Nirgends wird sich der digitale Wandel und die Gefahr von Cyberattacken stärker manifestieren als im Lebensraum Stadt; dort wird er mit den größten Auswirkungen und Konsequenzen erlebbar werden – bei der Mobilität sowie im städtischen Verkehr. Smart City ist ohne Smart Mobility nicht denkbar. So wie der Verkehr heute eher die Lebensqualität in unseren Städten mindert – verstopfte Straßen, Parkprobleme, Luftverschmutzung und Lärmbelästigung – so soll er morgen unser Stadtleben angenehmer machen. Vernetztes Fahren heißt die Zauberformel. Gemeint ist der Echtzeit-Datenaustausch zwischen Fahrzeugen und Verkehrsinfrastruktur, mit Flottenbetreibern, Verkehrsdienstleistern und -leitsystemen. Das Zukunftsversprechen: Ein Plus an Verkehrssicherheit, Verkehrsfluss, Komfort und Umweltverträglichkeit.
V2X-Security als Enabler von Smart Mobility
Das Fahrzeug warnt uns vor querenden Fußgängern und Radfahrern, vor dem Gegenverkehr beim Linksabbiegen; es weiß schon vorher, wann die nächste Ampel auf Rot schaltet oder dirigiert uns zum nächstgelegenen freien Parkplatz. All das ist längst keine Utopie mehr, sondern auf dem Sprung in die Wirklichkeit. Kürzlich etwa demonstrierte Bosch im Rahmen des Jahrestreffens der Intelligent Transportation Society of America (ITS America) in Downtown Detroit, wie Echtzeit-Kommunikation zwischen Fahrzeug und Infrastruktur aussieht. Ein mit V2X-Technologie (Vehicle to Everything) ausgerüsteter Ford F-150 wusste auf einem mit entsprechenden Kameras, Verkehrsanlagen und DSRC-Equipment (Dedicated Short Range Communication) bestückten Straßenabschnitt lange vor dem Fahrer um entgegenkommenden Verkehr, Ampelschaltungen und Fußgänger auf der Fahrbahn. Die Technik existiert also bereits und wird vielerorts getestet. Die Frage ist, wie und wann man Vehicle-to-Everything-Kommunikation in großem Stil ausrollt.
Cyberattacken bei V2X verhindern
Doch im gleichen Maße wie ein beständiger Echtzeit-Datenaustausch für mehr Sicherheit und Effizienz im Verkehr in der Smart City sorgt, macht er ihn auch angreifbarer. Die hohe Konnektivität aller Entitäten in dem vernetzten System (Fahrzeuge, Roadside-Equipment, weitere Verkehrsteilnehmer, Sendemasten, Cloud-Backends, Flottenbetreiber, Leitstellen etc.) erhöht die Angriffsfläche für unautorisierten Zugriff, Manipulation und das Ausspähen von Daten exponentiell. Die Vorstellung, Hacker könnten Infrastruktur und Verkehrsleitsysteme attackieren, Bewegungsprofile erstellen oder sich mittels V2X Zugriff auf die Bordnetzkommunikation einzelner Fahrzeuge verschaffen, würde das Vertrauen in die neuen smarten Technologien auf fatale Weise unterminieren. Smart Mobility innerhalb der Smart City wird daher nur mit wirksamer V2X-Security gelingen (Bild 1).
Gleichzeitige Nutzung unterschiedlicher Kommunikationsstandards
Besondere Erschwernis dabei: V2X wird sich in Zukunft verschiedener Kommunikationsstandards gleichzeitig bedienen. Notwendigerweise werden die Fahrzeuge über unterschiedliche Kanäle mit Infrastruktur und anderen Verkehrsteilnehmern Nachrichten austauschen. Bis vor kurzem beruhte die V2X-Kommunikation im Wesentlichen auf zwei einander verwandten Standards: Der in den USA entwickelten Kurzwellenkommunikation DSCR (Dedicated Short Range Communication) sowie dem dem europäischen Cooperative Intelligent Transport System (C-ITS) anhängenden Standard ITS-G5. Beide variieren den geläufigen WLAN-Standard IEEE 802.11p, funktionieren mit weitgehend kompatibler Hardware und nutzen den gleichen Frequenzbereich.
