Cyberangriffe auf das System Auto abwehren

Mobile Geräte vernetzen ihre Nutzer quasi immer und überall. Dies gilt immer mehr auch für das Auto. Heute betrifft dies Verkehrsinformationen, Concierge-Dienste oder den e-Call. Zukünftig agiert das vernetzte Fahrzeug wie ein Dienstleister, der den Fahrer permanent mit den aktuellsten Informationen zu Verkehr, aktuellen Angeboten im Umkreis, den besten Parkmöglichkeiten am Reiseziel oder mit den neuesten Spielfilmen oder Nachrichten versorgt und zudem Passagiere automatisiert oder sogar autonom von A nach B bringen kann.

Illegalen Zugriff auf Daten verhindern

Bild 1: Security-Schlüsselprinzipien und entsprechende Maßnahmen. Infineon

Ungebetene Gäste drohen jedoch diese schöne Welt zu trüben – und zwar, wenn Cyberangreifer ihr Unwesen treiben, wie es tagtäglich in Firmennetzen beziehungsweise auf privaten Computern geschieht. Warum sollten sie das vernetzte Fahrzeug verschonen? Zu verlockend sind die möglichen Business Cases. Die Daten, die im Fahrzeug entstehen, sind nicht nur für die OEMs von hohem Wert, sondern auch für andere Nutzer. Viele neue Use Cases sind denkbar. Deshalb sollten zum Beispiel Bewegungsprofile sowie alle weiteren Detailinformationen, die ein Auto erzeugt, unter keinen Umständen an den Falschen geraten. Nur wenn der Fahrer beziehungsweise seine Begleiter es erlauben, sollte die Weitergabe dieser Daten möglich sein. Aus diesem Grund muss sich die Industrie vorbereiten und in anderen Branchen erprobte Lösungen schnell auf das Fahrzeug übertragen.

Herausforderungen für die Automobilindustrie

Schon heute sind viele Neuwagen, insbesondere in der Oberklasse, bestens digital vernetzt und verfügen beispielsweise über Mobilfunk-, Bluetooth-, WLAN-, USB- und NFC-Schnittstellen sowie spezielle Interfaces wie Funkschlüssel, Reifendrucksysteme oder Komfortzugänge. Dies sind alles Einfallstore für Angreifer, um das Fahrzeug zu manipulieren oder gar Funktionen zu übernehmen. Dass dies möglich ist, haben Angreifer in den letzten Jahren bereits mehrmals demonstriert. Sicherheitsrisiken für Fahrer, weitere Insassen und andere Verkehrsteilnehmer sind die Folge. Den Herstellern drohen Klagen vor Gericht, hohe Schadenersatzforderungen, millionenfache Rückrufe und negative Börsenentwicklungen.

So lange hinter den Angriffen sogenannte „White Hats“ stecken, sind sie für die Industrie noch hilfreich. Der Begriff White Hat bezeichnet in der Regel gutwillige Angreifer, die Sicherheitslücken aufdecken, damit die Verantwortlichen die Möglichkeit haben, diese zu schließen, bevor ein Fahrzeug auf die Straße kommt. Dies kann beispielsweise im Auftrag des Herstellers bei Security-Tests, bei Angriffen unter kontrollierten Rahmenbedingungen (Penetration Tests), oder auch im Rahmen von Forschungsarbeiten erfolgen. Aber bereits heutzutage ist der Autodiebstahl ein sehr lukratives Geschäft, und „Black Hats“, also Hacker mit krimineller Energie, könnten über die Datenschnittstellen in Zukunft noch viel mehr Schaden anrichten als nur die Entwendung des Fahrzeugs.

Hackerangriffe verhindern

Die aktuellen Architekturen im Auto sind im Sinne von Security sehr schwierig zu schützen, weil sie über viele verteilte Schnittstellen verfügen und nicht hierarchisch aufgebaut sind. Die Einführung von Domainstrukturen bedeutet einen wesentlichen Schritt nach vorne, um eine grundlegende Forderung aller Security-Experten zu erfüllen: Security by Design. In Zukunft verlangen Regulierung und Standardisierung (ISO 21434) Security by Design von allen OEMs, die dann entsprechende Nachweise erbringen müssen (Bild 1).

