Mit der bevorstehenden Evolution des Straßenverkehrs hin zu voll autonomen Fahrzeugen entwickelt sich das Auto zunehmend von einem Transportmittel zu einem personalisierten Informationsknotenpunkt. Mit den immer zahlreicheren und mit der Fahrumgebung verbundenen Unterhaltungsmöglichkeiten und Sicherheitssystemen in einem Kfz steigen auch die Anforderungen an die schnelle Verarbeitung der wachsenden Datenmengen. Aber Rundum-Radarerfassung, permanente V2X-Kommunikation, Premium Infotainment, ADAS und Co. erhöhen nicht nur das Datenaufkommen. Parallel zu den gestiegenen Leistungsanforderungen wird durch die dauerhafte Vernetzung vieler unterschiedlicher Komponenten untereinander und mit der Verkehrsinfrastruktur gleichzeitig der Schutz der gesamten Fahrzeug-IT vor Cyber-Attacken immer wichtiger.

Eck-DATEN

Die enorme Datenmenge, die in autonom fahrenden Fahrzeugen künftig zu verarbeiten ist, erfordert nicht nur eine weitgehende Integration aller Systeme, sondern auch neue Sicherheitskonzepte zum Schutz gegen Fehlfunktionen aber auch zur Abwehr von Cyber-Angriffen.  NXP hat hierfür ein leistungsfähiges Breitband-Netzwerk entwickelt, das alle bisherigen Netzwerkprotokolle im Fahrzeug ersetzt und als Automotive Ethernet den künftigen Standard definiert.

Gestiegene Sicherheitsanforderungen

Das vollständig autonom fahrende Automobil wird zunehmend Realität. Sobald die technischen Voraussetzungen bei der hierfür notwendigen System-Hardware (CPU, GPU und Memory-Module) und der Verkehrsinfrastruktur erfüllt sind, sind entsprechende Fahrzeuge sogar binnen weniger Jahre in der Massenfertigung möglich. Die dazu nötige Integration einer Vielzahl von Infotainment- und anderer mobiler Dienstleistungen sowie die interaktive Kommunikation mit anderen Fahrzeugen und der jeweiligen Umgebung (V2X) definiert im Prinzip die Autoindustrie neu. Da hierbei pro Fahrzeug zukünftig teilweise Hunderte von einzelnen Nachrichten pro Sekunde zu verarbeiten sind, ist eine drastische Erhöhung des bisherigen Leistungsniveaus der Datenverarbeitung und der Sicherheitsinfrastruktur der einzelnen Automobile erforderlich.

Mithilfe von V2X-Technologien können Fahrzeuge Warnmeldungen empfangen.

Mithilfe von V2X-Technologien können Fahrzeuge Warnmeldungen empfangen. NXP

In Zukunft müssen Hersteller ihre vernetzten autonomen Fahrzeuge aber nicht nur mit allen denkbaren technischen Möglichkeiten und Annehmlichkeiten ausstatten, sondern sie gleichzeitig auf einer Vielzahl von Sicherheitsebenen und in den jeweiligen IT-Komponenten vor Cyber-Angriffen schützen. Hier kommen zunehmend Lösungen aus IT und Telekommunikation ins Spiel, die vergleichsweise neu für den Automobilsektor sind. Zu diesen neuen Technologien gehören beispielsweise der Einsatz von mehrstufigen Firewalls, Verschlüsselungs- und Authentifizierungsverfahren sowie sichere Software-Updates über das Internet.

Staffelung der Sicherheitskomponenten

Die meisten Hackerangriffe auf Fahrzeuge laufen nach klaren Schritten ab. Als erstes suchen Angreifer in der Regel nach einer Schwachstelle in einem System mit Fernzugriff. Wenn sich ein Angreifer dann beispielsweise Zugriff zur Telematikeinheit eines Autos verschafft hat, versucht er von dort auf andere vernetzte Komponenten zuzugreifen. Der Diebstahl von personenbezogenen Daten oder die Erstellung eines Bewegungsprofils sind dabei nur ein Teil der Probleme. Gelingt es einem Angreifer etwa die Kontrolle über eine ECU (Electronic Control Unit) für die Bremsen, die Motorensteuerung oder den Tempomat zu übernehmen, wird die reale Gefahr für die Verkehrsteilnehmer und die Brisanz einer Attacke überdeutlich. Entsprechend sind bei der Entwicklung einer elektronischen Fahrzeuginfrastruktur alle denkbaren Bedrohungen einschließlich ihres potenziellen Schadens sowie die tatsächliche Verwundbarkeit eines IT-Bausteins gegenüber einer Attacke zu bedenken. Da Hacker immer nach Schwachstellen suchen, müssen alle Bereiche gleich gut gesichert sein, um keine ungesicherten Hintertüren offen zu lassen. Nach erfolgter Schwachstellenanalyse sind sinnvolle Gegenmaßnahmen und deren Implementierung zu definieren. Dies ergibt einen Plan auf Systemebene, um Risiken zu eliminieren. Bei der strukturierten Evaluierung gängiger Bedrohungen helfen standardisierte Methoden wie beispielsweise das STRIDE-System von Microsoft.

