Plötzlich springt ein Kind auf die Straße. Jetzt zählen Millisekunden. Wenigen Autofahrern gelingt es, trotz ihres Schreckens voll aufs Bremspedal zu treten. Assistenzsysteme reagieren in solchen Fällen entschiedener, zuverlässiger und schneller als der Mensch. Möglich wird das durch fortlaufende Echtzeit-Analysen von Kamera-, Radar- und weiteren Sensordaten sowie den Abgleich mit Navigations- und Fahrzeugdaten. Künftig wird der Informationsaustausch mit anderen Fahrzeugen und der Infrastruktur hinzukommen.

Die zunehmende Datenflut im Connected Car verlangt nach leistungsfähigen Datennetzen.

Die zunehmende Datenflut im Connected Car verlangt nach leistungsfähigen Datennetzen. Escrypt

Die Folge sind rasant wachsende Datenvolumen. Es ist absehbar, dass der weiter zunehmende Datenverkehr durch Connected-Car-Funktionalitäten bisherige Netzwerktechnologien in Fahrzeugen an ihre Kapazitätsgrenzen bringen wird. Neue Lösungen sind gefragt.

Status Quo: Ein Nebeneinander unterschiedlicher Netzwerke

Heute gibt es ein gewachsenes Nebeneinander unterschiedlicher Netzwerktechnologien. Am weitesten verbreitet ist CAN (Controller Area Network). Doch auch LIN (Local Interconnect Network) zur Anbindung von Sensoren und Aktoren, Flexray für sicherheitsrelevante Anwendungen und MOST (Media Oriented Systems Transport) für die Übertragung von Multimediadaten sind in modernen Fahrzeugen vielfach im Einsatz. Dieses Nebeneinander gilt als Kosten- und Komplexitätstreiber bei der Vernetzung moderner Fahrzeuge. Doch selbst die Fülle an Technologien deckt nicht alle Anforderungen ab: Gerade für Diagnosezugänge oder zum Anbinden von Kameras setzen immer mehr Hersteller auf Ethernet, weil dieser etablierte Netzwerkstandard klare Vorteile in Sachen Datenübertragungsraten, Integrierbarkeit, Flexibilität und Echtzeitverhalten bietet.

Diese Vorteile machen Automotive Ethernet auch für den Datenverkehr und die hohen Echtzeitanforderungen in vernetzten, teils automatisiert fahrenden Fahrzeugen interessant. Schon der heutige Standard (IEEE 802.3bw – 100BASE-T1) bietet reale Datenraten von bis zu 100 Mbit/s pro Verbindung und Richtung – und eine Gigabit-Variante (IEEE802.3bp) ist schon in Arbeit. Keine der bisherigen Netzwerktechnologien bietet auch nur annähernd solche Datenraten.

Leistungsfähige Alternative: Automotive Ethernet

Daneben spricht auch die Reife der Ethernet-Technik für den Einsatz im Automobil. Ethernet ist in der klassischen IT-Welt etabliert und als stabiler Standard bekannt. Die Komponenten sind praxiserprobt, vergleichsweise kostengünstig und bieten hohe Flexibilität bei der Auslegung von E/E-Architekturen. Anwendungsfälle sind oft bestens dokumentiert, und nicht zuletzt ist der Fachkräftemarkt verhältnismäßig entspannt, während Experten für bisher genutzte Netzwerktechnologien im Fahrzeug rar sind.

Die Fülle der Vorteile spricht dafür, dass Automotive Ethernet schon bald über die isolierten Diagnose- und Kamera-Anwendungen hinauswachsen wird. Wo die bisherigen Lösungen an Grenzen stoßen, wird die leistungsfähigere Alternative übernehmen. Allerdings setzen eine fahrzeugweite Vernetzung und die Verbindung von Fahrzeugdomänen per Ethernet voraus, dass man alle damit einhergehenden Security-Fragen schon im Vorfeld gründlich analysiert und klärt. Dafür braucht es übergreifende Expertise: Security-, IT- und Automotive-Know-how müssen ineinandergreifen, um künftige E/E-Architekturen von vornherein sicher auszulegen und den Datenverkehr im Automotive Ethernet zuverlässig abschirmen zu können.

