An diesem Gespräch nahmen Friedhelm Pickhard, Vorsitzender der Geschäftsleitung der ETAS GmbH, Dr.-Ing. Thomas Wollinger, Vorsitzender der Geschäftsleitung der Escrypt GmbH, sowie Prof. Dr.-Ing. Christof Paar, Leiter des Lehrstuhls für Eingebettete Sicherheit an der Ruhr Universität Bochum teil. Prof. Paar ist einer der Gründer von Escrypt, ehemaliges Mitglied des Advisory Boards sowie heute aktiver Berater der Escrypt.
Warum ist Automotive-Security wichtig?
Dr. Thomas Wollinger: Heutige Fahrzeuge haben mehrere Interfaces, über die ein potenzieller Angreifer Software oder Daten manipulieren kann. Zum Beispiel können Hacker über den OBD2-Stecker direkt an den CAN-Bus gelangen und über diesen Zugang Daten manipulieren – man denke nur an die Tachomanipulationen. In den USA hat es ein Team von Wissenschaftlern geschafft, per GSM in ein Standard-Fahrzeug einzudringen und kritische Fahrzeugfunktionen zu manipulieren. Beim GSM-Zugriff ist es irrelevant, wo sich Angreifer und Angegriffener befinden.
Das Hacken von Fahrzeugen mit wissenschaftlichen Mitteln hat die Automotive-Branche unter erheblichen Druck gesetzt. Auch in den Publikumsmedien ist das Thema angekommen: Wir hatten letzte Woche zwei Anfragen von Fernsehsendern, ob wir live vor der Kamera ein Fahrzeug mit elektronischen Mitteln knacken könnten, haben aber abgelehnt.
Friedhelm Pickhard, Prof. Dr. Christof Paar und Dr. Thomas Wollinger im Gespräch mit AUTOMOBIL-ELEKTRONIK-Redakteur Alfred Vollmer (v.l.n.r.)Alfred Vollmer
Friedhelm Pickhard: Manipulationen an Fahrzeugen waren schon immer möglich. Das Problem bei den elektronischen Manipulationen liegt darin, dass die Manipulation aus der Ferne bei vielen verschiedenen Fahrzeugen möglich ist.
Prof. Christof Paar: Es hat nie einen Security-Hype im Automobilbereich gegeben; dadurch erfährt dieses Thema zu wenig Aufmerksamkeit auf der technischen Seite. Dabei wird es zunehmend einfacher, Fahrzeuge zu manipulieren.
Wo sehen Sie das größte Gefährdungspotential?
Dr. Thomas Wollinger: Ein Tor für eventuelle Manipulationen ist die Internet-Schnittstelle des Fahrzeugs, aber auch bei der zunehmenden Vernetzung der Fahrzeuge miteinander und mit der Infrastruktur besteht ein hohes Gefährdungspotential. Ohne Security gibt es gar keine Möglichkeit, Car-to-X zu implementieren.
Prof. Christof Paar: Bei Car-to-X-Communication, C2XC, sehe ich die Gefahr, dass die Umsetzung dieses Projekts in letzter Sekunde durch die Politik gestoppt wird, wenn es Bedenken bezüglich der Privatsphäre gibt. Allein schon deshalb ist Security bei C2X ein absolutes Muss.
Wie hoch ist die Bereitschaft der OEMs und Tier-1s, in Security zu investieren?
Dr. Thomas Wollinger: Auf Arbeitsebene bei den OEMs haben viele Ingenieure die Idee, die Security von Fahrzeugen zu verbessern. Wir arbeiten mit den Unternehmen zusammen, oftmals auch nach Unterzeichnung eines Geheimhaltungsvertrages. Bei vielen Unternehmen ist die Bedeutung der Security im Fahrzeug mittlerweile angekommen, aber noch nicht flächendeckend. Zudem besteht oftmals der Ansatz in der Automobil- und Zulieferindustrie, nur Teilaspekte zu betrachten, sodass es in technischer Hinsicht bei der Security noch einiges zu tun gibt, denn Security lässt sich nur über einen ganzheitlichen Ansatz realisieren.
Es ist sinnvoll, das Gesamtkonstrukt „Fahrzeug“ in diesem Sinne zu betrachten „Wenn ein Glied der Kette bricht, dann hat die gesamte Kette ein Problem“. Wenn in einem Haus eine dicke Stahltür eingebaut ist, aber zusätzlich eine Hintertür aus Holz existiert, dann ist es klar, welche Tür Eindringlinge wählen. So müssen wir das gesamte Fahrzeug mit all seinen Steuergeräten, Bussen sowie der internen und externen Kommunikation betrachten und eine Security-Lösung für das gesamte Fahrzeug erstellen. Im Rahmen des Internets der Dinge muss man das Fahrzeug gar als einen Knoten innerhalb eines großen Gesamtnetzwerks sehen und diesen Knoten sowie den entsprechenden Teil des Netzwerks sicher gestalten.
