Die technische Weiterentwicklung von Fahrzeugen basiert zunehmend auf ständiger Vernetzung sowie neuen Funktionen, die im Kern auf Software beruhen. Bereits seit 1996 werden Fahrzeuge über Telematik-Einheiten oder die Einbindung mobiler Endgeräte mit dem Internet verbunden. Im nächsten Schritt werden sie zum Bestandteil des Internet of Everything (IoE). Megatrends wie intelligente Mobilität, automatisiertes Fahren und Elektrifizierung setzen ständige Konnektivität voraus.

Das Thema Schutz und Sicherheit gewinnt dabei enorm an Bedeutung. Ganzheitliche Vernetzung ist ohne Strategien für Cyber-Sicherheit nicht denkbar. Gleichzeitig muss bei diesem Thema langfristig geplant werden: Aus guten Gründen hat das US-Repräsentantenhaus das Selbstfahr-Gesetz (Safely Ensuring Lives Future Deployment and Research In Vehicle Evolution Act, SELF DRIVE Act) verabschiedet. Es verlangt von den Herstellern einen Cyber-Sicherheitsplan und eine Updatefunktion für die komplette Lebensdauer hochautomatisierter Autos.

Cyber-Sicherheit

Bild 1: Updates über die Luftschnittschnelle gewinnen stark an Bedeutung. Continental

Künftig müssen auch „alte“ IoE-Fahrzeuge aktuell gehalten werden können, denn nur so ist ein Schutz vor Datenmissbrauch und der kriminellen Energie von Hackern möglich. Dieser Wettlauf zwischen Angriffs- und Schutzstrategien setzt zwingend den Zugang zu Fahrzeugen über eine Luftschnittstelle voraus (Bild 1). Dank ganzheitlicher Vernetzung ist dieser Zugang gegeben, aber er muss auch sicher sein. Deshalb gilt hier eine Zirkularlogik: Drahtlose Updates benötigen Cyber-Sicherheit, Cyber-Sicherheit benötigt drahtlose Updates. Auf dieser Grundlage entwickelt Continental ein ganzheitliches Sicherheitssystem für vernetzte Fahrzeuge.

Als Konsequenz Vertrauen schaffen

Noch sind Angriffe auf das Fahrzeug vor allem wissenschaftlich motiviert. Angesichts von Hackerkonferenzen, bei denen 100 Personen gleichzeitig am Fahrzeugbus „arbeiten“, wäre es aber unverantwortlich davon auszugehen, dass das so bleibt. Für die Zukunft wird die Vertrauensfrage entscheidend: Welchem Absender und welcher Botschaft kann ein Fahrzeug oder das Backend vertrauen?

Zur Lösung gehören digitale Zertifikate, die an jeder Kommunikation beteiligt sind. Durch Schlüsselaustausch als Teil jeder Kommunikation authentifizieren sich Absender und Empfänger gegenseitig als berechtigt. Während dieses bewährten Verfahrens werden die Schlüssel innerhalb eines zufallsgesteuerten Intervalls gewechselt. Nur berechtigte Steuergeräte (Electronic Control Unit, ECU) verfügen über die Zertifikate, um die richtigen Schlüssel zu erzeugen. Nach diesem Verfahren kann man verifizieren, dass beispielsweise ein Software-Patch tatsächlich vom Hersteller beabsichtigt ist. Um diese Authentifizierung zu ermöglichen, hat Continental modellhaft ein Online Trust Center (OTC) aufgebaut.

Und doch zeigt das erfolgreiche Brechen von Verschlüsselungsstandards wie AES 128 (Advanced Encryption Standard): Es muss gar nicht das System selbst sein, das angreifbar ist, sondern die Art, wie es implementiert ist, kann zum Einfallstor werden. Es führt also kein Weg daran vorbei, ständig die Empfindlichkeit der Systeme zu testen und dabei immer neue Wege zu suchen. Voraussetzung dafür ist eine Kombination aus tiefem Know-how über Sicherheit und ebenso detailliertem Automotive-Know-how. Im Security and Privacy Competence Center bei Continental wird beides genutzt, um Systeme zu hacken. Dabei gemachte Erkenntnisse fließen in die Entwicklungsmethoden des Unternehmens ein, um solide Prozesse zu gewährleisten.

Aus beiden Aktivitäten (digitale Zertifikate und Testlabor) ergibt sich ein produktives Spannungsverhältnis zwischen Vertrauensaufbau und systematischer Überprüfung der Vertrauensgrundlagen: Nur nach Prüfung der digitalen Signatur darf zum Beispiel neue Software (Patch) aufgespielt werden. Die wechselseitige Authentifizierung von Backend und Fahrzeug ist für beide Seiten wichtig, denn die Sicherheit des Backends ist auch abhängig von der Sicherheit des Fahrzeugs. Sicherheit ist grundsätzlich ein dynamischer Prozess, der immer weiter geht. Alle Sicherheitslücken, die es gibt, müssen gefunden werden. Fehler können auf keinen Fall toleriert werden.

Voraussetzungen für Sicherheit

Wenn man bedenkt, welche Tragweite drahtlose Software-Updates haben können, so zeigt sich, wie zwingend ein ganzheitliches Sicherheitssystem ist: Erforderlich sind nicht „nur“ Updates zur Fehlerbehebung und Verbesserung von Funktionen. Auch Sicherheitsfunktionen und selbst die Kryptographie müssen auf den neuesten Stand gebracht werden können. Will man gerechtfertigtes Vertrauen in ständige Konnektivität schaffen, so gehören dazu fünf Bausteine:

  • Die Kommunikation innerhalb des Fahrzeugs sowie zwischen Fahrzeug und Umwelt muss sicher sein (Internet, V2X).
  • Die Speicherung von sicherheitsrelevanten Informationen wie Zertifikate, die für den Zugang zu ECU erforderlich sind, muss abgesichert sein.
  • Prozesse wie Software-Updates über Luftschnittstelle, der Bootvorgang, das Flashen und Debuggen müssen gegen Manipulation sowie nicht autorisierte Quellen und Anforderungen geschützt werden.
  • Der Zugang muss gesichert sein, indem sichergestellt wird, dass nur autorisierte Quellen mit dem Fahrzeug kommunizieren können und nur auf berechtigte Anforderungen eingegangen wird. Neue Funktionen dürfen nur von berechtigten und authentifizierten Quellen angenommen werden.
  • Die Privatsphäre des Fahrers muss sichergestellt sein, indem das Fahrzeug durch dynamische IDs und Pseudonyme weder auffindbar noch identifizierbar gemacht wird.

Auf der nächsten Seite geht es um ein ganzheitliches Sicherheitssystem.

Seite 1 von 212