Der Schutz sicherheitsrelevanter Systeme im Fahrzeug lässt sich nur mit ganzheitlichen Security-Konzepten erreichen.

Der Schutz sicherheitsrelevanter Systeme im Fahrzeug lässt sich nur mit ganzheitlichen Security-Konzepten erreichen. Escrypt

Ethernet-Einsatz im Fahrzeug birgt Herausforderungen für die Security

Doch warum lässt sich die ausgereifte Ethernet-Technologie nicht einfach eins-zu-eins in Fahrzeuge übertragen? Wie verändern sich die Security-Herausforderungen beim Übergang von den bisherigen Netzwerktechnologien zum Ethernet-Standard? Und welche Chancen bietet der etablierte Standard, um sicherheitsrelevante Fahrzeugsysteme zuverlässig abzuschirmen?

Grundsätzlich gehen mit drastisch erhöhten Datenraten und -volumen ein Plus an Risiken und gesteigerte Anforderungen an die Performance der zu implementierenden Sicherheitsmechanismen zur Filterung und Gewährleistung von Integrität, Authentizität und Vertraulichkeit einher. Zudem setzt die erhöhte Vielfalt der Protokolle voraus, dass entsprechend auch die Zahl und die Vielfalt der Kommunikationsfilter anzupassen sind. So birgt beispielsweise das Einbinden des Internetprotokolls IP und darauf aufbauender Protokolle große Chancen für die Vernetzung, bringt aber auch eine neue Dimension an Komplexität der Fahrzeugnetzwerke und Filtermechanismen mit sich. Obendrein setzt der sichere Einsatz von Automotive-Ethernet voraus, dass die eingesetzten Switches entsprechende Security-Features bieten und korrekt implementieren. Auch in Fragen der sicheren Kommunikation mit der Außenwelt sind gründliche Vorüberlegungen geboten, beispielsweise hinsichtlich des konsequenten Einsatzes von Firewalls, einschließlich Deep Packet Inspection (DPI) und eventueller Filterung auf Anwendungsebene.

Schon diese grundsätzlichen Vorüberlegungen zeigen, dass Automotive Ethernet zugleich Chance und Herausforderung für die Automotive Security ist. Auch sind längst nicht alle der in der klassischen IT-Welt etablierten Lösungen für die fahrzeuginterne Kommunikation geeignet. Das gilt beispielsweise für die Absicherung der Datenübertragung über potenziell unsichere Netze per IPSec (Internet Protocol Security) oder mithilfe des (D)-TLS-Protokolls ((Datagram) Transport Layer Security) zur kryptographisch abgesicherten Datenübertragung auf Ebene des Transport-Layers, die mindestens ein ausgefeiltes Schlüsselmanagement erfordert. Es sind die jeweiligen Lösungen dem spezifischen Umfeld im Fahrzeug anzupassen – oder genauer gesagt: ihre Performance-Anforderungen, ihr Implementierungsaufwand und auch die Komplexität des Schlüsselmanagements.

Spezielle Anforderungen im Automotive-Umfeld

Umgekehrt birgt auch die Übertragung von bisherigen fahrzeugspezifischen Lösungen neue Herausforderungen. So etwa bei der Secure Onboard-Kommunikation (SecOC) gemäß den Spezifikationen von Autosar 4.2.1. Diese an Ethernet und gegebenenfalls IP-basierte Kommunikation anzupassen, ist vermutlich nur für einige Anwendungsfälle sinnvoll möglich.

