Äußerlich haben sich Autos von etwa 1990 im Vergleich zu Fahrzeugen von heute eigentlich nur wenig verändert. Unter der Haube hat allerdings, vor allem in den letzten zwei Jahrzehnten, eine richtige Revolution stattgefunden – und das nicht nur bezüglich der Fahrsicherheit und den Umwelteigenschaften. Auch in punkto Komfort und Kosteneffizienz sind heutige Fahrzeuge mit einem Automobil von 1990 nicht mehr vergleichbar. Für diese enormen Fortschritte sind heute fast alle mechanischen Steuerungen und Regelungen von einst durch softwarebasierte Kleinstcomputer (ECU) ersetzt worden. Diese arbeiten nicht mehr nur stumm und isoliert vor sich hin, sondern sie kommunizieren digital und in Hochgeschwindigkeit sowohl miteinander als auch immer öfter mit der Welt außerhalb des Fahrzeugs, um zum Beispiel Verkehrsflüsse zu optimieren, sich gegenseitig vor Gefahren zu warnen oder einen automatischen Unfallnotruf abzusetzen.
Der einzige Wermutstropfen besteht darin, dass mit stetig steigendem Umfang und Komplexität der Software auch die Wahrscheinlichkeit von elektronischen Fehlfunktionen ansteigt, die immer öfter zu außerplanmäßigen Werkstattbesuchen zwingen oder sogar weltweite Rückrufaktionen notwendig machen. Das ist für Kunden und Hersteller im besten Fall einfach nur unangenehm, auf jeden Fall aber zeitraubend und teuer.
Software-Updates Over-the-Air
Glücklicherweise bietet hier die heute schon in vielen Fahrzeugen vorhandene (und ab 2018 in der EU für alle Neufahrzeuge verpflichtende) Mobilfunkschnittstelle für das automatische Notrufsystem eCall eine große Chance. Die einmal vorhandene (und finanzierte) digitale Tür zur Außenwelt kann so auch für viele weitere wertvolle Zusatzdienste zum Einsatz kommen. Eine spannende Anwendung ist das OTA-Software-Update (OTA: Over-the-Air), bei dem sich Fahrzeuge aus der Ferne, das heißt ohne eine Werkstatt aufsuchen zu müssen, diagnostizieren, warten, neu konfigurieren oder reparieren lassen. Für die Kunden und Hersteller bedeutet das gleichermaßen einen enormen Komfort- und Zeitgewinn, und es senkt zudem auch die Kosten erheblich. Gerade sicherheitsrelevante Software-Updates profitieren hier überproportional von einer größtmöglichen Abdeckung in minimaler Reaktionszeit.
Für ein solches OTA-Software-Update verbindet sich das Fahrzeug regelmäßig oder bei Bedarf über seine digitale Mobilfunkschnittstelle (oder eine andere geeignete Drahtlosschnittstelle wie Wi-Fi) mit dem zentralen Backend-Server des Fahrzeugherstellers. Das Hersteller-Backend prüft dann, ob neue Software-Updates für die aktuelle Fahrzeugkonfiguration (zum Beispiel anhand der individuellen VIN, Vehicle Identification Number) vorliegen und überträgt diese gegebenenfalls anschließend drahtlos zum Fahrzeug, unabhängig von dessen Standort. Ein solches Software-Update kann, wie in Bild 2 skizziert, entweder ein oder mehrere Software-Anwendungen als Ganzes umfassen (complete update), nur eine oder mehrere Teilkomponenten ersetzen (partial update) oder bis hinunter auf Byte-Ebene nur die tatsächlich unterschiedlichen oder neuen Datensequenzen übertragen (differential update). Dabei erkauft man sich die Verringerung der zu übertragenden Updatedaten mit einem entsprechend anspruchsvolleren Updatemechanismus im Steuergerät des Fahrzeugs. Die typischen Datenmengen für Fahrzeug-Updates bewegen sich heute zwischen einigen Kilobyte bis einige Megabyte – ergo zirka 16 KByte bis 16 MByte – für normale Steuergeräte bis hin zu mehreren Gigabit, was vor allem in komplexen Infotainment- und Telematik-Einheiten der Fall ist.
