Ralf Milke, Hauptabteilungsleiter E/E-Entwicklung, Karosserieelektronik und Bordnetz bei Volkswagen, leitete in seinem Vortrag „Automotive Cyber-Security: Anforderungen an den OEM“ die Forderung nach einer starken Security im Auto aus der Historie ab. Das Fahrzeug, ursprünglich ein primär mechanisches System mit nur wenigen elektrischen Einsprengseln, bekam im Lauf seiner Geschichte immer mehr integrierte elektronische Systeme. GPS, WLAN, GSM, Internet-Anschluss und Bluetooth markieren nur den aktuellen Zwischenstand seiner Luftschnittstellen. „Ein Auto, das sieht, versteht, lernt und kommuniziert, braucht ein starkes Sicherheitskonzept“, ist Ralf Milke überzeugt, denn mit den Luftschnittstellen allein ist es nicht getan – ihr Sinn liegt schließlich darin, dass die vielen verschiedenen Geräte über diese Schnittstellen kommunizieren: Elektronische Fahrzeugschlüssel beispielsweise, oder Garagentore, Smartphones und sogar Smartwatches. Dazu kommen die IT-Systeme, in die ein Auto heutzutage eingebunden ist: Die Backend-Server der Händler und Hersteller, Kartendienste und sogar Versicherungen greifen auf die Elektronik der Autos zu, um Daten auszulesen und damit eine wachsende Vielfalt von Funktionen zu ermöglichen. Damit wird es schwieriger, ungebetene Gäste von dieser Schnittstelle fernzuhalten.
Vergleich mit der IT-Branche
Ralf Milke vergleicht die Situation der Fahrzeugindustrie mit derjenigen der IT-Branche. Dort habe eine ähnliche Entwicklung stattgefunden wie in der Automobil-Elektronik: hin zu höherer Komplexität, begleitet vom Einzug offener Schnittstellen, um die Entwicklung externer Services zu ermöglichen. Auch in der IT zogen damit ebenso Schwachstellen in die Ökosysteme ein, die in der Folge auch für Attacken von außen genutzt wurden. Allerdings liegen diese Entwicklungen in der IT fünfzehn Jahre zurück. Dort hat man längst die entsprechenden Konsequenzen gezogen und entsprechende Vorkehrungen getroffen. „Um Schäden zu vermeiden, müssen wir von der IT lernen“, folgert Ralf Milke daraus. In der Autoindustrie habe sich diese Erkenntnis noch nicht genügend durchgesetzt, verstärkte Anstrengungen sind notwendig. „Da müssen wir als OEM noch eine Schippe drauflegen“, plädiert der VW-Experte ins Plenum. Entsprechende Hardware gebe es ja bereits, betont Milke in Anspielung auf einen vorangegangen Vortrag von Infineon-Chef Dr. Reinhard Ploss, der unter anderem auf die Möglichkeiten von Security-Chips hingewiesen hatte.
Security beim Zugang
Am Beispiel der Zugangstechnik zum Auto erläutert Ralf Milke die Herausforderungen, denen sich die Autobranche gegenübersieht, sowie die Strategie Volkswagens in diesem Spannungsfeld. So werden dem Smartphone immer mehr Funktionen als virtueller Autoschlüssel Schlüssel zuwachsen – als Instrument zur Identifikation des berechtigten Nutzers ebenso wie für die Konfiguration spezifischer Nutzerprofile. Das Dilemma besteht darin, dass mobile Endgeräte eine viel kürzere Produktlebenszeit als Autos haben; zudem liegt die Kontrolle über diese Systeme nicht in den Händen der Autoindustrie. Der Weg aus dieser Klemme führe über gemeinsame industrieweite Standards, erklärt Ralf Milke. Wo diese nicht existierten, müssten sie geschaffen werden. „Hier müssen wir uns zusammentun, um mit diesen Herausforderungen zurechtzukommen“, fordert Ralf Milke die OEMs und Zulieferer im Saal auf. Weitere Kernaussagen aus dem Hause Volkswagen: Fahrzeuge benötigen eine sichere Updatefähigkeit für die Software, und vor dem Hintergrund des rasanten Wandels in der Consumer-Elektronik ist eine schnelle Umsetzung der genannten Maßnahmen Pflicht, denn „eine Firewall gegen das Eindringen der Consumerelektronik ins Auto gibt es nicht“.
Ganzheitlicher Ansatz
Einen ganzheitlichen Ansatz für die Absicherung der Elektronik gegen Angriffe von außen schlug Dr. Thomas Wollinger vor, Geschäftsführer der Sicherheitsfirma Escrypt GmbH. Ganzheitlich, das bedeutet in diesem Zusammenhang Sicherheit für den gesamten Produktlebenszyklus, für das gesamte System Auto und für die gesamte Organisation. Aber anfangen muss man bekanntlich irgendwo. „Wenn wir das Gesamtsystem Auto betrachten, so müssen wir in der untersten Schicht anfangen, im Steuergerät“, stellt Dr. Wollinger fest. Es gelte zunächst, diese Ebene abzusichern gegen unbefugte Veränderungen von Software und Daten, gegen die Ausweitung ihrer Rechte (was von Hackern gerne als Sprungbrett für weitere Manipulationen im Auto genutzt wird), gegen Seitenkanalattacken und gegen physische Manipulationen. Die verfügbaren Mittel dafür sind vielfältig, sodass Dr. Wollinger hier nur einige Beispiele nennt, wie etwa der Einsatz moderner Kryptographie, Management der Zugriffsrechte durch sichere Betriebssysteme und das Abschotten von Software und Daten unterschiedlicher Anwendungen gegeneinander per Virtualisierung oder durch Hardware-Sicherheitsmodule.
Analog zum Verfahren auf der Steuergeräteebene sei bei den höher liegenden Ebenen vorzugehen, wie fahrzeuginterne Netze, E/E-Architektur und letztlich auch auf der Ebene des Gesamtfahrzeugs. Jede dieser Ebenen ist spezifischen Bedrohungen ausgesetzt. Das Fahrzeugnetzwerk muss beispielsweise gegen das nicht-autorisierte Einschleusen gefälschter Nachrichten gesichert werden. Mittel dazu sind etwa die Authentifizierung der Kommunikationsteilnehmer auf den internen Datenbussen oder ein fein abgestuftes Zugriffsmanagement mit restriktiver Voreinstellung.
Security-Maßnahmen
Als zielführende Maßnahmen auf der Fahrzeugebene fordert Wollinger beispielsweise, eine Public Key Infrastructure (PKI) einzurichten und die Zugriffsmöglichkeiten für Drittanbieter untereinander abzuschotten. Die Absicherung der Integrität von Fahrzeug-Software und -daten über den gesamten Produktlebenszyklus müsse in den Prozessen verankert werden: vom Requirements-Engineering über Fahrzeugdesign, Implementierung und Test bis zur Auslieferung und zum Betrieb. „Engineering und Analyse gehen im gesamten Lebenszyklus immer Hand in Hand“, lautet die Maxime des Security-Experten.
Auf Unternehmensebene soll sich die gewachsene Bedeutung der Security in der Schaffung einer Instanz niederschlagen, welche die Verantwortung für die Sicherheitsfragen übernehmen kann. „Wir brauchen ein Security-Competence-Center mit Governance-Rolle für die beteiligten Abteilungen“, fordert Wollinger.
Christoph Hammerschmidt
(av)