Der Aufbau einer solchen Struktur beginnt mit der Bündelung aller externen Schnittstellen in einer Einheit, der Telematics-ECU. Diese authentifiziert die Kommunikationspartner außerhalb des Fahrzeugs. Beim automatisierten Fahren beispielsweise sind Car-to-Car-Kommunikation und aktuelle Informationen aus der Cloud essenziell für die Sicherheit.

Als weitere Instanz kommt das zentrale Gateway ins Spiel. Das Gateway verifiziert die Datenströme und ein zentraler Trust Anchor soll die Integrität der eingehenden Daten überprüfen. Realtime-Fähigkeit ist ebenso erforderlich wie ein höchstmögliches Maß an Sicherheit – aufgrund der zentralen Bedeutung dieser Instanz innerhalb der Fahrzeug-Architektur, der vielen Schnittstellen die hier zusammenlaufen sowie der Kritikalität der verarbeiteten Daten.

Diesen Anspruch kann zum Beispiel die Kombination aus einem Infineon Aurix-Mikrocontroller für die Realtime-Prozesse mit einem Trust Anchor für die Rechteverwaltung, zum Beispiel für Car Sharing, erfüllen. Security-Experten aus anderen Industrien wie etwa der IT, dem Banken- und Versicherungswesen verlassen sich bereits heute auf Hardware-Security, um Vertrauensanker zu implementieren. Ein Beispiel für einen solchen Trust Anchor ist das Trusted Platform Modul (TPM), das als internationaler Standard spezifiziert ist und in der IT seit vielen Jahren großflächig zum Einsatz kommt. In Firmennetzen weltweit nutzen Laptops und Computer TPM-Module zum Schutz der Daten und der ausgeführten Software. Hierzu hat Infineon ein automotive-qualifiziertes TPM auf den Markt gebracht (Bild 2).

In der Automobilindustrie setzen Premium-OEMs diese Architektur und Partitionierung bereits um. Dabei müssen sie überlegen, wie viel Flexibilität beziehungsweise Updatefähigkeit sie im Gesamtsystem belassen wollen.

Standardisierung als Schlüssel

Bild 2: Infineon hat mit dem Optiga TPM 2.0 ein automotive-qualifiziertes TPM auf den Markt gebracht. Infineon

Ein Mindestmaß an Cybersicherheit ist die Grundvoraussetzung für die Akzeptanz vernetzter Fahrzeuge und Dienste durch die Verbraucher. Ohne Security lässt sich kein Vertrauen in die neue Technologie aufbauen, und die Nutzer lehnen diese letztlich ab. Eine große Herausforderung liegt dabei in der komplexen Lieferkette der Automobilindustrie und darin, dass sich die Fahrzeuge vieler Hersteller auf gemeinsamen Straßen bewegen und miteinander interagieren müssen. Die Lösung liegt in einer Harmonisierung der jeweiligen Sicherheitsaspekte und einem industrieweiten Cybersecurity-Standard. Andernfalls dürfte Inkompatibilität später zu großen Systemproblemen beziehungsweise schlecht funktionierenden Services führen, und somit ebenfalls zu einer mangelnden Akzeptanz bei den Nutzern.

Aus diesem Grund erfolgen im Rahmen von ISO21434 die standardisierte Erarbeitung von Methodiken für das Entwickeln, Testen und Optimieren von Security im Auto. ISO21434 könnte voraussichtlich einen ähnlichen starken Einfluss auf die Car-Architektur haben wie ISO26262 für funktionale Sicherheit – insbesondere auf die Entwicklungsprozesse und Dokumentation. Durch die spezielle, komplexe Wertschöpfungskette der Automobilindustrie ergeben sich hierbei große Herausforderungen. Darauf geht auch das vom Bundesministerium für Bildung und Forschung geförderte Forschungsprojekt SecForCARs (Security For Connected, Autonomous Cars) unter der Führung von Infineon ein. 15 Partner aus Automobilindustrie und Wissenschaft analysieren diese Herausforderungen und erarbeiten Lösungen für Standards, die die Automobilindustrie unterstützen sollen.