Zu den bewährten Verteidigungsmechanismen in vernetzten Fahrzeugen gehört es, verschiedene mehrstufige Sicherheitstechnologien und -techniken zu nutzen, um zu verhindern, dass Einzellösungen überlistet oder umgangen werden. Gleichzeitig erfolgt der Schutz der gesamten Connectivity- und IT-Infrastruktur autonom fahrender Fahrzeuge auf mehreren Ebenen und mit hinter- und nebeneinander arbeitenden Sicherheitslösungen. Im obigen Beispiel müsste man etwa nicht nur das Telematikmodul gegen den Angriff abschirmen, sondern auch die verbundenen Einzelkomponenten der Fahrzeug-IT hätten einen separaten Schutzschild benötigt. Dies geschieht beispielsweise indem man systemkritische ECUs von nicht sicherheitsrelevanten Einheiten isoliert betreibt und die jeweiligen Netzwerke des Autos durch einen Gateway mit Firewalls schützt.

Über die V2X-Kommunikationslösung tauschen Fahrzeuge Daten untereinander und mit der Infrastruktur aus.

Über die V2X-Kommunikationslösung tauschen Fahrzeuge Daten untereinander und mit der Infrastruktur aus. NXP

Externe Schnittstellen

Physikalische Schnittstellen wie etwa der Anschluss eines Diagnosegeräts sind zwar der einfachste Weg in das digitale Herz eines Autos, aber gleichzeitig aufgrund ihrer Platzierung im Fahrzeuginneren relativ gut vor unbefugten Zugriffen geschützt. Zudem ist die Diagnoseschnittstelle eines Fahrzeugs nur manuell lokal erreichbar und es lassen sich keine Attacken auf ganze Fahrzeugflotten durchführen. Für voll autonomes Fahren ist jedoch zukünftig die Verknüpfung der Automobile mittels externer, drahtloser Schnittstellen mit der relevanten Verkehrsinfrastruktur, anderen Verkehrsteilnehmern und der Cloud erforderlich. Der Fokus der meisten Hackerangriffe und damit das größte Risiko für vernetzte Fahrzeuge liegen daher in der wachsenden Anzahl an drahtlosen externen Kommunikationskanälen. Werden diese kompromittiert, können digitale Angreifer die internen Systeme eines Autos auch aus der Ferne attackieren und sorgen so für eine ganz neue Bedrohungslage. Autohersteller müssen daher, im Gegensatz zu früher, bei der Absicherung ihrer Fahrzeuge erheblich weiter planen als nur bis zum physischen Schutz der Karosserie.

Zur ganzheitlichen Absicherung autonomer Fahrzeuge muss man insbesondere die externen Schnittstellen schützen. Hierzu ist es zum Beispiel notwendig, alle offenen Kommunikationswege durch eine dynamische PKI-Verschlüsselung gegen Missbrauch zu sichern. Gleichzeitig muss man auch die Manipulation von Datenbeständen oder Befehlen verhindern. Dies geschieht durch Authentifizierung der Integrität aller übertragenen Daten und Kommandos. Um unerlaubte Zugriffe bestmöglich auszuschließen, müssen sich auch alle miteinander verbundenen Endgeräte gegenseitig verifizieren. Dies stellt sicher, dass nur dafür vorgesehene Kommunikationspartner miteinander verbunden werden. All diese Techniken kommen zum Beispiel bei V2X-Kommunikationslösungen (Vehicle to Vehicle & Vehicle to Infrastructure) von NXP zum Einsatz. So ist in der IEEE 802.11p bereits eine entsprechend leistungsfähige drahtlose Kommunikationsumgebung für Fahrzeugumgebungen standardisiert, die ab 2017 in Serienfahrzeugen verfügbar sein wird.

