Ein aktuelles Fahrzeug kann bis zu 80 Kleinrechner enthalten, die besser unter dem Begriff ECU (Electronic Control Unit) oder Steuergerät bekannt sind. Über die Programmierbarkeit dieser Embedded-Systeme sind schnelle Innovationszyklen möglich, indem aufwändige und langsame Entwicklungszyklen für Hardware durch eine Softwareentwicklung ersetzt werden. Diese kann komplexe Funktionen in Fahrzeugen vergleichsweise schnell realisieren. Damit ist auch die Möglichkeit gegeben, diese Funktion im Nachhinein zu ändern, sei es in der Werkstatt oder in Zukunft auch über Fernwartungszugänge.

22274.jpg

Bilder: Secunet Security Networks

Neben dem Einsatz von Software im Fahrzeug trägt ein weiteres Merkmal moderner Autos zur stetigen Funktionsmehrung und Erhöhung der Sicherheit bei. Durch die Vernetzung der einzelnen ECUs über Fahrzeugbusse können Funktionen auf alle Informationen zugreifen, die Fahrzeuge aus ihrer Umwelt über Sensoren aufnehmen. Damit sind Funktionen wie ABS oder ESP kosteneffizient realisierbar, aber auch fortgeschrittene Fahrerassistenzsysteme wie etwa das selbstständige Bremsen im unteren Geschwindigkeitsbereich, wenn Personen auf die Fahrbahn laufen, oder Spurhalte-assistenten.

Moderne Fahrzeuge stellen somit ein mobiles Netzwerk dar, über das eine Vielzahl von Software-Anwendungen miteinander kommuniziert. Für diese Software stehen per OBD standardisierte Wartungszugänge zur Verfügung, über die Tester lokal eine Fahrzeugdiagnose sowie Programmierungen vornehmen können. In der Vergangenheit waren diese Bordnetze nicht mit ihrer Umwelt verbunden, mit dem Trend zum vernetzten Fahrzeug hat sich diese Situation grundlegend gewandelt.

Anbindung des Fahrzeugs an Internet und App-Stores

Immer mehr Fernwartungszugänge halten als Ergänzung zum oben genannten OBD-Zugang Einzug in die Fahrzeugwelt, um Daten aus dem Fahrzeug auszulesen und dem Fahrer oder einer Werkstatt auch ohne physikalischen Zugang zum Fahrzeug Informationen über den Zustand des Fahrzeugs zu liefern. Bereits heute diskutieren die Experten in der Automobilindustrie Konzepte, wie in Zukunft auch eine Fernprogrammierung des Fahrzeugs sicher möglich ist, um beispielsweise Wartungsarbeiten an der Software vornehmen zu können – ein Vorgang, der heutzutage jedem durch das Einspielen von Updates auf seinen Computer geläufig ist.

Im Streben nach neuen differenzierenden Funktionen sowie durch EU-seitige Vorgaben macht die Vernetzung des Fahrzeugs auch vor externen Quellen nicht Halt. So werden zukünftige Fahrzeuge safety-relevante Fahrdaten mit Hilfe der so genannten Car-to-Car- oder Car-to-Infrastructure-Kommunikation mit anderen Kommunikationspartnern austauschen, um ein noch weiter reichendes Bild vom aktuellen Zustand seiner Umwelt zu erhalten und dadurch noch sensibler und umfassender als bisher auf mögliche kritische Fahrsituationen vorbereitet zu sein.

Außerdem halten auch das Internet und die Anbindung des Fahrzeugs an App-Stores Einzug in die Automobilwelt. Durch den Einsatz von Browsern, Widgets, die Einbindung von Consumer-Electronic-Geräten wie Smartphones und Tablet-PCs sowie durch das Einspielen von Apps in ein Infotainment-Steuergerät selbst stehen einem Fahrzeughersteller nahezu unbegrenzte Ressourcen für die Entwicklung von Funktionen zur Verfügung. VW und die Deutsche Telekom haben dies durch ihre Wettbewerbe „App my ride“ und „Telekom App Award“ praktisch gezeigt. Daneben existieren noch Consumer-Schnittstellen wie etwa USB oder Bluetooth, um Geräte wie USB-Sticks oder Smartphones an das Fahrzeug anzuschließen. Zukünftige Fahrzeuge werden also eine Vielzahl an Zugängen besitzen, über die Daten ins Fahrzeug gelangen können.