Daneben erwächst gerade „Konkurrenz“ in Form des Mobilfunkstandards C-V2X. Zum Datenaustausch mit Fußgängern und Radfahrern beispielsweise wird vermutlich ein direkter Ad-hoc-Datenaustausch (C-V2X autonomous) über im Smartphone verbaute Mobilfunkchips erfolgen. Andere Nachrichten (zum Beispiel Stauendewarnungen) wiederum werden im Nahbereich per Mobil Edge Computing (MEC) verteilt, im weiteren Umfeld per klassischem Mobilfunk mittels Sendemasten über die Cloud und Backend-Services. Somit wird sich V2X-Kommunikation in der Smart City in Zukunft auf mehrere Technologien gleichzeitig stützen – zumal eine derartige Hybridlösung durchaus Vorteile hat: So besteht etwa bei besonderes zeitkritischen Anwendungen die Möglichkeit, auf Ad-hoc-Verbindungen mit gegenüber infrastrukturbasierten Netzen geringeren Latenzen zurückzugreifen (Bild 2).
Auf der nächsten Seite ist unter anderem die Suche nach internationalen Standards Lösung.
Einheitliche, übergreifende V2X-Security-Lösung
Die Kunst besteht darin, diesen Strauß hybrider Kommunikationskanäle und ihre divergenten Anwendungsfälle mit einem übergreifenden homogenen Security-Standard zu überziehen. Der Kniff besteht in einer für alle Entitäten einheitlich durchdachten Struktur des Protokollstapels für den V2X-Datenaustausch. In der Praxis gestaltet sich das wie folgt: Sobald die durch Anwendung oder Device erzeugte V2X-Nachricht die Transport- und Vermittlungsebene erreicht, werden über die Schnittstelle zur Security-Komponente die Security-Header in die V2X-Nachricht eingebracht. Der Security-Header enthält die Signatur der Nachricht sowie das dazugehörige Zertifikat; gegebenenfalls wird die Nachricht in einem zweiten Schritt symmetrisch verschlüsselt. Die Informationen zum symmetrischen Schlüssel werden dann dem Header mitgegeben, um den Empfängern der V2X-Nachricht die Entschlüsselung zu ermöglichen. Auch wird, um Datenschutz zu gewährleisten, die V2X-Nachricht erst signiert und dann verschlüsselt. Auf diese Weise werden, selbst in einem hybriden Kommunikationsnetz, alle nötigen Security-Anforderungen erfüllt: Integrität der Daten, Authentizität des Absenders, Autorisierung des Senders, Replay-Detection, Vertraulichkeit, Schutz der Privatsphäre (Privacy), funktionale Zuverlässigkeit (Reliability) und Revocation von Zertifikaten (Revocation of Trust).
Auf der Suche nach internationalen Standards
Maßstäbe für die V2X-Kommunikation werden zurzeit vor allem in Europa und den USA gesetzt. Die Europäer folgen dabei den Vorgaben des European Telecommunication Standards Institute (ETSI), die Amerikaner dagegen orientieren sich an den Richtlinien des US-Verkehrsministerium (US Department of Transportation). Was die IT-Security angeht, bedienen sich beide Lösungen der gleichen Grundprinzipien: Jede ITS-Station (Fahrzeug, Verkehrsanlage, Sendemast etc.) verfügt über mindestens ein asymmetrisches Schlüsselpaar, wobei der öffentliche Schlüssel durch ein Zertifikat bestätigt wird, signiert durch eine Zertifizierungsstelle (Certificate Authority) der Public-Key-Infrastruktur (PKI). Um die V2X-Nachricht zu sichern, wird diese vom Absender mit dessen privatem Schlüssel signiert und gemeinsam mit dem Zertifikat übertragen. Der jeweilige Empfänger ist dann in der Lage, durch die digitale Signatur die Integrität der Nachricht sowie über das Zertifikat des Absenders dessen Authentizität zu verifizieren. (Abb. 3)
Eckdaten
Wirklich smart ist nur, was auch sicher ist – so könnte man eine fundamentale Forderung an die neuen Entwicklungen im Smart-City-Umfeld auf den Punkt bringen. IT-Sicherheit ist Grundvoraussetzung bei allen smarten Technologien, die sich gerade entwickeln. Besonders hohe Sicherheitsrisiken bergen mögliche Cyberattacken auf Fahrzeuge und Verkehrsanlagen.Doch wenn die mannigfaltigen Kommunikationsstandards homogen abgesichert sind und die richtige Balance zwischen notwendigem Datenaustausch und erwünschtem Datenschutz hergestellt ist, dann lässt sich auch die Cybersecurity beherrschen.