Fahrzeuginternes Netzwerk

Der Schutz der drahtlosen Schnittstellen des Autos ist systemkritisch für alle vernetzten Fahrzeuge, insbesondere für die autonom fahrenden. Darüber hinaus müssen aber auch die drahtgebundenen Interfaces zum und im Auto einen optimalen Schutz erhalten, denn es lässt sich natürlich nicht vollständig ausschließen, dass Angreifer auch über solche Interfaces versuchen, Zugriff zum Fahrzeugnetzwerk zu erhalten. Dies kann beispielsweise erfolgen, indem ein vertrauenswürdiges externes Endgerät übernommen oder nachgeahmt wird. Die nächste Sicherheitsebene ist daher folgerichtig das interne Datennetzwerk. Dieses stellt gewissermaßen das Nervensystem der Fahrzeug-IT dar und verbindet sowohl die externen Endgeräte mit der Fahrzeugelektronik als auch die einzelnen Steuergeräte (ECU) untereinander. Wie bei den Schnittstellen sind auch im Netzwerk alle sicherheitsrelevanten Daten zu verschlüsseln sowie die zwischen den ECUs übertragenen Befehle zu authentifizieren, um Datenmissbrauch zu verhindern. Dies macht gleichzeitig Replay-Angriffe, also die Vortäuschung einer fremden Identität mittels früher aufgezeichneter Daten, innerhalb des Netzwerks unmöglich. Um Manipulationen der Fahrzeug-IT durch interne Attacken aus dem Netzwerk heraus unmöglich zu machen, sind die einzelnen ECUs physisch oder logisch voneinander zu trennen. Dies geschieht entweder durch Firewalls oder durch separate Subnetzwerke. Die Sicherheit des internen Fahrzeugnetzwerkes lässt sich außerdem weiter erhöhen durch die zusätzliche Authentifizierung der ECUs bei jedem Anlassen des Motors und in unregelmäßigen Abständen während des Betriebs.

Die V2X-Technologie hilft, Staus und Stillstand zu vermeiden.

Die V2X-Technologie hilft, Staus und Stillstand zu vermeiden. NXP

Die Umsetzung dieser erhöhten Sicherheitsanforderungen und die schiere Größe der zukünftigen Datenmenge, die beispielsweise die digitale 360°-Verkehrsüberwachung und die daraus resultierenden Anwendungen erzeugen, erfordern ein sehr leistungsfähiges Datennetzwerk im Fahrzeug. Um diesen Anforderungen gerecht werden zu können, hat NXP zusammen mit anderen führenden IT- und Automobilunternehmen die Open Alliance Special Interest Group gegründet und mit Automotive Ethernet den zukünftigen Standard für Breitbanddatennutzung in Fahrzeugen definiert und entwickelt. Dieses Protokoll für Breitband-IVNs (In-Vehicle-Networks) kann alle bisherigen Netzwerkprotokolle ersetzen und bietet neben hohen Übertragungsraten zahlreiche Vorteile gegenüber anderen Netzwerktechnologien. Automotive Ethernet verwendet beispielsweise nur ein einzelnes, ungeschirmtes Twisted-Pair-Kabel für die bidirektionale Kommunikation und spart so Gewicht und Kosten. Es ist robust genug für die im Fahrzeug geforderten Temperaturen und erfüllt sämtliche aktuellen Anforderungen an die elektromagnetische Verträglichkeit (EMV).

Electronic Control Units

Wenn die Schnittstellen und internen Netzwerke gesichert sind, muss man als nächstes die einzelnen Rechenzentren des Fahrzeugs, die ECUs, schützen. Diese erzeugen, verknüpfen und verwalten riesige Datenmengen, und sind daher ein verlockendes Ziel für Angreifer. Neben dem Diebstahl von Daten besteht bei den Steuergeräten natürlich die Gefahr, dass Angreifer Fehlfunktionen auslösen können. Abhilfe wird hier geschaffen, indem man sowohl Programm-Codes als auch Daten innerhalb der Speicher verschlüsselt und regelmäßig auf Manipulation überprüft.

In modernen Kraftfahrzeugen sind mehr als hundert ECUs verbaut, die gemeinsam alle elektronischen Abläufe im Auto steuern und überwachen. Manipulationen an der Steuer-Software einer ECU lassen sich durch Verwendung von Secure-Boot-Mechanismen verhindern. Werden auf einem ECU-Chipsatz multiple Softwareanwendungen parallel ausgeführt, müssen diese, etwa durch Virtualisierungstechniken, voneinander isoliert arbeiten, um so zu verhindern, dass ein kompromittierter Speicher-Stack für andere Anwendungen zum Problem wird.

