Die Mobilität steht an einem Wendepunkt. Hochgradig vernetzte und automatisierte Fahrzeuge werden den Menschen zunehmend das Lenkrad aus der Hand nehmen. Das hochautomatisierte Fahren nach SAE-Level 3 (eyes-off) hält bereits Einzug in Oberklasse-Pkw. Das vollautomatisierte und autonome Fahren nach Level 4 und 5 (attention-off, driverless) kommt in Reichweite. Dann übernimmt das Fahrzeug – einen entsprechenden rechtlichen Rahmen vorausgesetzt – die Fahraufgabe weitgehend allein.
Entscheidend für Erfolg und Akzeptanz vollautomatisierter bzw. autonomer Fahrzeuge wird das jederzeit fehlerfreie Funktionieren ihrer softwarebasierten Systeme sein. Es gilt der Grundsatz: No Safety without Security. Denn die funktionale Sicherheit der Fahrzeugsysteme und damit der Schutz der Verkehrsteilnehmer reicht nur so weit, wie diese Systeme vor unerlaubtem Zugriff und Manipulation gefeit sind. Hochgradig automatisiertes Fahren bedarf folglich eines ganzheitlichen Automotive-Security-Ansatzes, der besonderes Augenmerk auf den Cyberschutz der automatisierten, autonom agierenden Fahrzeugsysteme richtet
Bei Cyberangriff in den „Secure State“
Zum Schutz ihrer Insassen und anderer Verkehrsteilnehmer sind Fahrzeuge in der Regel darauf ausgelegt, bei schwerwiegenden Fehlern in Safety-relevanten Komponenten in einen sicheren Zustand versetzt zu werden, den sogenannten „Safe State“: Das Fahrzeug wird zum Stillstand gebracht. Ein vollautomatisiertes bzw. autonomes Fahrzeug wird dabei nicht mehr die Kontrolle an den Fahrer übergeben, sondern es muss selbsttätig, kontrolliert und der Verkehrssituation angepasst zum Stehen kommen.
Analog dazu müssen im Falle eines Cyberangriffs die betroffenen Fahrzeugsysteme in einen „Secure State“ versetzt werden. In diesem führen sie entweder lediglich Grundfunktionen aus, die nicht sicherheitsbedrohend sind, oder sie werden auf sichere Weise ganz abgeschaltet. Das wiederum heißt: Sind Safety-kritische Fahrzeugsysteme von einem unerlaubten Zugriff betroffen, dann muss der Secure State automatisch auch den Safe State auslösen – das Fahrzeug muss sicher zum Stillstand kommen, bevor die Cyberattacke zu einem Kontrollverlust führt (Bild 1).
Mehrschichtiges Schutzkonzept
Effektive Vorsorge vor einer Manipulation der Safety-relevanten Funktionen indes bietet der Defense-in-Depth-Ansatz, der Security-Maßnahmen auf unterschiedlichen Ebenen im Fahrzeug und darüber hinaus vorsieht. Autonome Fahrzeuge verfügen zwangsläufig über hohe Konnektivität und müssen daher – idealerweise über mehrere „Verteidigungslinien“ hinweg – auf den Schutz vor Angriffen von außen hin konzipiert sein (Bild 2). Für das fahrzeuginterne Netzwerk empfiehlt sich daher:
- Minimierung der Zahl externer Kommunikationsschnittstellen – etwa über eine dedizierte Komponente zur Anbindung externer Systeme
- Absicherung der verbleibenden Schnittstellen über Kommunikationsprotokolle und Zugriffsschutzmechanismen auf Basis standardisierter kryptografischer Algorithmen sowie per Automotive Firewall, die nicht erlaubte Anfragen blockiert
- Strikte Abkapselung besonders sicherheitskritischer Funktionen des automatisierten Fahrzeugs von externen Schnittstellen
Darüber hinaus gewährleisten regelmäßige Verifizierung beim Startvorgang (Secure Boot) oder die Absicherung von Updates die Authentizität des Systems, und Hardware-Security-Module (HSM) sorgen auf dem Mikrocontroller der Steuereinheiten für die sichere Durchführung kryptographischer Operationen. Zugleich wird sich aufgrund des hohen Datenvolumens in höher automatisierten Fahrzeugen Automotive Ethernet weiter etablieren. Dadurch können bewährte Sicherheitsprotokolle wie Transport Layer Security (TLS) oder IPsec genutzt und die nötigen Echtzeitanforderungen berücksichtigt werden, zum Beispiel durch Pre-Shared-Keys. Separierungsschutzmechanismen wie Virtual Local Area Networks (VLAN) oder einzelne Subnetze kontrollieren zudem den Zugriff auf Safety-relevante Funktionen entlang definierter Regeln.
Kontinuierliches Security Monitoring
Dennoch: Ein unerlaubter Zugriff, etwa über sogenannte „Zero Day“-Schwachstellen, lässt sich nie vollständig ausschließen. Hochgradig automatisierte Fahrzeuge und zunehmend vernetzte Flotten bedürfen daher künftig eines kontinuierlichen Security Monitoring, das über ein verteiltes Intrusion-Detection-System (IDS) im Fahrzeug Anomalien und typische Angriffssignaturen erkennt, diese in einem angebundenen Vehicle Security Operations Center (V-SOC) für die gesamte Fahrzeugflotte aggregiert und auswertet, um schließlich flottenweit per „Over the air“-Update (OTA) Sicherheitslücken zu schließen und die Regelwerke der IT-Sicherheitssysteme im Fahrzeug zu aktualisieren.
Für vollautomatisierte oder gar autonome Fahrzeuge in vernetzten Flotten wird eine solche permanente Security-Risikobehandlung mit kurzen Reaktionszeiten wesentliche Voraussetzung für die Funktionssicherheit des Fahrzeugs und damit für die der Sicherheit seiner Insassen. Eine kohärente, Risiko-basierte Strategie für den Cyberschutz wird die weitere Entwicklung hin zum autonomen Fahren unbedingt begleiten müssen.
Autor
Martin Delle
Martketing Manager bei escrypt
Mehr zur Themenwoche autonomes Fahren
Weitere Hintergründe, Analysen und Wissenswertes zum Thema autonomes Fahren lesen Sie diese Woche auch bei Automotive IT. Die Redaktion fokussiert sich in ihren Beiträgen unter anderem auf die Rechtslage, den Stand der Infrastruktur und Cybersecurity.