Kommunikationswunder Automobil: Heutige und zukünftige Fahrzeuge lassen sich über verschiedenste Schnittstellen verbinden, bieten damit aber auch eine hohe Angriffsfläche. Security ist gefragt.

Kommunikationswunder Automobil: Heutige und zukünftige Fahrzeuge lassen sich über verschiedenste Schnittstellen verbinden, bieten damit aber auch eine hohe Angriffsfläche. Security ist gefragt. (Bild: AdobeStock 269652989, jirsak)

Heutige Fahrzeuge sind wahre Kommunikationswunder und lassen sich über verschiedenste Schnittstellen verbinden. Beispiele sind OBD, JTAG, USB, LTE, 5G, WLAN, Bluetooth oder auch der klassische CAN-Bus. Während einige Schnittstellen physischen Zugang benötigen, erlauben gerade aktuellere Protokolle einen Zugriff aus der nahen oder weiten Ferne. Viele davon sind notwendig, um heutige und zukünftige Funktionen im vernetzten Fahrzeug zu ermöglichen, z. B. die Car-2-Car-Kommunikation. Einige sind aber auch für einen ganz normalen Fahrzeugbetrieb erforderlich, wie z. B. Secured Access (Bild 1). Diese Funktionen erstrecken sich über den kompletten Lebenszyklus – von der Entwicklung über die Produktion bis zum Aftersales, und auch über Firmengrenzen hinweg. Viele davon benötigen zum Schutz vor Hackern (siehe Softwaresignatur) oder vor erschlichenen Leistungen (siehe Function on Demand) eine vertrauensvolle Kommunikation, durch die Integrität, Vertraulichkeit und Authentizität gewährleistet wird. Basis dafür ist meistens eine Public-Key-Infrastruktur.

Bild 1: Schnittstellen können physischen oder Fernzugang benötigen. Sie ermöglichen heutige und zukünftige Funktionen, können aber auch für den ganz normalen Fahrzeugbetrieb erforderlich sein.
Bild 1: Schnittstellen können physischen oder Fernzugang benötigen. Sie ermöglichen heutige und zukünftige Funktionen, können aber auch für den ganz normalen Fahrzeugbetrieb erforderlich sein. (Bild: Secunet)

Softwaresignatur als Beispiel für Cybersecurity im Fahrzeug

Als anschauliches Beispiel für einen Anwendungsfall, der eine PKI benötigt, sei die Softwaresignatur genannt, die bei Firmware-Updates eine große Rolle spielt. Wird ein Firmware-Update im Feld bereitgestellt, soll dieses meist ohne Umwege im Fahrzeug installiert werden. Das Update wird mit einem symmetrischen Schlüssel verschlüsselt und anschließend mit einem asymmetrischen privaten Schlüssel signiert. Vor der Installation vergleicht das Steuergerät die Signatur mit dem öffentlichen Schlüssel, den es schon während der Fahrzeugproduktion erhalten hat. Wird die Signatur bestätigt, kann der Container entschlüsselt und installiert werden.

Das Beispiel der Softwaresignatur zeigt auf, dass sowohl die Entwicklung (Firmware-Update muss geschrieben und signiert werden) als auch die Produktion (öffentliche Schlüssel müssen sicher ins Steuergerät gelangen) zu einem bestimmten Zeitpunkt involviert sind. Je nach Firmware kann es sogar sein, dass nicht nur der OEM, sondern auch verschiedene Tiers der Zulieferpyramide beteiligt sind.

Secured Access (UDS 14229)

Aber auch Aftersales kann eine tragende Rolle einnehmen. Als Beispiel sei der Secured Access genannt, der es Werkstätten ermöglicht, mit anderen Rechten auf Steuergeräte zuzugreifen als sonstige Parteien, um Diagnoseoperationen durchzuführen. Das geschieht meist durch ein Challenge-Response-Verfahren, um sicherzustellen, dass das entsprechende Diagnosetool auch die Befugnis hat, das Steuergerät mit privilegierten Rechten anzubinden.

V2X-Kommunikation

Zukünftig sollen Automobile Verbindungen zu Teilen der Infrastruktur wie z. B. Ampeln oder Laternen aufbauen, um effizientere und sicherere Mobilität zu ermöglichen. Diese Verbindungen bestehen jeweils nur für kurze Zeit. Dabei muss sichergestellt sein, dass die Infrastrukturkomponenten vertrauenswürdig sind und unverfälschte Nachrichten senden. Da der Austausch zügig erfolgt, kommen kompakte CV-Zertifikate anstatt der sonst oftmals verwendeten X.509-Zertifikate zum Einsatz. Zudem finden pseudonyme Zertifikate Verwendung, um das Risiko zu verringern, dass potenzielle Angreifer Bewegungsmuster erstellen können.