Friedhelm Pickhard: „Mit der Bedeutung von Safety wächst auch die Bedeutung der Security, da Safety ohne Security nicht möglich ist.“Alfred Vollmer
Wie lassen sich Fahrzeugsysteme vor böswilligen Angriffen schützen?
Dr. Thomas Wollinger: Ein wesentlicher Punkt besteht darin, im kompletten Entwicklungszyklus eines Fahrzeugs, einer Funktion beziehungsweise eines Steuergeräts jeweils die Security zu verankern. Wir gehen von Anfang an den kompletten Lebenszyklus mit den Ingenieuren durch. Dazu betrachten wir Use-Cases und überlegen, wo potenzielle Probleme sind, was passiert, wenn diese Probleme auftreten, wie groß dann der wirtschaftliche Schaden und der Image-Schaden wäre. Die Ingenieure entwickeln somit ihre Funktion, und wir versuchen, die Security-Komponente für ganze Funktionsblöcke mit zu entwickeln. Auch in der Implementierungsphase ist die Security ein großes Problem, da Security-Implementierungen andere Anforderungen an den Informatiker stellen.
Prof. Christof Paar: Diese Aspekte sind sehr spezifisch, und das Wissen darüber ist nur sehr selten vorhanden. Teilweise sind die Anforderungen der Security auch orthogonal zu einer zuverlässigen Software zu verstehen. Um etwas sicher zu machen, ist es beispielsweise erforderlich, die Software künstlich zu verlangsamen, um eine konstante Laufzeit zu gewährleisten. Die Umsetzung von Sicherheit in eingebetteten Geräten benötigt Spezialwissen aus verschiedenen Disziplinen. Wichtig ist ein ganzheitlicher Ansatz beim Design und über den gesamten Lebenszyklus hinweg, ebenso ist Ganzheitlichkeit über alle Fahrzeugkomponenten hinweg gefragt.
Welche Schutzmaßnahmen sind erforderlich?
Friedhelm Pickhard: Wir möchten die Software nicht nur von außen, sondern auch von innen schützen. Schließlich möchte jeder OEM sicherstellen, dass die Werkstätten ausschließlich autorisierte Software-Updates durchführen. Auch bei einem direkten Zugriff auf die gesamte Hardware und das Netzwerk müssen die Applikationen geschützt sein. Ein Motorsteuergerät muss sich beispielsweise auf seine Sensordaten verlassen können; durch das Vorgaukeln anderer Sensor-Messwerte lässt sich das Motorverhalten ändern, ohne dass hierfür ein Eingriff in die eigentliche Regelungs-Software notwendig ist. An diesem Beispiel sieht man, dass bereits kleine Aspekte sehr wichtig sind.
Die Dichte zwischen Mensch und Maschine wird immer größer, und von daher wird auch Safety immer wichtiger. Mit der Bedeutung von Safety wächst auch die Bedeutung der Security, da Safety ohne Security nicht möglich ist.
Ein Beispiel aus der Medizinelektronik macht das besonders deutlich. Die Kalibrierung und Programmierung von Herzschrittmachern erfolgt über eine Funkschnittstelle, damit nicht bei jeder Software- oder Parameter-Änderung eine Operation erforderlich ist. Man kann sich leicht vorstellen, welche katastrophalen Folgen eine Manipulation des Herzschrittmachers haben kann. Aus diesem Grund ist eine datentechnische Absicherung im Sinne der Security hier im wahrsten Sinne des Wortes überlebenswichtig.
Prof. Dr. Christof Paar: „Wichtig ist ein ganzheitlicher Ansatz beim Design und über den gesamten Lebenszyklus hinweg.“Alfred Vollmer
Wie unterscheidet sich Embedded-Security von der klassischen IT-Security?
Dr. Thomas Wollinger: Das ist genau einer der Punkte, warum wir so erfolgreich sind. Wir kennen die Branche beziehungsweise arbeiten uns ein. So sind wir schon seit der Gründung von Escrypt innerhalb der Embedded-Domain speziell in der Automobilbranche tätig. Daher kennen wir nicht nur die Datensicherheit, sondern auch die Branche, die Probleme und die Sprache, so dass wir die branchenspezifischen Probleme lösen können. Der klassische Ansatz, der am Laptop durchaus funktioniert, scheidet aus, da in der Embedded-Domain im Allgemeinen einerseits nicht die Rechenkapazität und der Speicher zur Verfügung stehen, andererseits völlig unterschiedliche finanzielle Rahmenparameter gelten. Im Vergleich zu Sicherheitsanwendungen im Bankenbereich steht für die Security zum Beispiel im Kraftfahrzeugbereich nur vergleichsweise sehr wenig Geld zur Verfügung.