Eine Schlüsselrolle bei der Verwaltung und Absicherung der ECUs kommt dem zentralen Gateway zu. Er schirmt nicht nur mit einer Firewall unterschiedliche Netzwerkbereiche voneinander ab, sondern überwacht als Router der im Netzwerk übermittelten Nachrichten auch deren Legitimität, bevor er sie an die verschiedenen Domains und Subnetzwerke weiterleitet.

Firmware-Management und Patches

Eine besondere Herausforderung in modernen, vernetzten Fahrzeugen ist der Bedarf an nachträglichen Updates und Patches für die Steuergeräte. Moderne Fahrzeuge enthalten heute bereits rund 100 Millionen Zeilen Code, mit stark steigender Tendenz. Es ist völlig unmöglich, derartig komplexe Systeme stets völlig fehlerfrei zu gestalten. Security erfordert immer auch eine Update-Möglichkeit, um die Systeme auf der Höhe der Zeit zu halten und bei Bedrohungen auch reagieren zu können. Gleichzeitig werden Hardwarekomponenten modular wiederverwertet und multiple Software-Applikationen auf einer Recheneinheit zusammengefasst, die oft von verschiedenen Anbietern stammen und unterschiedlich kritisch für die Systemsicherheit sind. Entsprechend zeigen sich Schwachstellen in der IT-Sicherheit eines Fahrzeugs manchmal erst einige Zeit nach dessen Auslieferung.

Im schlimmsten Fall kann eine Lücke in der Hard- oder Softwaresicherheit nicht nur einzelne Fahrzeuge, sondern auch eine ganze Modellreihe beziehungsweise unterschiedliche Internet-basierte Endgeräte gleichzeitig betreffen. Und da ein vernetztes Fahrzeug ein hoch komplexes IT-System ist, können, etwa nach dem Einbau oder dem Austausch von Komponenten, auch hier immer wieder einmal auch sehr kurzfristig Patches nötig werden. Um in all diesen Fällen schnellstmöglich reagieren und stets den bestmöglichen Schutz des Autos gewährleisten zu können, müssen sichere Over-The-Air-Updates von Firmware und Applikationssoftware möglich sein.

Schlüsselverwaltung und variable Kryptografie

Für die kryptografische Sicherheit der Fahrzeug-IT und die Wahrung der Privatsphäre der Fahrzeuginsassen sind individuelle und einmalige PKI-basierte Geräteschlüssel notwendig. Diese sind während ihrer gesamten Einsatzzeit sicher zu verwalten und gegebenenfalls gegen neue auszutauschen. Zukünftig werden diese Schlüssel auch außerhalb der Fahrzeuge generiert werden und müssen von dort sicher (über die Cloud) in die einzelnen Fahrzeuge gelangen. Da Fahrzeuge in der Regel eine Lebensdauer von 15 Jahren haben, werden angesichts der nach wie vor hohen Entwicklungsgeschwindigkeit von IT-Technologien während dieser Zeit auch neue Algorithmen und größere Schlüssel nötig, um die Sicherheit des Fahrzeugnetzwerks dauerhaft zu gewährleisten.

Idealerweise sind also in kommenden Generationen autonom fahrender Autos bereits die Soft- und Hardware-Voraussetzungen für das Wachsen der Verschlüsselung angelegt, ansonsten bleibt über die Zeit nur der möglicherweise kostenintensive Austausch datentechnisch veralteter Steuergeräte.

Fazit

Autonomes Fahren wird in wenigen Jahren Realität sein und die aktuellen Anforderungen an Leistung und Sicherheit der Kommunikations- und Datenverarbeitungssysteme im Straßenverkehr und innerhalb der Fahrzeuge werden sich vervielfachen. Der notwendige Schutz der vernetzten und autonom fahrenden Fahrzeuge vor digitalen Angriffen wird zukünftig immer aufwendiger und teurer. Diese Investitionen stellen eine Art Grundlageninvestition dar, die mit den Risiken und möglichen Folgekosten einer erfolgreichen Cyberattacke auf ein Fahrzeug gegenzurechnen ist.

Für abgesichertes autonomes Fahren werden bereits heute die technologischen Voraussetzungen und Standards geschaffen. Wichtig ist hier eine Mischung hoch performanter Einzellösungen für jeden Teilbereich, die sich gleichzeitig in eine vielschichtige, redundante Sicherheitsstruktur mit stets gleichen Sicherheitsstufen auf höchstem Standard integrieren lassen. Und der Aufwand lohnt sich. Sollten die für autonomes Fahren notwendigen Technologien flächendeckend umgesetzt sein, werden Autofahrer und Umwelt von optimierten Verkehrsflüssen, reduzierten Abgasemissionen und niedrigeren Unfallzahlen profitieren, von denen wir heute nur träumen können.