Darüber hinaus sind auch die Möglichkeiten zum Filtern der domänenübergreifenden Kommunikation, die aus klassischen E/E-Architekturen mit Central Gateway (CGW) bekannt sind, auf Ethernet und gegebenenfalls IP zu übertragen. Das wird durch Konzepte, wie sie für das Audio/Video Bridging (AVB) Transport Protocol in IEEE 1722 standardisiert werden, umso komplizierter. Doch auch dieser Ansatz bietet aus Security-Perspektive neue interessante Möglichkeiten, beispielsweise ist im aktuellen Entwurf des Standards bereits von vornherein ein auf AES (Advanced Encryption Standard) basierender Mechanismus zur verschlüsselten und authentifizierten Übertragung von großen Datenmengen in zeitkritischen Anwendungen berücksichtigt.

Vor einer Integration des Automotive Ethernets in Fahrzeuge gilt es, die Teile der Ethernet-Standardsammlung im Einzelnen auf ihre Potenziale für die Automotive Security hin zu prüfen und ihre Tauglichkeit im Automotive-Umfeld sowie den Integrationsaufwand in künftige E/E-Architekturen zu bewerten. Sub-Standards wie IEEE 802.1X (Port-based Network Access Control – PNAC) zur Authentifizierung in LAN-Netzwerken oder der MAC-Security-Standard IEEE 802.1AE (Media Access Control Security – MACsec) bieten viele Vorteile und sind in der klassischen IT gut verstanden. Doch sie haben auch Schwächen, die ihren Einsatz im sicherheitsrelevanten Fahrzeugumfeld mit seinen eingeschränkten Möglichkeiten in Bezug auf die verfügbaren Hardwarekomponenten und auch im Hinblick auf die hohen Echtzeitanforderungen nicht immer erlauben.

Für die Automotive Security muss eine sichere Architektur Schutz gegen alle erdenklichen Gefahrszenarien über den Gesamtlebenszyklus eines Fahrzeugs gewährleisten.

Für die Automotive Security muss eine sichere Architektur Schutz gegen alle erdenklichen Gefahrszenarien über den Gesamtlebenszyklus eines Fahrzeugs gewährleisten. Escrypt

Security von vornherein einbeziehen

Gerade mit Blick auf die begrenzten Hardwareressourcen und die Echtzeitanforderungen im Fahrzeug ist der Integrationsaufwand von Automotive Ethernet nicht zu unterschätzen. Und weil die leistungsfähige Netzwerktechnologie von Anfang an vor allem dort zum Einsatz kommen wird, wo es um die Übertragung besonders sicherheitsrelevanter Daten aus dem Bereich der aktiven Fahrerassistenzsysteme geht, muss Security schon in der Planung der E/E-Architekturen eine zentrale Rolle spielen. Wobei sich mit der Umstellung auf Ethernet auch ganz konkrete Chancen für Verbesserungen im Bereich der Automotive Security ergeben. Es entfällt beispielsweise der Zwang, den üblicherweise bei SecOC genutzten MAC (Message Authentication Code) und „freshness value“ im Zuge der Übertragung drastisch zu beschneiden, wie es etwa aufgrund des 64-Bit kleinen Nutzdatenfeldes bei CAN-Botschaften nötig ist. Des Weiteren können etablierte Lösungen wie IPSec und (D)TLS zum Einsatz kommen, wo es im konkreten Anwendungsfall sinnvoll ist. Das ist insbesondere dann der Fall, wenn höherliegende Übertragungsprotokolle im Einsatz sind, die typischerweise auch in der klassischen IT per (D)TLS abgesichert werden. Dies ist zum Beispiel beim Hypertext Transfer Protocol Secure (https) gegeben. Letztendlich kann die Automotive Security konzeptionell auch von der langjährigen Erfahrung in der IT-Security profitieren, etwa im Hinblick auf geeignete Architekturen zur Umsetzung von „Defense-in-depth“-Strategien.

