen aufzubauen, ist, Penetrationstests durchzuführen. Penetrationstests sind autorisierte Hacking-Versuche eines Unternehmens, das sich auf Computersicherheit spezialisiert hat. Mit einem Penetrationstest versucht das Sicherheitsunternehmen, Schwachstellen in Ihrer Hardware und Software zu finden, aber anstatt diese Schwachstellen wie ein tatsächlicher Hacker auszunutzen, wird die Angriffsmethodik dokumentiert und die Erkenntnisse mit Ihnen geteilt. Auf die Ergebnisse des Penetrationstests sollte dann entsprechend reagiert werden. Mögliche Sicherheitslücken sollten geschlossen bzw. interne Verfahren geändert werden, bevor bösartige Parteien diese Schwachstellen ausnutzen.

Letztlich ist die Datensicherheit eine laufende, unternehmensübergreifende Anstrengung, die darauf abzielt, die Daten aller Nutzer zu sichern.

Fünf wichtige Fragen an Ihren Telematik-Anbieter

Sicherheit ist ein komplexes Thema, das sich mit jedem Teil eines Telematiksystems beschäftigt. Die einfache Frage, ob „unsere Daten sicher sind“ ist nicht ausreichend. Ihre wertvollen Daten erfordern tiefgründigere Fragestellungen. Es sind spezifische Implementierungen und Strategien gefragt, die die Basis moderner Sicherheitsstandards bilden.

Die folgenden Fragen dienen als Rahmen, um die Sicherheitsaspekte Ihrer Telematik-Daten mit Telematik-Anbietern zu diskutieren.

1. Wer stellt die Telematik-Hardware her? Wird der gleiche Gerätetyp in meinen gesamten Fuhrpark installiert?

Warum diese Fragen wichtig sind: Wenn Ihr Telematik-Anbieter nicht seine eigene Hardware herstellt, ist der vollständige Überblick über alle Sicherheitsaspekte möglicherweise nicht gewährleistet. Ähnlich verhält es sich, wenn Ihr Anbieter keine direkte Kontrolle über seine Hardware- und Software-Sicherheit hat. Dies kann bedeuten, dass auf Bedrohungen oder Schwachstellen verspätet reagiert wird, weil zuerst eine Koordination mit Dritt-Unternehmen erfolgen muss.

Hinzu kommt, dass Elektronik regelmäßig aktualisiert wird. Bei unterschiedlichen Hardware-Modellen kann jedes Modell seine eigenen Schwachstellen beitragen. Dies bedeutet, dass zusätzliche Anstrengungen erforderlich sind, um diese Sicherheitslücken über die gesamte Produktreihe hinweg zu beheben. Eine größere Hardware-Vielfalt bedeutet, dass Techniker einen höheren Aufwand haben, sich mit Sicherheitslücken zu beschäftigen und diese zu beheben. So werden Ressourcen und ihre Aufmerksamkeit aufgrund von Produktkomplexität möglicherweise nicht gleichmäßig verteilt, was zu Fehlern und nicht gefundenen Schwachstellen führen kann. Die Hersteller müssen für die Sicherheit des Produkts über seine gesamte Lebensdauer hinweg verantwortlich sein.

2. Werden die Daten verschlüsselt, die über das Mobilfunknetz übertragen werden?

Warum diese Frage wichtig ist: Sie sollten sich nicht ausschließlich auf Mobilfunkanbieter verlassen, ihre Telematik-Daten während der Funkübertragung zu schützen. Es ist wichtig, dass Ihr Telematik-Anbieter zusätzliche Schritte zur Verschlüsselung Ihrer Daten unternimmt, sodass, auch wenn der Mobilfunkkanal kompromittiert wird, Ihre Daten sicher sind.

3. Ist die Firmware signiert, sodass außenstehende Parteien den Code auf dem Gerät nicht ändern können?

Warum diese Frage wichtig ist: Die Firmware ist das Gehirn des Geräts, das entscheidet, wohin Daten gesendet, welche Daten erfasst und wie sie gespeichert werden. Wenn eine bösartige Firmware auf Ihrem Gerät installiert wurde, wäre es nicht mehr möglich zu wissen, wohin Ihre Daten gesendet werden oder was mit ihnen passiert. Ihr Telematik-Anbieter sollte jedes Firmware-Update mit einer digitalen Signatur signieren, die anzeigt, dass das Update von einer vertrauenswürdigen Quelle stammt.

4. Verfügen Sie über eine Sicherheitsdokumentation, die Ihre Hardware, Ihre Server, die Übertragung von Daten sowie Richtlinien für Mitarbeiter abdeckt?

Warum diese Frage wichtig ist: Die Sicherheitsdokumentation zeigt, dass bereits ein Grundverständnis für Sicherheitskultur vorhanden ist. Ein Telematik-Anbieter sollte in der Lage sein, Einzelheiten über seine Sicherheitsmaßnahmen sowie Schadensbegrenzungs- und Disaster-Recovery-Strategien für den Fall unerwarteter Ereignisse vorzulegen.

Ein Planungskonzept für Sicherheitsverfahren – wie das Dokument Technische und organisatorische Datensicherheitsmaßnahmen von Geotab – ist eine große Hilfe, um zu verstehen, was mit Ihren Daten geschieht.

5. Welche Schadensbegrenzungsstrategie verwenden Sie, um die Kontoinformationen von Benutzern im Falle einer Kompromittierung Ihrer Server zu schützen?

Warum diese Frage wichtig ist: Wenn eine Sicherheitsverletzung auftritt, sollte das System so wenig persönliche Informationen wie möglich enthalten. Kennwörter sollten niemals direkt im System Ihres Telematik-Anbieters gespeichert werden, sondern in Hashes umgewandelt und mit Salt verstärkt werden.

Zusammenfassung

Die Sicherheit Ihrer Telematik sollte nicht übersehen werden. Wie alle anderen kritischen Geschäftsdaten, sollte sie mit umfassenden Sicherheitsmechanismen und Prozessen geschützt werden, die kontinuierlich überprüft und aktualisiert werden. Das Befolgen der Best Practices dieser Branche ist unumgänglich.

Das heißt auch, dass Cyber-Sicherheit eine gemeinsame Verantwortung ist. Wir können alle dazu beitragen, Sicherheitssysteme sicherer zu machen. Das Einholen von Informationen und das Stellen von Fragen ist ein guter erster Schritt auf dem Weg zu einem effektiven Cyber-Sicherheit-Management.