Die Elektronik-Entwicklungsabteilungen in der Automobilbranche arbeiten derzeit an vielen Baustellen parallel, und die Entwicklungsleiter bei den OEMs sowie bei den Zulieferern wissen kaum noch, welche Projekte sie zuerst angehen sollen:  Fahrerassistenzsysteme erobern die (untere) Mittelklasse, fast jeder Kleinwagen enthält mittlerweile eine rein elektrische Servolenkung und ABS, ESP sowie elektronische Motorsteuerung sind sowieso schon Standard. Hinzu kommen die Komfortfunktionen vom „Park-Piepser“ bis zum Infotainment-System, wobei letzteres sogar – wie die CES in Las Vegas gezeigt hat –  in der Kleinwagenklasse eine Internet-Anbindung ermöglicht. Gleichzeitig sollen die Fahrzeuge per Car2x irgendwie, aber möglichst schon gestern, sinnvoll miteinander kommunizieren. All diese miteinander vernetzten Funktionalitäten sollen bei -25 °C genauso zuverlässig funktionieren wie bei +50 °C, bei der Lieferung des Neuwagens genauso wie nach acht Jahren. Hinzu kommen noch all die Funktionalitäten, die das Fahren in Premium-Fahrzeugen noch angenehmer machen. Parallel zu dieser Entwicklung stemmt die Branche gerade den Kraftakt „Elektromobilität“.

Security sorgt für den notwendigen Schutz, der beispielsweise im Rahmen der Safety erforderlich ist.

Security sorgt für den notwendigen Schutz, der beispielsweise im Rahmen der Safety erforderlich ist.Jakub Krechowicz – Fotolia.com

Auf Grund der Tatsache, dass wir diese technischen Herausforderungen offensichtlich im weltweiten Wettbewerbsumfeld ziemlich gut meistern und dazu auch das Marketing sowie das Branding stimmt, sind Fahrzeuge deutscher Hersteller auch im Ausland sehr beliebt, denn deutsche Fahrzeuge haben weltweit einen erstklassigen Ruf. Darüber dürfen wir uns freuen, aber darauf dürfen wir uns nicht ausruhen.

Konsequente Umsetzung der Safety

All diese Fahrzeuge wurden möglich, weil sämtliche Beteiligten entlang der Entwicklungs- und Verifikationskette auch konsequent das Motto „Safety First“ umgesetzt haben: So darf sich beispielsweise ein kamera- und radarbasiertes automatisches Notbremssystem nicht auf Grund eines Konstruktionsfehlers bei Tempo 200 und besten Wetterverhältnissen auf der rundum freien Autobahn auslösen, muss aber bei einer konkreten Gefahr stets rechtzeitig in Aktion treten. Die Bedeutung dieser Form der Sicherheit, die im Englischen „Safety“ genannt wird und auch als „Funktionale Sicherheit“ umschrieben werden könnte, haben die Verantwortlichen hierzulande bereits bestens in ihre Denkweise, ihre Organisationsstrukturen und Arbeitsabläufe integriert.

„Safety“ bedeutet, dass weder im normalen Betrieb noch bei vorhersehbaren Bedienungsfehlern oder missbräuchlicher Nutzung ein sicherheitskritischer Zustand auftreten darf, denn nur so lassen sich Personen-, Sach- oder Umweltschäden vermeiden. Rein systemtechnisch betrachtet muss das Embedded-System eine sehr hohe Verfügbarkeit haben, weil die funktionale Sicherheit an das Zeitverhalten gekoppelt ist. Wenn ein Notbremssystem zu spät auslöst, weil es noch mit irgendwelchen (anderen) Aufgaben beschäftigt war, dann erfüllt es die entsprechenden Safety-Kriterien nicht.

Security

Genau hier kommt mit der „Security“ der zweite Aspekt des deutschen Wortes „Sicherheit“ ins Spiel. Die Security umfasst drei Grundfunktionalitäten: zum einen die Sicherheit, dass die entsprechenden Daten auch vertraulich bleiben, zum anderen die Sicherheit, dass die Integrität der Daten innerhalb des Systems gewährleistet ist. Als dritter wesentlicher Punkt kommt die Authentizität hinzu. Ein Beispiel für Integrität und Authentizität: Wenn beispielsweise der Radarsensor keine Objekte in Fahrtrichtung meldet, dann muss das Steuergerät sich schließlich auch darauf verlassen können, dass die Daten stimmen (Integrität) und dass sie auch wirklich vom Radarsensor stammen (Authentizität). Damit Vertraulichkeit, Authentizität und Integrität gewahrt bleiben, müssen auch Manipulationen von außen ausgeschlossen werden – und hier kommt in den hochgradig vernetzten Fahrzeugen der klassische Security-Aspekt der Informationssicherheit ins Spiel, den wir schon von der Internet-Sicherheit her kennen. Außerdem: Wenn unerwünschte Softwareelemente ihr Unwesen im System treiben (und es beispielsweise mit irgendwelchen Aufgaben beschäftigen) ist die Verfügbarkeit nicht mehr gewährleistet.

Die neue Dimension der Security

Ein Embedded-System kann nur dann wirklich sicher sein, wenn seine Informationssicherheit und die entsprechende Datenintegrität auch wirklich gewährleistet sein können. Prinzipiell wissen wir aus den Bereichen Autoschlüssel, Wegfahrsperre, Tacho oder Motormanagement, dass Security wichtig ist, aber in den Fahrzeugen von morgen erlangt die Security-Problematik eine neue Dimension. Wenn die Fahrzeuge mit dem Internet und/oder anderen Fahrzeugen kommunizieren, dann gibt es ganz neue Einfallstore für eventuelle Manipulationen.