Herausforderungen für Bordnetze

Bei Fernwartungszugängen muss für das Bordnetz in erster Linie sichergestellt sein, dass die Quelle der Daten und Dienste vertrauenswürdig ist, denn auf Basis einer solchen Entscheidung werden die entsprechenden Informationen an andere Steuergeräte im Bordnetz weitergeleitet. Da es sich dabei auch um Programmiervorgänge von anderen Steuergeräten handeln kann, ist unmittelbar klar, dass die sichere Authentifizierung der Wartungssysteme und der Signatur der Steuergerätesoftware dazu beiträgt, eine Beeinträchtigung der Safety des Fahrzeugs, beispielsweise durch eine
manipulierte Software etwa in einem Fahrwerkssteuergerät, zu vermeiden.

Soll die Fernwartungsverbindung über öffentliche TCP/IP-Verbindungen (Online-Verbindungen) erfolgen, so muss zusätzlich gewährleistet werden, dass über die öffentlich sichtbare IP-Adresse kein unberechtigter Zugriff auf die Bordnetze erfolgen kann, um eine Manipulation von Fahrzeugfunktionen – insbesondere von safety-relevanten Funktionen –  zu verhindern.

Ähnliches gilt für Ad-hoc-Verbindungen zwischen Fahrzeugen bei der Car-to-Car-Kommunikation. Auch hier gilt, dass Fahrzeuge prinzipiell kommunikationsbereit sein müssen und somit auch für mögliche Angreifer ansprechbar sind. Gleichzeitig muss die Sicherstellung der Vertrauenswürdigkeit der Kommunikationspartner bei dieser Art der Verbindung sehr schnell erfolgen. Schließlich müssen sensible Informationen wie etwa die Warnung vor einem Stauende einem entgegenkommenden Fahrzeug zeitnah zur Verfügung gestellt werden.

Durch die Sicherstellung der Authentizität von Daten kann in vielen Fällen implizit auf die Vertrauenswürdigkeit des Inhalts der Daten geschlossen werden. Das heißt, dass zum Beispiel im Fahrzeug die korrekte Funktion einer in der Werkstatt aufgespielten Steuergerätesoftware nicht mehr lokal im Steuergerät nachgewiesen werden muss.

In Zukunft werden aber speziell im Bereich des Infotainments nicht mehr alle Applikationen, die über das Internet in ein Fahrzeug geladen werden können, so intensiv und ausführlich getestet werden, wie es heute für Fahrzeug-Software bei den OEMs üblich ist. Im Extremfall kann es sich dabei um komplett unbekannte Applikationen handeln. Damit können Applikationen Hintertüren oder Exploits enthalten, die dann wiederum Sicherheitslücken der Betriebssysteme der Infotainment-ECUs ausnutzen können, um auf die Bordnetze und damit safety-relevante Bereiche des Fahrzeugs Einfluss zu nehmen. Die Software eines Infotainment-Systems könnte somit wie ein Heim-PC Schadsoftware aus dem Internet ausgesetzt sein. Aufgrund der eingangs erwähnten Vernetzung der Steuergeräte im Bordnetz könnten diese Angriffe daher auch fahrkritische Systeme erreichen.

Vielfältige Angriffsmöglichkeiten

Die Fahrzeugzugänge werden über Standardschnittstellen wie USB oder WiFi hergestellt, die einer breiten Hacker-Gemeinde bekannt sind. Die Möglichkeiten, Schadcode auf das Fahrzeug wirken zu lassen, reichen von Browsern (Cloud-Plattform), die Internet-Dienste ins Fahrzeug bringen können, über die Anbindung von mobilen Endgeräten wie Smartphones oder Tablet-PCs bis hin zu Embedded-
Lösungen im Fahrzeug, die eine Möglichkeit bieten, Applikationen ins Fahrzeug herunterzuladen und dort auszuführen.