Anforderungen an PKI-Lösungen

Die beschriebenen Sicherheitsfunktionen benötigen eine PKI, die die erforderlichen digitalen Zertifikate ausstellt und ggfs. auch kryptoprimitive Funktionen bereitstellt, d. h. Bausteine, die signieren, verschlüsseln, entschlüsseln etc. Bei der PKI-Lösung sollten allerdings einige Punkte beachtet werden.

Meist gibt es in der Fahrzeugentwicklung und bei der Software-Freigabe im Automobilbereich keine zeitkritischen Anforderungen. In der Produktion hingegen werden Steuergeräte oftmals im Sekundentakt hergestellt, wobei je nach implementierten Funktionen mehrere Zertifikate im Steuergerät unterzubringen sind. Eine gewisse Nähe zum Produktionsband ist deshalb oftmals nötig.

Gleichzeitig sind Produktionswerke auf Effizienz getrimmt und PKIs lassen sich an diesen Orten häufig nicht so isolieren, dass nur der autorisierte Mitarbeiter physischen Zugriff hat. Das System muss also von sich aus so ausgelegt sein, dass es in der unsicheren Umgebung ausreichend geschützt ist. Eine zentrale Komponente dabei ist hardwarebasierte Sicherheit. Dies wird im Falle von PKIs meist durch Hardware Security Modules (HSMs) erreicht.

Zu beachten ist auch, dass Sicherheitsfunktionen zwar ähnlich, aber nicht immer identisch umgesetzt werden. Zusätzlich benötigen einige Funktionen sowohl asymmetrische als auch symmetrische Kryptoprimitiva. Daraus resultiert eine notwendige Anpassungsfähigkeit der PKI-Lösung, so dass sich die PKI um die Produkte herumstricken lässt und nicht andersherum.

Bild 2: Bei der Implementierung von PKI-Systemen ist es zielführend, relevante Rollen und Personen im Unternehmen von Anfang an einzubinden.
Bild 2: Bei der Implementierung von PKI-Systemen ist es zielführend, relevante Rollen und Personen im Unternehmen von Anfang an einzubinden. (Bild: Secunet)

Weichenstellungen in der Planungsphase

Zusammengefasst sind also Taktfrequenz, Sicherheit in unsicheren Umgebungen und Flexibilität wichtige Eigenschaften von PKIs in Produktionsumgebungen. Doch auch hinsichtlich der Architektur einer PKI sind wichtige Entscheidungen zu treffen. Daher ist es wichtig, frühzeitig mit der Konzeptionierung des PKI-Systems zu starten, ggfs. mit Unterstützung durch einen geeigneten PKI-Lieferanten. Gerade da Automotive-Lebenszyklen relativ lang sind, muss weit vorausgedacht werden. Durch eine sinnvolle Architektur lassen sich Worst-Case-Szenarien vermeiden, Flaschenhälse aufweiten und geografisch verteilte Redundanzen etablieren. Es hat sich gezeigt, dass es zielführend ist, relevante Rollen und Personen im Unternehmen von Anfang an einzubinden und firmenintern Klarheit bezüglich der Attribute der PKI-Lösung zu schaffen (Bild 2). Zu diesen Attributen gehört neben dem Zeitplan auch die Fragestellung nach den Einsatzszenarien und den Betriebsanforderungen. Ob eine PKI on-premise, gehostet oder as-an-appliance aufgebaut wird, hängt oftmals weniger von den Vorstellungen der Fachabteilung, sondern von der Strategie des Unternehmens ab. Sind alle Anforderungen von Anfang an einbezogen, lassen sich PKIs aufbauen, die den vielfältigen Einsatzszenarien in der Praxis Rechnung tragen.

Jochen Schönweiß, Secunet
(Bild: Secunet)

Jochen Schönweiß

Regional Sales Manager bei Secunet Security Networks

Harry Knechtel, Secunet
(Bild: Secunet)

Harry Knechtel

Head of Development, Division Industry, bei Secunet Security Networks

Sie möchten gerne weiterlesen?