Warum hat ETAS die Escrypt GmbH übernommen?
Friedhelm Pickhard: Security ist die Grundlage für Safety. Wenn wir nicht garantieren können, dass die Funktionen im Fahrzeug so funktionieren, wie wir es möchten, gibt es auch keine Safety – und wenn Manipulationen erfolgen, dann ist die einwandfreie Funktion nicht mehr sichergestellt. Aus diesem Grund ist die Übernahme von Escrypt für ETAS eine sinnvolle Ergänzung, denn wir kennen uns sehr gut im Bereich Safety, Safety-Prozesse und bei der Entwicklung von funktionssicherer Embedded-Software aus. Unsere Lücke in Bereich Security haben wir mit dieser Akquisition geschlossen.
Das Thema Security ist schon sehr lange auf unserer Agenda. Bei ETAS waren wir uns einig, dass wir im Bereich Security aktiv werden wollten. Wir haben dann erfahren, dass die Shareholder von Escrypt gerne verkaufen möchten und wurden uns einig.
Prof. Christof Paar: Wir haben über die Jahre schon immer wieder Anfragen von Unternehmen bekommen, aber es war uns sehr wichtig, Escrypt inhaltlich in gute Hände zu geben. Für uns bietet ETAS als Bosch-Tochtergesellschaft eine sehr gute Weiterführung der Escrypt- Technologie.
Dr. Thomas Wollinger: Wir können jetzt ganz anders weltweit agieren, aber auch viel besser wachsen. Nachdem uns ETAS übernommen hat, erhielt ich einen Anruf von einem Tier-1, der mir gleich einen größeren Auftrag in Aussicht stellte mit dem Kommentar „Jetzt wissen wir, dass Escrypt auch noch in zehn Jahren auf dem Markt bestehen wird“. Wichtig für diesen Tier-1 ist einerseits die Beständigkeit des Unternehmens und andererseits die Fähigkeit, auch komplexere und sehr große Projekte abarbeiten zu können.
Dr. Thomas Wollinger: „Ein Tor für eventuelle Manipulationen ist die Internet-Schnittstelle des Fahrzeugs... Ohne Security gibt es gar keine Möglichkeit, Car-to-X zu implementieren.“Alfred Vollmer
Wie geht es mit Escrypt weiter?
Dr. Thomas Wollinger: Wir bleiben vom Marktauftritt und als eigenständiges Unternehmen bestehen. Auch die Standorte sowie die Ansprechpartner bleiben unverändert. Zusammen mit ETAS wollen wir noch weiter wachsen und die bestehenden Standorte ausbauen sowie in den nächsten Jahren weitere Standorte, wie zum Beispiel in Asien eröffnen.
Friedhelm Pickhard: ETAS kann mit Escrypt die Themen Safety und Security anbieten, Escrypt kann mit ETAS die Themen Security und Safety anbieten. Wir werden auch gemeinsam am Markt auftreten und gemeinsam versuchen, die Standardisierung voranzutreiben, da die Prozesse und Verfahren für Safety in der Entwicklung von der formalen Seite her in vielen Punkten auch im Bereich Security nutzbar ist. In diesen Bereichen werden wir sowohl Beratungs- als auch Ingenieurs-Dienstleistungen anbieten.
A propos anbieten: Was genau bietet Escrypt an?
Dr. Thomas Wollinger: Wir sind aktiv in den Bereichen Beratung, Software und Hardware sowie in der Umsetzungen von kompletten Security-Lösungen für unterschiedliche Industrien. Hardware bedeutet für uns, dass wir Security-Teile für ASICs oder FPGA-Implementierungen zuliefern. Escrypt bietet weiterhin Produkte für die Umsetzung für verschiedene Anwendungsdomänen an, wie zum Beispiel sicheres Flashen und Software-Download, sicheres Freischalten von Daten und Funktionen und das Key-Management. Desweiteren bieten wir speziellere Lösungen an wie die Absicherung durch ESCPRYT-Produkte von der C2X-Kommunikation oder Werkzeuge zum Testen und Analysieren von Implementierungen – Stichwort Seitenkanalanalyse. Escrypt war beispielsweise maßgeblich an der Erstellung der Secure Hardware Extension SHE des HIS-Konsortiums beteiligt. Wir haben eine Referenzimplementierung verfügbar und mehrere Halbleiterhersteller bei der Hardware-Implementierung von SHE unterstützt. Auch weiterhin bieten wir Consulting-Dienstleistungen für die sichere Implementierung sowie Integration für Security-Software und -hardware an.