Nach dem vollständigen erfolgreichen Download, der Sicherstellung eines sicheren Fahrzeugbetriebszustands (zum Beispiel Parksituation mit ausreichend Batterieladung) und abschließender Benutzerbestätigung erfolgt die Installation des Software-Updates im Fahrzeug, das anschließend sofort zur Nutzung zur Verfügung steht. Der Updateprozess erfolgt in der Regel nach dem Abschalten des Fahrzeugs durch den Benutzer (power down) und dauert typischerweise zwischen 15 und 45 Minuten. Für besonders sicherheitskritische Updates mit höchster Dringlichkeitsstufe ist gegebenenfalls ein zusätzlicher Updateprozess zum Fahrzeugstart denkbar, dann aber natürlich begrenzt auf maximal ein bis fünf Minuten.
Gefährlicher Zugriff aus der Ferne?
So weit, so praktisch. Die Möglichkeit, Software aus der Ferne in ein Fahrzeug einzuspielen, birgt aber auch einige Risiken – insbesondere für die Sicherheit. So muss einerseits beispielsweise durch eine sorgfältige Vorabprüfung der Software-Kompatibilität (remote diagnosis) und der Vorbereitung geeigneter Ausfall- und Notfallprozeduren, die funktionale Sicherheit (safety) des gesamten Updateprozesses dauerhaft sichergestellt werden. Eine hohe Zuverlässigkeit ist gerade für OTA-Updates besonders wichtig, da diese – per Definition – meist von technischen Laien außerhalb der Werkstatt und somit außerhalb der Reichweite professioneller Unterstützung erfolgen.
Mindestens genauso wichtig wie die funktionale Sicherheit (safety), ist die Informationssicherheit (security), das heißt die Absicherung gegen mögliche, gezielte böswillige Eingriffe durch Hacker oder Schadsoftware. Hacker könnten zum Beispiel versuchen, manipulierte, ungeeignete oder einfach nur ungewollte Software ins Fahrzeug einzuspielen. Sie könnten versuchen, Fahrzeug, Fahrverhalten, Passagiere oder Besitzer unbemerkt aus der Ferne auszuspähen bis hin zur gezielten Sabotage. Die potenziellen Akteure und Intentionen für solche unerlaubten Eingriffe können dabei ganz unterschiedlich sein. So sind zum Beispiel sowohl der Fahrzeugbesitzer (Chip-Tuning), ein konkurrierender Fahrzeug- oder Komponentenhersteller (Know-how-Diebstahl) als auch beliebige Dritte (Spionage, Sabotage) als mögliche Angreifer denkbar. Zwei Tabellen, die Sie über den PDF-Button am Ende des Beitrags herunterladen können, erläutern Sicherheitsrisiken und geeignete Schutzmaßnahmen in punkto Safety und Security.
Eckdaten
Der Gewinn an Fahrsicherheit durch die Möglichkeit, kritische Fehlfunktionen weltweit ad-hoc beheben zu können, der Gewinn an Zeit und Komfort durch überflüssig gewordene Werkstattbesuche und natürlich die enorme Kostenersparnis für Kunden und Hersteller überwiegen deutlich mögliche Risiken, die mit der Einführung von SOTA-Software-Updates im Automobil verbunden sind. Alle notwendigen Safety- und Security-Mechanismen sind heute bereits automobiltauglich und aus einer Hand verfügbar. Was die praktische Umsetzung heute eventuell noch bremst, sind zum Beispiel eher die noch weit verbreiteten CAN-Bussysteme, welche die Übertragung der Updates im Fahrzeug stark verlangsamen, fest verdrahtete Routingtabellen, die viele Steuergeräte für Updates unerreichbar machen und die noch geringe Verbreitung von automobilen Mobilfunkschnittstellen. Aber auch hier sind die passenden Lösungen wie Automotive-Ethernet, dynamische Automotive-Firewalls und das vernetzte Fahrzeug schon längst fest in den Roadmaps aller Automobilhersteller und Zulieferer integriert. Somit ist der weltweite erfolgreiche Einsatz von SOTA-Online-Auto-Updates in wenigen Jahren automobiler Standard.