Unterschiede zwischen Europa und den USA hingegen bestehen bei der Struktur und Funktionalität der Public-Key-Infrastruktur. Das amerikanische Security Credential Management System (SCMS) bietet anhand seines Aufbaus fortgeschrittene Funktionalitäten, beispielsweise zur Revokation von Zertifikaten auf Fahrzeugebene sowie Methoden zum Ausschluss bei Fehlverhalten. Die PKI im europäischen Raum ist weniger komplex aufgebaut und bietet somit nicht alle Funktionalitäten des amerikanischen Pendants, kompensiert dies aber durch organisatorische Maßnahmen und Erweiterungsmöglichkeiten. Wichtig: In puncto IT-Sicherheit sind die europäische und der amerikanischen V2X-Spielart aufeinander abgestimmt; Security-Header und Zertifikate basieren auf den gleichen IEEE-Standards.
Erstellung von Bewegungsprofilen verhindern
Die Absicherung von Kommunikation zwischen Fahrzeugen und Verkehrsanlagen hat die beiden Zielgrößen Datensicherheit und Datenschutz. Die Abwehr von manipulativem Zugriff auf Verkehrsanlagen und Fahrzeuge ist das eine, der Schutz vor missbräuchlichem Ausspähen von Daten das andere. Eine populäre, nicht unberechtigte Sorge im Zusammenhang mit vernetzter Mobilität und IT-Sicherheit ist die mögliche Erstellung von Bewegungsprofilen. Denn V2X-Botschaften müssen jederzeit verlässlich authentifiziert werden, um sicherzustellen, dass nur autorisierte Fahrzeuge und Verkehrsanlagen kommunizieren. Das heißt, Fahrzeuge melden sich fortlaufend dort, wo sie sich gerade befinden, bei der umgebenden Verkehrsinfrastruktur an. Über das V2X-Netzwerk nachzuverfolgen, wie sich einzelne Fahrzeuge durch die Smart City bewegen, wäre im Prinzip durchaus möglich. Um genau das auszuschließen und die Privatsphäre der Fahrzeugnutzer zu schützen, gilt es, der Erstellung von Bewegungsprofilen systemisch vorzubeugen.
Die pragmatische Security-Lösung besteht hier in sogenannten „rollierende Zertifikaten“: Die eingebettete V2X-Sicherheitssoftware im Fahrzeug hält permanent einen Stapel gleichlaufend gültiger Sicherheitszertifikate vor. Diese werden während der Fahrt rollierend ausgetauscht. Das heißt, bereits nach wenigen Minuten wird das jeweils aktive Zertifikat automatisch durch ein neues ersetzt. Sind sie aufgebraucht, werden frische Zertifikate über die PKI „nachgeladen“. Auf diese Weise authentifiziert sich das Fahrzeug bei den Verkehrsanlagen immer wieder mit neuer wechselnder Identität. Jeder Versuch Bewegungsdaten einzelner Fahrzeuge zu gewinnen, reißt jeweils nach kürzester Zeit wieder ab.
Fazit: V2x-Security als Smart City-Erfolgsfaktor
Die Entwicklung hin zur Smart City fällt nicht von ungefähr zusammen mit dem Aufbruch in ein neues Zeitalter der Mobilität. Hohe Konnektivität und die digitale Transformation fast aller Lebensbereiche sind der Boden auf dem die neuen smarten Technologien gedeihen, und Smart Mobility sowie Smart City sind dabei besonders eng miteinander verwoben. Vernetzte Fahrzeuge im Einklang mit vernetzter Verkehrsinfrastruktur können bei weiterhin hoher individueller Mobilität die Verkehrssicherheit erhöhen und Verkehrsbelastung in unseren Städten reduzieren. Das Sicherheitsrisiko indes verlagert sich dabei immer mehr auf die digitale Ebene; dort entstehen neue Angriffspunkte und Gefahrenquellen. Autos und angebundene Verkehrsanlagen müssen wirksam vor Cyberattacken geschützt, der Datenschutz der Bürger jederzeit gewährleistet sein.
Die wirksame Absicherung der Kommunikation von Fahrzeugen untereinander beziehungsweise mit der Infrastruktur auf den Straßen der Stadt wird somit zum wesentlichen Erfolgsfaktor der Smart City. Hier braucht es in vielerlei Hinsicht effiziente, praktikable Lösungen – übergreifend homogene IT-Sicherheit über hybride V2X-Kommunikationsstandard hinweg, weitestgehend globale Kompatibilität und eine adäquate Synthese aus V2X-Funktionalität, Datensicherheit und Datenschutz inklusive.
(av)