Gibt es überhaupt genügend Personal, das über das notwendige Security-Know-how verfügt?
Dr. Thomas Wollinger: Bochum hat hier ganz klar eine Vorreiterrolle durch die Bachelor-und Master-Studiengänge an der Universität, aber mittlerweile gibt es in ganz Deutschland Universitäten, die entsprechende Lehrgänge anbieten.
Prof. Christof Paar: An der Ruhr-Universität Bochum unterrichten wir Embedded-Security seit dem Jahr 2000. Für unsere 500 bis 600 Studenten gibt es einen Bachelor-Studiengang und drei Master-Studiengänge in IT-Sicherheit. Damit sind wir mit Abstand die erste und die größte Ausbildungsstätte für Security in Europa. Bochum bildet über die Hälfte aller Spezialisten für IT-Sicherheit in Deutschland aus. Bezüglich der Embedded-Security ist unsere Stärke, dass die Studiengänge in der Elektrotechnik verankert sind und so auch die Ingenieursaspekte Teil der Ausbildung sind.
Wie stellt Escrypt sicher, dass die hoch vertraulichen Kundendaten auch wirklich vertraulich bleiben?
Dr. Thomas Wollinger: Wir arbeiten schon seit Beginn der Escrypt für die deutschen Behörden,zum Beispiel für das BSI, Bundesamt für Sicherheits- und Informationstechnologie. Die Behördenprojekte unterliegen höchsten Geheimhaltungsverpflichtungen, welche wir auch für unsere Industriekunden anwenden. Wir haben diverse Sicherheitsvorkehrungen getroffen. Dieses Gespräch führen wir beispielsweise in einem abhörsicheren Konferenzraum. Dieser Raum kann nicht mit Laserstrahlen „abgehört“ werden und die speziellen Alarmtapeten verhindern Einbrüche. .
Wie sehen Sie die Marktchancen für Security-Unternehmen im Bereich Automobil-Industrie?
Prof. Christof Paar: Ein Blick auf den Markt zeigt uns, dass die Security im Auto ein sehr komplexes Thema ist. Es gibt Hunderte von Unternehmen, die sich auf allgemeine IT-Sicherheit spezialisiert haben, aber Escrypt hat schon fast ein Alleinstellungsmerkmal im Embedded-Bereich.
Friedhelm Pickhard: Escrypt erzielte von Anfang an einen Gewinn. Es handelt sich hier somit schon heute um ein erfolgreiches Geschäftsmodell, und das Unternehmen wächst. Wie stark es wächst, hängt ein bisschen davon ab, dass das Thema C2X kommt. Wenn Car-to-Car- oder Car-to-Infrastructure Kommunikation kommt, dann wird es auch Bedarf für eine weltweite Publik-Key-Infrastruktur geben. Wenn in Zukunft Verkehrsschilder mit einem Fahrzeug kommunizieren, dann muss sichergestellt sein, dass es sich um vertrauenswürdige Verkehrsschilder handelt. Dieses Vertrauen lässt sich durch Zertifikate herstellen. Zertifikate müssen erzeugt und verteilt werden, und auch die Empfänger der Zertifikate müssen überprüft werden. Darauf bereiten wir uns vor; über das Bosch-Netzwerk sind wir in der Lage, diesen Service weltweit anzubieten – und zwar als Trust-Center und als Dienstleister. .
Wer bietet diese Dienstleistung dann an?
Friedhelm Pickhard: Services rund um das Thema Trust-Center bieten wir schon heute an, und da Escrypt in der ETAS Group für Security verantwortlich ist, tritt Escrypt hier als Anbieter auf. Auch die Technologie kommt von Escrypt.
Dr. Thomas Wollinger: Wir haben die Technologie, das Know-how und die Software für das Gesamtsystem vom Backend bis zum Steuergerät im Fahrzeug.
Prof. Christof Paar: Wichtig ist dabei, dass trotz der genauen Identifizierung des Fahrzeugs immer noch die Privatsphäre gewahrt bleibt. Die Umsetzung dieser Aufgabe ist alles andere als trivial, aber auch hier haben wir bei Escrypt schon sehr viel Know-how aufgebaut.
Das Gespräch führte Alfred Vollmer, Redakteur der AUTOMOBIL-ELEKTRONIK.
Alfred Vollmer
