Mit dem allgemeinen Trend zur Vernetzung und den neuen Möglichkeiten des Internets der Dinge (IoT) stehen auch die Automobilhersteller vor der Notwendigkeit, ihre Fahrzeuge auf breiter Front netzwerktauglich zu machen. Autofahrer wollen Musik vom Smartphone über die Lautsprecher des Autos hören, über eine Freisprechanlage telefonieren und gleichzeitig E-Mails oder andere wichtige Information auf dem Bildschirm in ihrem Fahrzeug sehen. Sie möchten, noch bevor sie sich ins Auto setzen, die Fahrzeugheizung oder Klimaanlage aktivieren und nach dem Losfahren das Garagentor schließen, ohne aus dem Auto auszusteigen. Aber nicht nur die Autofahrer sondern auch Hersteller und Zulieferer haben ein elementares Interesse daran, den Zustand ihrer Fahrzeuge zu überwachen und gegebenenfalls sogar per Fernzugriff Probleme zu beseitigen.

Benutzeroberfläche des Security-Portals von IBM.

Benutzeroberfläche des Security-Portals von IBM. IBM

Die vielen Funktionalitäten bergen eine ganze Reihe von Sicherheitsrisiken. Die Gefahren sind bekannt: Mehrfach haben inzwischen Auftragshacker bewiesen, dass manipulierte Systeme nicht nur den Diebstahlschutz aushebeln sondern im Extremfall dem Fahrer während der Fahrt die Steuerung entziehen, Bremsen betätigen oder den Motor abschalten können – ein Albtraum für jeden Autofahrer.

Es ist nur eine Frage der Zeit, bis solche Angriffe zu einer ernsthaften Bedrohung für das globale Transportsystem werden. Neben den Sicherheitsrisiken für das Auto selbst steht auch der Datenschutz für Fahrer und Insassen auf dem Spiel: Private Informationen auf Smartphones wie E-Mails, Textnachrichten oder andere persönliche Daten sind gefährdet, wenn Hacker darauf zugreifen. Einbrecher könnten beispielsweise per GPS die Position eines Fahrzeugs in Erfahrung bringen und diese Information nutzen, um zum geeigneten Zeitpunkt in die leer stehende Wohnung oder das Haus einzubrechen. Zu guter Letzt können entsprechende Schlagzeilen und Hacks der Akzeptanz von Fahrassistenzsystemen und des autonomen Fahrens einen empfindlichen Dämpfer verpassen.

Solche manipulativen Cyberangriffe sind oft schwer zu erkennen; sie sind komplex, verschachtelt, nutzen legitime Kommunikationswege und sind minimal invasiv. Das heißt auch, dass sie derzeit von berechtigten Zugriffen oft kaum zu unterscheiden sind.

Das Auto – ein verkapptes Rechenzentrum

Die oftmals über 100 ECUs eines Fahrzeugs, die meist von unterschiedlichen Herstellern stammen, enthalten Millionen Zeilen von Programmcode. Sie verarbeiten die Daten von hunderten Sensoren und bieten mehrere Schnittstellen zur Außenwelt für unterschiedliche Kommunikationsaufgaben wie Wi-Fi, Bluetooth, GSM und LTE. Das moderne Auto ist also mit einem kleinen Rechenzentrum durchaus vergleichbar.

Doch anders als bei einem Rechenzentrum fehlen hier – von wenigen Ausnahmen abgesehen – die üblichen Sicherheitsvorkehrungen: So gibt es bisher keine standardisierten Vorgehensweisen für schnelle automatisierte Software-Updates oder Notfall-Patches Over-the-air in den Fahrzeugen, um beispielsweise immer wieder auftretende Sicherheitslücken zu schließen. Ebenso fehlen Mechanismen, die direkt im Fahrzeug Missbrauch und potenzielle Angriffe erkennen und unterbinden. Fehlanzeige sind bisher auch sichere Identitäts-, Integritäts- und Authentifizierungschecks für Kommunikationspartner und im Netz ausgetauschte Nachrichten.

Monitoring-Karte auf dem Security-Portal von IBM.

Monitoring-Karte auf dem Security-Portal von IBM. IBM

Das kann dazu führen, dass Angreifer Fahrzeuge unbemerkt unter ihre Kontrolle bringen. Die spektakulären Automobil-Hacks schädigten in den letzten Monaten das Image von Automobilherstellern, verunsicherten die Kunden und führten zu teuren Rückrufaktionen, um Sicherheitsfunktionen in der Fahrzeugelektronik nachzurüsten oder zu ergänzen.