Umfassende Unterstützung mit Know-how und Produkten

Um solche Vorteile von vornherein optimal nutzen zu können, sind ganzheitliche Security-Konzepte für die E/E-Architekturen gefragt. Ziel muss es sein, bei der Einführung von Ethernet im Fahrzeug von Anfang an die richtigen Security-Fragen zu stellen, um sowohl das Potenzial auf Softwareseite als auch die Fähigkeiten der eingesetzten Hardwarekomponenten (Mikrocontroller, Mikroprozessoren und Switches) optimal nutzen zu können. Sichere Ethernet-Netzwerke im Fahrzeug setzen einen Defense-in-depth-Ansatz voraus, in dem multiple Sicherheitsmechanismen auf Daten-, Netzwerk-, Transport- und Anwendungsebene berücksichtigt sind, der Netzwerke untereinander abschirmt und der durch Partitionierung und strikt getrennte Kommunikationsdomänen auf Basis virtueller LANs (VLANs) die Risiken infolge etwaiger Angriffe systematisch minimiert. Doch die Erfahrung aus klassischen Ethernet-Netzwerken zeigt, dass es wenig sinnvoll ist, sich allein auf die implementierten Sicherheitsvorkehrungen zu verlassen. Vielmehr sollte man potenzielle Angriffsversuche mithilfe von IDS (Intrusion Detection Systems) und IPS (Intrusion Prevention Systems) erkennen, aufzeichnen und frühestmöglich stoppen. Eine solche Architektur bezieht zahlreiche Firewalls ein, nutzt bestehende Ethernet-Substandards und bedient sich modernster kryptographischer Lösungen.

Dafür braucht es Expertenteams, die mit den spezifischen Anforderungen im Automotive-Bereich – etwa bei der Diagnose oder auch im Hinblick auf die Fertigungsprozesse – ebenso vertraut sind wie mit den Möglichkeiten von Ethernet und den damit einhergehenden Security-Herausforderungen. Escrypt hat in den letzten Jahren ein umfangreiches Portfolio an Security-Lösungen für die Automotive-Industrie entwickelt, um sowohl die Systeme im Fahrzeug als auch Entwicklungs- und Fertigungsprozesse gegen Risiken zu schützen. Dazu zählen auch umfangreiche Erfahrungen im Bereich Ethernet Security. Dieses Know-how fließt einerseits in die Entwicklung eigener Lösungen ein, und andererseits können Automobilhersteller und Zulieferer bei der Einführung der neuen Technologie darauf zugreifen. Security-, IT- und Automotive Know-how gehen also Hand in Hand.

Eck-Daten

Der Trend zum Connected Car und die dadurch entstehende Datenflut im Fahrzeug ist eine der großen Herausforderungen für die Automobilindustrie. Da traditionelle, nebeneinander arbeitende Datennetzwerke mit dieser Komplexität überfordert sind, zeichnet sich Automotive Ethernet als Alternative ab. Um die damit verbundenen Vorteile auch nutzen zu können, sind für die E/E-Architekturen von vornherein ganzheitliche Security-Konzepte zu berücksichtigen, die den Schutz sicherheitsrelevanter Systeme im Fahrzeug gewährleisten.

Da Automotive Security nur mit ganzheitlichen Lösungen zu erreichen ist, muss eine sichere Architektur Schutz gegen alle erdenklichen Gefahrszenarien über den Gesamtlebenszyklus eines Fahrzeugs gewährleisten. So besteht mit CycurTLS schon heute die Möglichkeit zur Absicherung von Implementierungen mit (D)TLS, wobei CycurTLS insbesondere für eingebettete Systeme optimiert ist. Die Verwaltung kryptographischer Schlüssel und Zertifikate für das Netzwerk kann über die Key Management Solutions (KMS) des Unternehmens erfolgen. Und weil eine ganzheitliche Architektur auch alle Kommunikationsendpunkte einschließen muss, bietet die Hardware-Security-Module-Software CycurHSM maximalen Schutz für Steuergeräte. Firewalls, Intrusion-Detection-Systeme und weitere Produkte auf der Netzwerkarchitekturebene werden dieses Portfolio in naher Zukunft ergänzen, um die anstehende Einführung von Automotive Ethernet von Anfang an sicher zu gestalten – und damit die Reaktionsgeschwindigkeit potenziell lebensrettender Fahrzeugsysteme auf Dauer sicher zu stellen.