Dabei sollten OEMs nicht nach dem Prinzip „Security by Obscurity“ handeln. Transparenz ist die bessere Antwort an die Angreifer. Was im ersten Moment wie eine Einladung klingen mag, bewirkt am Ende jedoch genau das Gegenteil. Je transparenter Security ist, desto schneller lassen sich Schlupflöcher finden und schließen, bevor Angreifer sie nutzen (Kerkhoffsches Prinzip). Gleichzeitig ist es für Angreifer sichtbar, dass höchste Sicherheit Anwendung findet und sich somit ein Angriff nicht lohnt.

Infineon ist seit Anfang 2016 Mitglied im Auto-ISAC (Information Sharing and Analysis Center) – einer Industrievereinigung, die Cyberbedrohungen beobachtet und Wissen über sicherheitsrelevante Schwachstellen und Vorfälle im Automotive Umfeld austauscht. Dazu gehört auch, aktiv nach Schwachstellen in bereits vorhandener Automobilelektronik zu suchen. In Zukunft dürfte es auch dazu kommen, dass Security Maßnahmen im Auto von unabhängiger Stelle zu prüfen und zu zertifizieren sind. Der EU Cybersecurity Act schafft einen Rahmen, der auch für andere Länder – etwa in Asien – eine sehr gute Referenz darstellt. Deswegen ist zum Beispiel ein nach neuesten Kriterien entwickeltes, überprüftes und getestetes TPM von Infineon eine gute Basis gegen Angriffe.

Agilität auch in Cybersecurity

Bild 3: Aurix Mikrocontroller von Infineon verfügen über ein integriertes Hardware Security Module nach der höchsten Stufe des EVITA-Sicherheitsstandards. Infineon

In der Automobil-Entwicklung gehört Agilität zu den wichtigen Schlagworten der heutigen Zeit. Gleichzeitig ist Agilität die Basis dafür, dass Autos im Sinne der Security lange auf der Straße bleiben können. Denn Security ist ein konstanter Wettlauf ohne Ziellinie und bedeutet, den Angreifern immer einen Schritt voraus zu sein. Hundertprozentige Security gibt es dementsprechend nicht. Stattdessen misst sie sich daran, wie schnell ein OEM Sicherheitslücken erkennen und schließen kann. Dieser Punkt stellt in Sachen Cybersicherheit vielleicht die größte Herausforderung für die Industrie dar. Quantencomputer zum Beispiel erhöhen den Druck zusätzlich. In der Konsequenz müssen die Verantwortlichen heute bereits Produkte einsetzen, die auch für zukünftige Security-Verfahren geeignet sind, etwa das automotive-qualifizierte TPM oder die Aurix Mikrocontroller-Familie von Infineon. Software-Updates „Over the Air“ (SOTA) werden dann nicht nur zur Basis für Updates von Funktionen oder bei Fehlerfällen, sondern ermöglichen auch eine agile Cybersecurity – basierend auf einer solchen Security-Hardware (Bild 3).

Während etwa beim Classic Autosar immer ein komplettes Update der Software erforderlich ist, erlaubt Adaptive Autosar die gezielte Aktualisierung einzelner Funktionen und Komponenten. Dank seines nach EVITA standardisiertem HSM unterstützt der AURIX-Mikrocontroller diese Funktion. Dadurch lässt sich ein sicheres Ende-zu-Ende-System erzeugen, das dann auch andere Services erlaubt, wie zum Beispiel Software-Updates im Feld oder das Freischalten neuer Funktionen ohne Werkstattbesuch. Diese Funktionen lassen sich dann im Verbund über ein TPM verwalten und autorisieren. Eine Ende-zu-Ende-Sicherheitsarchitektur schließt das gesamte Fahrzeug sowie das Backend eines OEMs oder auch eines Dienstleisters wie beispielsweise Google mit ein und basiert auf einer Ende-zu-Ende-Verschlüsselung aller relevanten Dienste – beginnend beim Systemstart mit einem Secure Boot in einer ECU über eine Ende-zu-Ende verschlüsselte Kommunikationsverbindung zum Server sowie einer Autorisierung der Dienstleister beziehungsweise der Dienste.