Das Thema ist aus Sicht von IBM beherrschbar, wenn Hersteller, Zulieferer und Integratoren rechtzeitig die richtigen Maßnahmen ergreifen. Dabei ist die Komplexität der Anforderungen hoch: Vom einzelnen Bauteil bis zur Integration unterschiedlicher Komponenten müssen neue Sicherheitskonzepte entwickelt werden. Automobilbauer und ihre Zulieferer betreten damit ein für sie zumindest teilweise neues Terrain. Sie müssen von der Designstudie über den Herstellungsprozess bis hin zu den Serviceleistungen nach dem Verkauf vollständig integrierte Sicherheitskonzepte entwickeln, die idealerweise den gesamten Lebenszyklus eines Fahrzeugs abdecken.

Beobachtung von Kommunikationsströmen

Ein zentraler Ansatzpunkt, um Angriffe in einem Fahrzeug zu verfolgen, ist die permanente Beobachtung von Kommunikationsströmen zwischen den IT-Systemen im Fahrzeug selbst, dem Fahrzeug und der Außenwelt sowie der Car-to-Car-Kommunikation. Das Ziel dabei ist es, zu erkennen, ob und an welcher Stelle Anomalien auftreten, die auf Angriffe, unerlaubte Zugriffe oder Manipulation hindeuten. Um hier die Spreu vom Weizen zu trennen, müssen alle Beteiligten gemeinsam zunächst Regeln für die Kommunikation festlegen, auf deren Basis Abweichungen dann auch erkannt werden können.

Die so definierten Regeln werden dann im Fahrzeug im Rahmen eines IDPS (Intrusion Detection and Prevention Systems, System zur Erkennung und Verhinderung/Blockierung von Angriffsmustern) angewandt. Noch ist das Zukunftsmusik, doch IBM arbeitet mit einigen Herstellern bereits an der Entwicklung derartiger Lösungen.

Ein solches im Fahrzeug verbautes IDPS überwacht die Kommunikation der betriebswichtigen Netzwerke und leitet festgestellte Anomalien direkt an ein Backend-System zur Auswertung weiter. Dieses neuartige backend-gestützte Monitoring- und Analysesystem korreliert und analysiert nicht nur eingehende Daten aus dem einzelnen Fahrzeug sondern auch von ganzen Flottenverbänden und integriert sie in einem System. Damit wird es möglich, ganz unterschiedliche Arten von Manipulationen oder Anomalien in den lokalen Fahrzeugnetzwerken ebenso wie in der Außenvernetzung des Fahrzeugs oder der ganzen Flotte schnell zu erkennen.

Das System ist ebenso in der Lage, auf definierte Bedrohungen selbstständig zu reagieren. Auf Grundlage dieser Erkenntnisse kann der Fahrzeughersteller dann gegebenenfalls Gegenmaßnahmen einleiten oder das Fahrzeug auch direkt still legen. Möglich ist es auch, Ursprung und Herkunft von Angriffen zu lokalisieren.

Trusted-Identities als unverzichtbarer Sicherheitsbaustein

Der Einsatz eines solchen Monitoring-Systems kann allerdings nur ein Baustein im Konstrukt einer umfassenden Sicherheitsarchitektur für vernetzte Fahrzeuge sein. Die Automobilhersteller müssen noch viel stärker umdenken und bereits in Planung und Entwicklung entlang der Wertschöpfungskette alle Kommunikationssysteme eines Fahrzeugs konsequent unter dem Sicherheitsaspekt betrachten.

Eckdaten

Intelligente und in Zukunft auch lernende Sicherheitslösungen sind in der Lage, Anomalien zu identifizieren, Muster zu erkennen und Korrelationen herzustellen, um so das Sicherheitsrisiko vernetzter Fahrzeuge maßgeblich zu reduzieren und dafür zu sorgen, dass Cyberattacken sich nicht zum automobilen Albtraum entwickeln.

Ein wesentlicher Sicherheitsaspekt der klassischen IT-Sicherheit ist dabei die Etablierung präventiver Maßnahmen – beispielsweise die Definition und Dokumentation von Zugriffskontrollen oder die Prüfung des Sicherheitszustands eines Systems. Die Erfahrung zeigt, dass es im Automotive-Bereich neben Problemen mit der physischen Sicherheit und der Netzwerksicherheit große Risiken im Hinblick auf die Integrität übertragener Daten sowie die Identifizierung und Authentifizierung von internen und externen Kommunikationspartnern im Netzwerk des Fahrzeuges gibt.

Damit dies zu jedem Zeitpunkt gewährleistet werden kann, muss die IT im Fahrzeug in der Lage sein, Nutzer und Kommunikationspartner wie Sensoren oder Funkschlüssel unzweifelhaft zu identifizieren und zu authentifizieren. Zudem muss das System wirksame Zugangskontrollen zu den Remote-Services sicherstellen. Dazu gehören beispielsweise die Start/Stopp-Automatik sowie das Öffnen und Schließen des Fahrzeugs. Es gilt darüber hinaus, sensible Daten wie GPS-Koordinaten oder andere persönliche Informationen, die Rückschlüsse auf den Fahrzeughalter zulassen, besonders zu schützen.

