Cyber-Sicherheit

(Bild: Continental)

Die technische Weiterentwicklung von Fahrzeugen basiert zunehmend auf ständiger Vernetzung sowie neuen Funktionen, die im Kern auf Software beruhen. Bereits seit 1996 werden Fahrzeuge über Telematik-Einheiten oder die Einbindung mobiler Endgeräte mit dem Internet verbunden. Im nächsten Schritt werden sie zum Bestandteil des Internet of Everything (IoE). Megatrends wie intelligente Mobilität, automatisiertes Fahren und Elektrifizierung setzen ständige Konnektivität voraus.

Das Thema Schutz und Sicherheit gewinnt dabei enorm an Bedeutung. Ganzheitliche Vernetzung ist ohne Strategien für Cyber-Sicherheit nicht denkbar. Gleichzeitig muss bei diesem Thema langfristig geplant werden: Aus guten Gründen hat das US-Repräsentantenhaus das Selbstfahr-Gesetz (Safely Ensuring Lives Future Deployment and Research In Vehicle Evolution Act, SELF DRIVE Act) verabschiedet. Es verlangt von den Herstellern einen Cyber-Sicherheitsplan und eine Updatefunktion für die komplette Lebensdauer hochautomatisierter Autos.

Cyber-Sicherheit

Bild 1: Updates über die Luftschnittschnelle gewinnen stark an Bedeutung. Continental

Künftig müssen auch „alte“ IoE-Fahrzeuge aktuell gehalten werden können, denn nur so ist ein Schutz vor Datenmissbrauch und der kriminellen Energie von Hackern möglich. Dieser Wettlauf zwischen Angriffs- und Schutzstrategien setzt zwingend den Zugang zu Fahrzeugen über eine Luftschnittstelle voraus (Bild 1). Dank ganzheitlicher Vernetzung ist dieser Zugang gegeben, aber er muss auch sicher sein. Deshalb gilt hier eine Zirkularlogik: Drahtlose Updates benötigen Cyber-Sicherheit, Cyber-Sicherheit benötigt drahtlose Updates. Auf dieser Grundlage entwickelt Continental ein ganzheitliches Sicherheitssystem für vernetzte Fahrzeuge.

Als Konsequenz Vertrauen schaffen

Noch sind Angriffe auf das Fahrzeug vor allem wissenschaftlich motiviert. Angesichts von Hackerkonferenzen, bei denen 100 Personen gleichzeitig am Fahrzeugbus „arbeiten“, wäre es aber unverantwortlich davon auszugehen, dass das so bleibt. Für die Zukunft wird die Vertrauensfrage entscheidend: Welchem Absender und welcher Botschaft kann ein Fahrzeug oder das Backend vertrauen?

Zur Lösung gehören digitale Zertifikate, die an jeder Kommunikation beteiligt sind. Durch Schlüsselaustausch als Teil jeder Kommunikation authentifizieren sich Absender und Empfänger gegenseitig als berechtigt. Während dieses bewährten Verfahrens werden die Schlüssel innerhalb eines zufallsgesteuerten Intervalls gewechselt. Nur berechtigte Steuergeräte (Electronic Control Unit, ECU) verfügen über die Zertifikate, um die richtigen Schlüssel zu erzeugen. Nach diesem Verfahren kann man verifizieren, dass beispielsweise ein Software-Patch tatsächlich vom Hersteller beabsichtigt ist. Um diese Authentifizierung zu ermöglichen, hat Continental modellhaft ein Online Trust Center (OTC) aufgebaut.

Und doch zeigt das erfolgreiche Brechen von Verschlüsselungsstandards wie AES 128 (Advanced Encryption Standard): Es muss gar nicht das System selbst sein, das angreifbar ist, sondern die Art, wie es implementiert ist, kann zum Einfallstor werden. Es führt also kein Weg daran vorbei, ständig die Empfindlichkeit der Systeme zu testen und dabei immer neue Wege zu suchen. Voraussetzung dafür ist eine Kombination aus tiefem Know-how über Sicherheit und ebenso detailliertem Automotive-Know-how. Im Security and Privacy Competence Center bei Continental wird beides genutzt, um Systeme zu hacken. Dabei gemachte Erkenntnisse fließen in die Entwicklungsmethoden des Unternehmens ein, um solide Prozesse zu gewährleisten.

Aus beiden Aktivitäten (digitale Zertifikate und Testlabor) ergibt sich ein produktives Spannungsverhältnis zwischen Vertrauensaufbau und systematischer Überprüfung der Vertrauensgrundlagen: Nur nach Prüfung der digitalen Signatur darf zum Beispiel neue Software (Patch) aufgespielt werden. Die wechselseitige Authentifizierung von Backend und Fahrzeug ist für beide Seiten wichtig, denn die Sicherheit des Backends ist auch abhängig von der Sicherheit des Fahrzeugs. Sicherheit ist grundsätzlich ein dynamischer Prozess, der immer weiter geht. Alle Sicherheitslücken, die es gibt, müssen gefunden werden. Fehler können auf keinen Fall toleriert werden.