Sicherheitsziele im Fahrzeug

Um auf solche Szenarien optimal vorbereitet zu sein, müssen demnach die folgenden Sicherheitsziele im Fahrzeug erfüllt sein:

Schutz der Integrität des Bordnetzes, um die Safety des Fahrzeugs zu jedem Zeitpunkt zu gewährleisten.

Schutz der Vertraulichkeit persönlicher Daten, um Angreifer nicht in die Lage zu versetzen, durch fahrzeugbezogene Daten auf Personen oder deren Verhalten schließen zu können.

Schutz der Verfügbarkeit der Plattform, um das Image und die Akzeptanz einer Infotainment-Plattform nicht zu gefährden.

Anforderungen an die Steuergeräte

Daraus abgeleitet ergeben sich die folgenden Herausforderungen, die von jedem Steuergerät abgedeckt werden müssen, das eine Verbindung mit fahrzeugexternen Systemen aufnimmt:

Sichere und schnelle Feststellung der Vertrauenswürdigkeit von Datenquellen.

Sichere Kontrolle des Informationsflusses von der externen Quelle auf die Bussysteme des Bordnetzes, so dass die Safety des Fahrzeugs nicht kompromittiert werden kann.

Dabei bedeutet sicher, dass eine Manipulation der entsprechenden Security-Mechanismen durch die externen Datenquellen ausgeschlossen ist und die Grenze zwischen Bussystemen und externen Datenquellen nicht umgangen werden kann.

Wie oben dargestellt wurde, sind davon alle Geräte im Fahrzeug betroffen, die Internetzugänge bereitstellen, externe Daten verarbeiten und USB- oder Bluetooth-Schnittstellen bereitstellen. Beispiele sind etwa Head Unit, also Radios, die MP3-Files abspielen, Video-Steuergeräte, die einen Stream anzeigen, und Gateways, die eine Verbindung zum Internet aufbauen oder Car-to-Car-Verbindungen entgegennehmen. Bild 1

Bild 1: Verteilung der Sicherheitsmechanismen in Bordnetzen.

Bild 1: Verteilung der Sicherheitsmechanismen in Bordnetzen.

zeigt, an welchen Stellen im Bordnetz Sicherungsmaßnahmen umgesetzt werden müssen.

Um hier kosteneffektiv zu arbeiten, ergibt sich also zusätzlich zu den Security-Herausforderungen die Forderung, Verifikationsressourcen effektiv einzusetzen.

Entwicklungsansätze für zukünftige Bordnetze

Die oben genannten Schutzziele können technisch in jedem einzelnen Steuergerät umgesetzt werden. Insbesondere der letztgenannte Gesichtspunkt der Kosteneffizienz führt allerdings dazu, dass aus den Sicherheitszielen auch Wechselwirkungen mit dem Architekturdesign zukünftiger Bordnetze entstehen. In einem ersten Schritt kann die eigentliche Funktion eines Steuergeräts, das mit externen Datenquellen verbunden ist, von der Funktion der Überprüfung der Vertrauenswürdigkeit der Datenquellen unterschieden werden. Damit ist es möglich, solche Prüffunktionen zentral auf einem geeigneten Steuer-gerät vorzuhalten, so dass beispielsweise ein und die selbe Routine die Signaturprüfung von Software für eine Fernwartung sowie die Signaturprüfung von Car-to-Car-Daten berechnen kann. Auf diese Weise müssen die Rechenleistung und der Speicher für diese Routinen nur einmal im Bordnetz vorhanden sein. Im Gegenzug stellt ein solches Steuergerät dann alle externen Zugänge zur Verfügung. Damit spielt ein derartiges Steuergerät die Rolle eines Burgwächters an einem Tor. Es gewährleistet ein kontrolliertes und intelligentes Routen von Informationen im Bordnetz. Auf diese Weise kann sichergestellt werden, dass Informationen von außen auch nur diejenigen Steuergeräte erreichen, die diese auch verarbeiten können. So würde etwa verhindert, dass über einen USB-Anschluss MP3-Daten an andere Steuergeräte als den Media-Player geschickt werden.