IBM arbeitet gemeinsam mit dem deutschen Hersteller Giesecke & Devrient (G&D) an einer Ende-zu-Ende-Sicherheitsarchitektur, die mit neuesten Verschlüsselungstechnologien sowohl den Datenfluss innerhalb des Fahrzeugs wie auch die mobile Verbindung mit Cloud-Diensten absichern kann. G&D hat dabei als erfahrener Hersteller von sicheren Chipkarten und Lösungen zur Absicherung digitaler Identitäten, auch im M2M-Bereich, die hohen Sicherheitsstandards aus dem Chipkarten-Umfeld in die Welt der vernetzten Mobilität übertragen.

Idealerweise werden die oben genannten Funktionen über ein „Secure Gateway ECU“ abgebildet, das als Drehscheibe einer sichereren Kommunikation sowohl innerhalb des Fahrzeugs als auch zu Cloud-Back-Ends fungiert. Im Laufe der Zeit soll dieses als Plattform-Lösung konzipierte Gateway weiterentwickelt werden, um weitere Sicherheitselemente einzubinden und um die bereits existierenden Kernfunktionalitäten noch besser zu nutzen. Die neue Plattform wird auf mehreren Lösungskomponenten basieren, die aus dem Bereich klassischer IT-Security kommen:

  • Das Gateway arbeitet auf Chipkartenebene mit gut geschützten Hardware-Elementen, die mit eingebetteten Sicherheitselementen, sogenannten „Embedded Secure Elements“ (eSE), ausgestattet sind. Die kryptographischen Schlüssel lagern dort innerhalb des Fahrzeugs in einem gesicherten und in hohem Maße manipulationsgeschützten zentralen Bereich. Bereits an dieser Stelle wird damit das Sicherheitsniveau merklich erhöht, sodass Fahrzeug-Hacks massiv erschwert werden.
  • Die Plattform ermöglicht zudem die Schlüsselerzeugung und das Product-Lifecycle-Management (Management über den gesamten Produkt-Lebenszyklus hinweg) in einem Schlüsselmanagement-Backend. Beides ist notwendig, um die Verfügbarkeit und Sicherheit verschlüsselter Informationen zu jedem Zeitpunkt zu gewährleisten. Dazu gehört auch die Verwaltung vertrauenswürdiger Nutzeridentitäten, sodass nur derjenige einen autorisierten Zugriff auf das Fahrzeug erhält, der dazu auch berechtigt ist. Diebstahl und Manipulationen am Auto durch nicht-autorisierte Dritte wird damit ein machtvoller Riegel vorgeschoben.
  • Die verwendeten SIM-Module (M2M-SIM-Karten) lassen sich zudem an die spezifischen Sicherheitseinstellungen eines Fahrzeugs anpassen und individuell für unterschiedliche Märkte konfigurieren. Über das SIM-Modul besteht auch die Möglichkeit, die drahtlose Verbindung zu Wartungsdienstleistern umzusetzen – ein Vorteil für die Fahrzeughersteller, die für unterschiedliche Länder und Sicherheitsstandards produzieren und dabei auch mit verschiedenen Mobilfunkbetreibern zusammenarbeiten müssen.

Sicherheitsrisiken auf allen Ebenen eliminieren

Verschlüsselung und Erkennung von Cyberangriffen auf Basis der Analyse von Anomalitäten sind eine äußerst effektive Kombination, um das vernetzte Fahrzeug wirksam zu überwachen, es vor Angriffen von außen (Over-the-air) zu schützen und das digitale Kapern eines Fahrzeugs zu verhindern; sie stellen einen zusätzlichen Schutz gegen gewöhnlichen physischen Diebstahl dar.

Bei der Umsetzung einer sicheren Kommunikationsinfrastruktur im vernetzten Fahrzeug ist es unerlässlich, das Thema Sicherheit schon im Design- und Entwicklungsprozess zu berücksichtigen. Von entscheidender Bedeutung ist dabei, nicht nur die Einzelsysteme (ECUs), sondern die gesamte Architektur eines vernetzten Fahrzeugs zu betrachten, um Schwachstellen auf allen Ebenen zu identifizieren und auszuräumen.

Das Automotive Solutions Center of Competence von IBM Deutschland empfiehlt dafür einen System-of-Systems-Ansatz, der das Thema Sicherheit über alle Bereiche des Engineerings hinweg ganzheitlich betrachtet und die Entwicklung von Software, elektrischen sowie mechanischen Komponenten mit einschließt. Vernetzte Automobile sind nämlich längst keine mechanischen Inseln mehr sondern ein aktives zusammenhängendes Netzwerk hochsensibler Kommunikationsteilnehmer mit vielen unterschiedlichen Funktionalitäten und Aufgaben, wobei die Teilnehmer von vielen verschiedenen Herstellern stammen.