Voraussetzungen für Sicherheit

Wenn man bedenkt, welche Tragweite drahtlose Software-Updates haben können, so zeigt sich, wie zwingend ein ganzheitliches Sicherheitssystem ist: Erforderlich sind nicht „nur“ Updates zur Fehlerbehebung und Verbesserung von Funktionen. Auch Sicherheitsfunktionen und selbst die Kryptographie müssen auf den neuesten Stand gebracht werden können. Will man gerechtfertigtes Vertrauen in ständige Konnektivität schaffen, so gehören dazu fünf Bausteine:

  • Die Kommunikation innerhalb des Fahrzeugs sowie zwischen Fahrzeug und Umwelt muss sicher sein (Internet, V2X).
  • Die Speicherung von sicherheitsrelevanten Informationen wie Zertifikate, die für den Zugang zu ECU erforderlich sind, muss abgesichert sein.
  • Prozesse wie Software-Updates über Luftschnittstelle, der Bootvorgang, das Flashen und Debuggen müssen gegen Manipulation sowie nicht autorisierte Quellen und Anforderungen geschützt werden.
  • Der Zugang muss gesichert sein, indem sichergestellt wird, dass nur autorisierte Quellen mit dem Fahrzeug kommunizieren können und nur auf berechtigte Anforderungen eingegangen wird. Neue Funktionen dürfen nur von berechtigten und authentifizierten Quellen angenommen werden.
  • Die Privatsphäre des Fahrers muss sichergestellt sein, indem das Fahrzeug durch dynamische IDs und Pseudonyme weder auffindbar noch identifizierbar gemacht wird.

Auf der nächsten Seite geht es um ein ganzheitliches Sicherheitssystem.

Ganzheitliches Sicherheitssystem

Cyber-Sicherheit

Bild 2: Die Cyber-Sicherheit-Architektur umfasst Fahrzeugsysteme und das Backend. Continental

Um eine sichere, ständige Vernetzung zu ermöglichen, bedarf es einer umfassenden Sicherheitsarchitektur, die alle fünf oben genannten Bausteine beinhaltet und eine für beide Seiten sichere Kommunikation zwischen Fahrzeug und Backend, beziehungsweise Fahrzeug und Fahrzeug, ermöglicht. Diese Cyber-Sicherheit und Architektur der Software-Updates ist vereinfacht in Bild 2 dargestellt.

Die Anbindung an die Umwelt wird von dem Network Access Device (NAD) im Fahrzeug ermöglicht. Dieses NAD kann wahlweise als separate Telematik-Einheit ausgeführt oder in ein intelligentes Antennenmodul (IAM) integriert sein. Ein Gateway fungiert als Mittler zwischen den verschiedenen Netzwerkdomänen im Fahrzeug und entspricht damit einem Fahrzeug-Router für die Kommunikation. Zusammen bilden NAD und Gateway damit die physikalische Infrastruktur für drahtlose Updates. Je nach Systemkonfiguration werden Software-Downloads beim Empfang aus der Cloud wahlweise in einem der beiden Module zwischengespeichert. Zu einem angemessenen Zeitpunkt wird der Patch oder die Funktion von dort aus an die jeweils adressierte ECU zur Installation weitergeleitet.

Das hier vorgestellte Cyber-Sicherheitssystem beginnt am Zugangspunkt zum Fahrzeug. Es besteht aus einer Reihe von Software-Bausteinen, die gemeinsam einen ganzheitlichen Ansatz für Cyber-Sicherheit und Software-Updates über Luftschnittstelle umsetzen. Das Sicherheitssystem basiert auf drei Axiomen:

  • Updates setzen Cyber-Sicherheit voraus, und Cyber-Sicherheit benötigt kontinuierliche Updates. Es gibt keine sichere, drahtlose Verbindung ohne eine sichere Validierung des Updates.
  • Auch das Backend muss in der Lage sein, ein Fahrzeug als gültig identifizieren zu können, ebenso wie das Fahrzeug das Backend als solches identifizieren können muss.
  • Jedes Eindringen und jeder Vorfall müssen von einer Cyber-Sicherheit-Infrastruktur im Fahrzeug und im Backend erkannt werden.