In einem derartigen Ansatz verbleibt dann beim einzelnen Steuer-gerät die oben genannte Aufgabe, sicherzustellen, dass manipulierte Daten keinen unkontrollierten Datenfluss auf die Bussysteme des Bordnetzes verursachen können. Dass ein solches Szenario realistisch ist, zeigen die jüngsten Arbeiten der Forschergruppe aus San Diego und Washington, die bereits 2010 demonstriert haben, wie sich insbesondere fehlende Authentisierungsmechanismen auf die Safety von Fahrzeugen auswirken können. Per InfoDirect gelangen Sie bequem zu den Ergebnissen dieser Arbeiten.

In einem nächsten Schritt lassen sich alle Anwendungen, die externe Informationen verarbeiten, ebenfalls zentralisieren, beispielsweise auf dem zuvor genannten Zugangssteuergerät. Damit wird die Aufgabe, einen kontrollierten Datenfluss in Bordnetze zu gewährleisten, ebenfalls zentralisiert

Bild 2: Zentralisierter Sicherheitsmechanismus

Bild 2: Zentralisierter Sicherheitsmechanismus

und somit eine weitere Möglichkeit genutzt, notwendige Rechenleistung und Speicher im Bordnetz zu optimieren (Bild 2).

Umsetzung und Ausblick

Bei der Umsetzung des oben vorgestellten Ansatzes ergibt sich nun die Situation, dass durch die Zentralisierung von Funktionen die Anforderungen der verschiedenen Fahrzeugdomänen wie etwa Fahrwerk, Antrieb oder Karosserie auf einer Hardware abgebildet werden müssen. Ein technologischer Ansatz hierfür sind so genannte Separation-Kernel. Dabei handelt es sich um Betriebssysteme mit extrem kleiner Code-Basis, mit denen sich die unterschiedlichen Funktionen so voneinander abkapseln lassen, dass hier keine gegenseitige Beeinflussung möglich ist. Diese Eigenschaft ermöglicht es auch, von den Fahrzeugfunktionen unabhängige Authentisierungs- und Überwachungsfunktionen einzuführen, die eine sichere Authentifizierung der Quellen von externen Informationen und eine kontrollierte Weiterleitung von Informationen an das Bordnetz ermöglichen. Secunet hat eine solche Lösung aus dem Bereich des Fahrzeug-Infotainments bereits in seinem Beitrag „Ableitung von A-priori-Policies zum Schutz von Bordnetzen im Fahrzeug vor Angriffen aus dem Internet“ beschrieben. Den passenden Link hierzu erhalten Sie per InfoDirect.

Die hier vorgestellte Architektur eines Bordnetzes ist stark zen-tralisiert. Daher müssen die Entwickler der Ausfallsicherheit eines solchen Steuergeräts bei der praktischen Umsetzung besondere Aufmerksamkeit widmen und dabei auch die gemeinsame Nutzung von Rechenressourcen berücksichtigen. In diesem Zusammenhang müssen Fragestellungen wie beispielsweise die Verträglichkeit von zyklischen Signalen und eventgesteuerten Funktionen beantwortet werden. Außerdem heißt es, die gemeinsame sichere Nutzung von Graphikressourcen (HMI – Human Machine Interface) zu berücksichtigen.

Als mögliche Alternative bietet es sich hier an, die Zentralisierung von Zugängen und die Aufgaben der sicheren Authentifizierung von Datenquellen sowie des sicheren und kontrollierten Weiterleitens von Informationen ins Bordnetz auf ausgewählte Gateways zwischen den Domänen zu verteilen, um so insbesondere die unterschiedlichen Anforderungen der einzelnen Fahrzeugdomänen zu entflechten. (av)