Die bisher in der Öffentlichkeit publik gewordenen Hacker-Manipulationen in Fahrzeugen sind aus der reinen Safety-Perspektive im Sinne der Sicherheit für Leib und Leben betrachtet noch relativ „harmlos“: Zwar könnte durch Manipulationen rund um die Autoschlüssel eventuell ein Diebstahl erfolgen, der vorgetäuschte Verkaufswert eines Fahrzeugs könnte durch Tacho-Manipulationen steigen, und wenn das Motorsteuergerät mit nicht autorisierten Daten „geflasht“ wird, dann kommt es im schlimmsten Fall zum Totalausfall des Motors beziehungsweise zu schlechten Abgaswerten; immerhin lässt sich das nicht autorisierte Flashen bei neueren Fahrzeugen mittlerweile meist nachweisen.

Security heißt mehr als nur der reine Schutz der Daten. Echte Security sorgt auch für die Integrität und Authentizität der Daten.

Security heißt mehr als nur der reine Schutz der Daten. Echte Security sorgt auch für die Integrität und Authentizität der Daten.Artsem Martysiuk – Fotolia.com

Safety nur mit Security

Aber wenn auf einmal böswillige Manipulationen an Bremsensteuerungen vorkommen sollten, wenn lebenswichtige Systeme ausfallen (oder deren Reaktion verzögert wird), dann erkennt man, dass Safety ohne Security nicht machbar ist. Selbst wenn niemand bei derartigen Manipulationen zu Schaden kommt, kann der Image-Verlust riesig sein – und Image-Verlust heißt fast immer „massive Umsatzeinbußen“. Man denke nur an die unberechtigten Behauptungen in Kalifornien vor einigen Jahren, dass angeblich bei einem bestimmten Fahrzeug das Gaspedal klemmte während die Bremse aussetzte. Obwohl die Behauptungen komplett falsch waren, schädigten sie ziemlich nachhaltig ein zuvor hervorragendes Marken-Image.

Mittlerweile geht es bei Sicherheits-Angriffen um mehr als nur den Versicherungswert des jeweils einzelnen Fahrzeugs. Anhänger von Verschwörungstheorien könnten sich jetzt gezielte Hacker-Angriffsszenarien auf neue Fahrzeuge ausmalen, mit denen die OEMs angreifbar würden. Wenn beispielsweise ein Hacker mit höherem Aufwand gezielt eine oder mehrere Schwachstellen in einem Volumenfahrzeug sucht und dann den Hersteller vor die Wahl stellt, entweder durch eine massenhafte Manipulation von Fahrzeugen des untersuchten Typs das Image dieses Herstellers zu schädigen oder gar zu zerstören, wenn der OEM nicht horrend hohe Tantiemen für „Beratungsdienstleistungen“ an den Hacker zahlt, dann ist das eine hochproblematische Situation. In der Mobilfunk-Branche gab es vor einigen Jahren Security-Problemfälle mit vergleichbarem „Geschäftsmodell“, die von einem Tag auf den anderen aus dem Rampenlicht verschwanden.

Security von Anfang an verankern

Die Problematik beginnt schon viel früher: Wenn im Rahmen von kriminellen, aber monetär interessanten Manipulationen wie Chip-Tuning, Tacho-Manipulation etc. durch Zufall ein Fehler ins System gelangt, der auf den ersten Blick nicht erkennbar ist, kann dennoch die Datenintegrität der gesamten Assistenzsysteme gefährdet sein, denn welcher rein gewinnorientierte Hacker führt eine ordentliche Restbussimulation mit den passenden Testserien durch?

Wenn zum Beispiel Kurvenradien vom Navi als Input für die Fahrerassistenz dienen, um bei Bedarf in das Fahrgeschehen einzugreifen, dann geht es um harte Safety-Kriterien. Andererseits ist das Navi als Teil des Infotainments derzeit nicht gerade ein Hochsicherheitstrakt.

Auch mit dem Einzug von Autosar ins Auto wird der Security-Aspekt immer wichtiger.

Security-Special

In der Ausgabe 1 der AUTOMOBIL-ELEKTRONIK werden wir die Leser ausführlich über diverse Aspekte der Security und deren Umsetzung im Auto beziehungsweise im Automobil-Design-Prozess informieren.

Die ersten programmierbaren Systeme im Fahrzeug konnten die Ingenieure noch als relativ eigenständige Geräte entwickeln, aber mit zunehmender Komplexität und Vernetzung stiegen die Anforderungen an die Systemarchitektur, so dass die Entwicklung auf ein integrales systematisch-methodisches und strukturiertes Software-Engineering umgestellt werden musste. Analog hierzu können wir auf die umfassende Beachtung des Security-Aspekts im Gesamtsystem Fahrzeug (nicht nur in „safety-critical“ Teilsystemen) schon bald nicht mehr verzichten.

Deshalb müssen wir die Systeme rundum sicher machen – sowohl in punkto Safety als auch in punkto Security. Das geht nur, wenn wir den Security-Gedanken genauso tief im Design-Prozess und im System verankern wie den Safety-Gedanken. Es ist wohl nur noch eine Frage der Zeit, bis wir analog zur ISO 26262 (Safety) auch die Security mit einer entsprechend standardisierten Vorgehensweisen und Methoden im Entwicklungsprozess verankern.

Obwohl bei der Implementation der Security in ein safety-critical System Paradigmen aufeinander prallen, sind die Zeiten, in denen wir unsere Anstrengungen allein auf die Safety beschränken konnten, endgültig vorbei, mit Sicherheit!