Damit die OTA-Updates nicht zum neuen Einfallstor für Hacker und Computerviren im Auto werden, sind verlässliche Security-Mechanismen dringend erforderlich, die gleichzeitig möglichst keinerlei Benutzereingriff erfordern.
Aus OTA wird SOTA
Zum Glück gibt es für beide Sicherheitsanforderungen − die funktionelle Sicherheit sowie die Informationssicherheit − schon heute viele geeignete Schutz- und Vorbeugemaßnahmen, um aus dem ungeschützten OTA-Software-Update ein Sicheres Over-the-Air Software-Update (SOTA-Update) zu machen. Wie man beispielsweise mittels digitaler Signaturen eine neue Steuergerätesoftware auf ihre Echtheit und Manipulationsfreiheit hin überprüfen kann, zeigt Bild 3.
Nachdem der Hersteller eine neue Softwareversion freigegeben hat (1), wird das Gesamtpaket aus Programmcode und Daten unter Zuhilfenahme des Signaturerstellungsschlüssels des Herstellers und eines geeigneten kryptografischen Algorithmus (beispielsweise RSA-2048 oder ECC-256) die zugehörige digitale Signatur erstellt (2). Diese Signatur hält der Hersteller sodann zusammen mit der neuen Steuergerätesoftware in seiner Datenbank zum Abruf durch seine Fahrzeuge bereit (3). Sobald sich nun ein Fahrzeug zum Beispiel über seine Mobilfunkschnittstelle mit dieser Datenbank verbindet, kann das Steuergeräte-Update zusammen mit seiner digitalen Signatur drahtlos zum Fahrzeug übermittelt (4) und bis zur vollständigen Übertragung in einem Datenpuffer (zum Beispiel in der Telematik-Einheit) des Fahrzeugs zwischengespeichert werden (5). Optional lässt sich über eine zusätzliche Verschlüsselung des Kommunikationskanals (beispielsweise via AES-128 oder Embedded TLS) die Datenübertragung auch gegen unerlaubtes Abhören schützen (4a, 4b). Ist das Steuergeräte-Update vollständig im Fahrzeug angekommen, wird das Zielsteuergerät mit Prüfung aller notwendigen Voraussetzungen und Berechtigungen für den Updateprozess freigeschaltet (6) und das Update samt Signatur über den Steuergeräte-Bootloader in den Flashspeicher des Zielsteuergeräts geschrieben (7). Im Anschluss liest das Security-Modul im Steuergerät (zum Beispiel SHE+ oder Bosch HSM) stückweise den gesamten Flashspeicher des Steuergeräts durch und überprüft diesen mithilfe des passenden Signaturprüfschlüssels des Herstellers auf seine Echtheit sowie auf mögliche Manipulationen hin (8). Der Bootloader erhält über eine Signalisierung (9) das abschließende Prüfergebnis und führt dann die für das jeweilige Prüfergebnis vorgesehene Maßnahme durch: Programm-Ausführung, Neustart, Notbetrieb oder Fehlereintrag und Ähnliches.
Eine digitale Signatur allein reicht allerdings leider nicht, um den gesamten Software-Update-Prozess zuverlässig abzusichern. Bild 4 zeigt daher noch einige andere notwendige sowie optionale Safety- und Security-Schutzmaßnahmen für zuverlässige SOTA-Software-Updates im Automobil.
Marko Wolf
(av)