Anhand eines fiktiven automatisierten Fahrzeugs und seines Bedarfes an aktuellen Informationen soll ein praktisches Beispiel für das Zusammenwirken der Komponenten der in Bild 2 gezeigten Infrastruktur für Cyber-Sicherheit gegeben werden. Jede eingehende Nachricht vom Backend oder von einem anderen Fahrzeug passiert zunächst eine „Attack Surface Protection and Detection“-Einheit. Mittels Schlüsselaustausch prüft sie, ob die Nachricht von einem gültigen Kommunikationspartner stammt, der die Berechtigung hat, Informationen oder Datenpakete zu senden. Teil dieser Schutzmaßnahme ist eine fahrzeuginterne Analyse der Kommunikationsmuster. Durch ständige Analyse von Kommunikationsabläufen erkennen die Algorithmen Muster sowie plötzliche Abweichungen davon. Dieser adaptive Prozess wird von stets einzuhaltenden Regeln ergänzt, wie etwa der, dass eine Multimediaeinheit niemals einen Bremseingriff veranlassen darf.

Fällt bei der Analyse eine Anomalie auf, wird sie an die nachgeschaltete Instanz weitergeleitet, das In-Vehicle State-of-Health Monitoring. Diese Software erfüllt die Rolle eines Vehicle Security Master, vergleichbar etwa einer „Brandmeldezentrale“ in einem Gebäude. Von hier aus werden Anomalien oder ein Eindringen an die Analyseinstanz im Backend gemeldet, wo das Security Field Monitoring stattfindet. Dort wird unter anderem erfasst, wie viele Fahrzeuge betroffen sind, ob es sich um einen isolierten Vorfall handelt, ob dahinter eine einzelne Mobilfunkbasisstation steckt, ob eine bestimmte Region, eine Marke oder ein Modell betroffen ist oder womöglich eine Kfz-Werkstatt gehackt wurde.

Basierend auf dem Ergebnis dieser Backend-Analyse schließen sich Gespräche mit dem Fahrzeughersteller an, um geeignete Gegenmaßnahmen festzulegen. Wenn dazu die Entwicklung eines Patches gehört, wird dieser anschließend über Luftschnittstelle versendet. An diesem Punkt beginnt der Kreislauf von neuem mit der gegenseitigen Authentifizierung von Fahrzeug (Cyber Security Infrastruktur) und Backend mittels Schlüsselaustausch und dem anschließenden Download des Patches.

Für den Fahrer ist bei all diesen Abläufen wichtig, dass er über das aktuelle Sicherheitsniveau seines Fahrzeugs informiert wird. Nur so kann er Vertrauen in die Cyber-Sicherheit seines Fahrzeugs entwickeln. Auch politische Entscheider und die Versicherungswirtschaft werden eine solche Metrik verlangen, um den Sicherheitsstand eines bestimmten Modells und Baujahrs bewerten zu können.

Incident Response Management

Cyber-Sicherheit

Bild 3: Das Incident Response Management basiert auf Informationen aus dem Fahrzeug sowie von anderen Quellen und auf anschließenden firmenseitigen Abläufen. Continental

Einer der wichtigsten Bestandteile einer ganzheitlichen Cyber-Sicherheit ist das Nachverfolgen von „Ereignissen“ (Events) und Ergebnissen der Backend-Analyse innerhalb des Incident Response Managements. Als Quellen für Ereignisse kommen durch wissenschaftlich motiviertes Hacking entdeckte Hardware-Schwachstellen ebenso wie Meldungen aus Fahrzeugen in Frage. Erst durch Analyse wird entschieden, ob ein Ereignis sicherheitsrelevant ist und damit zum „Vorfall“ (Incident) wird.

Nach dieser Einstufung folgt die genauere Untersuchung der Art des Vorfalls. Sobald klar ist, welche Hardware, welche Kommunikationseinrichtung(en) und welche möglichen Partner betroffen sind, wird der Vorfall zur Lösung an ein Expertenteam von Continental übergeben (Bild 3).

Eck-DATEN

Der Bedarf an drahtlosen Software-Updates wird wachsen, weil nur so eine Aktualisierung von Systemen und auch die Installation gänzlich neuer Funktionen in bestehenden Fahrzeugen möglich sind. Gleichzeitig kann es solche Updates nicht ohne Cyber-Sicherheit geben – ebenso wie es keine Cyber-Sicherheit ohne kontinuierliche Software-Updates gibt. Zu einer ganzheitlichen Cyber-Sicherheit-Lösung gehört deshalb eine wechselseitige Authentifizierung von Backend und Fahrzeug bei jedem Kommunikationsvorgang. Nur mit einem ganzheitlichen System kann das vernetzte Fahrzeug erfolgreich sein und das Vertrauen der Fahrer gewinnen.

Stefan Römmele

Leiter des Security and Privacy Competence Center bei Continental

Jörg-Michael Zimmermann

Leiter Sales & Portfolio für Body & Security bei Continental

(ku)

Sie möchten gerne weiterlesen?

Unternehmen

Continental AG

Vahrenwalder Str. 9
30165 Hannover
Germany