Verteilte Zugriffsrechte verwalten

Bisher beschränkt sich der Diskurs häufig auf die Angreifer und die Abwehrmöglichkeiten der OEMs. Der eigentliche Besitzer der Daten bleibt hingegen oft außen vor. Auf EU-Ebene sind jedoch gerade Gesetzesvorschläge in Arbeit, die die Rechte des Fahrzeughalters stärken sollen. Demzufolge muss die Autoindustrie Lösungen entwickeln, die den Fahrzeughalter in der Freigabe beziehungsweise im Zugriff auf seine Daten miteinbezieht. Eine Technologie, die sich dafür anbietet, ist die Blockchain. Eine Blockchain ist eine dezentrale Datenbank, in der sich Transaktionen in Form von Datenblöcken fälschungssicher speichern lassen. Manipulationen lassen sich mit einfachen Mitteln anhand der jeweils nachfolgenden Blöcke feststellen. Das Start-up Xain hat eine Lösung entwickelt, die auf einem Standard Microcontroller mit einem HSM – wie dem AURIX –  implementierbar ist. Damit sind sichere Anwendungen wie zum Beispiel Bezahlvorgänge für die Maut, der schlüssellose Zugang zum Auto beim Carsharing oder für On-demand Dienste, Tuning Schutz oder automatisierte Fahrfunktionen realisierbar. Der besondere Vorteil liegt darin, dass der Halter den Zugriff auf Fahrdaten oder andere sensible Daten, zum Beispiel für Versicherer, selbst verwaltet. Nutzer können so nicht nur grundsätzlich Zugriffs- und Benutzungsrechte delegieren, sondern auch das Recht, eine Zugriffskontroll-Policy für ein System zu erstellen. Der Embedded-System-Client von XAIN bildet eine sehr flexible und vertrauenswürdige Brücke zwischen der realen und der digitalen Welt. Damit kann der Halter die Zugriffsrechte auf Daten und Ressourcen auf transparente Art und Weise per Smartphone delegieren.

Goldrausch auf die Daten

Das aktuelle enorme Interesse an der Nutzung der Fahrzeugdaten gleicht einem Goldrausch, auch wenn OEMs dies häufig als ihr Hoheitsgebiet betrachten. Ein erster Schritt ist die Einführung des Nevada-Share-and-Secure-Konzepts, das die Weitergabe von Fahrzeugdaten an Dritte erlaubt: Hierbei erfolgt der Zugriff abgestuft nach der Kritikalität zunächst über das OEM-Backend sowie in weiterer Folge über einen nachgeschalteten neutralen Server.

Die vorhandenen Schnittstellen wie LTE und das baldige Auftauchen von 5G und den Use cases befeuern diesen Goldrausch weiter. Es ist notwendig, auch bestehende Architekturen, die noch nicht Domain-basierend sind und keine klare Gateway-Struktur für die Daten haben, langfristig sicher (secured) zu betreiben. Vergleichbar mit der Computerindustrie müssen dann Intrusion-Detection-Methoden zur Anwendung kommen, die ähnlich den Virus-Programmen im Computer funktionieren. In einem Auto mit verschiedenen Bussen (CAN oder Ethernet) lässt sich so der Datenverkehr überwachen. Bei verdächtigen Nachrichten erhält das System die entsprechenden Warnungen beziehungsweise die notwendigen Gegenreaktionen erfolgen, um Angreifer abzuwehren.

Um alle potentiellen Use Cases auch beim Nutzer erfolgreich zu platzieren, ob autonomes Fahren, Online-Services im Auto oder integrierte Mobilitätsmodelle für den Kunden, ist das Vertrauen des Nutzers in diese Techniken entscheidend. Ohne Vertrauen in die Sicherheit und Verlässlichkeit dieser Services gibt es kein erfolgreiches Geschäftsmodell. Die wenigsten Verbraucher wollen bei der Safety einen Kompromiss eingehen – und damit auch nicht bei der Security. Keine Safety ohne Security.

(aok)