Ganzheitliches Sicherheitssystem

Cyber-Sicherheit

Bild 2: Die Cyber-Sicherheit-Architektur umfasst Fahrzeugsysteme und das Backend. Continental

Um eine sichere, ständige Vernetzung zu ermöglichen, bedarf es einer umfassenden Sicherheitsarchitektur, die alle fünf oben genannten Bausteine beinhaltet und eine für beide Seiten sichere Kommunikation zwischen Fahrzeug und Backend, beziehungsweise Fahrzeug und Fahrzeug, ermöglicht. Diese Cyber-Sicherheit und Architektur der Software-Updates ist vereinfacht in Bild 2 dargestellt.

Die Anbindung an die Umwelt wird von dem Network Access Device (NAD) im Fahrzeug ermöglicht. Dieses NAD kann wahlweise als separate Telematik-Einheit ausgeführt oder in ein intelligentes Antennenmodul (IAM) integriert sein. Ein Gateway fungiert als Mittler zwischen den verschiedenen Netzwerkdomänen im Fahrzeug und entspricht damit einem Fahrzeug-Router für die Kommunikation. Zusammen bilden NAD und Gateway damit die physikalische Infrastruktur für drahtlose Updates. Je nach Systemkonfiguration werden Software-Downloads beim Empfang aus der Cloud wahlweise in einem der beiden Module zwischengespeichert. Zu einem angemessenen Zeitpunkt wird der Patch oder die Funktion von dort aus an die jeweils adressierte ECU zur Installation weitergeleitet.

Das hier vorgestellte Cyber-Sicherheitssystem beginnt am Zugangspunkt zum Fahrzeug. Es besteht aus einer Reihe von Software-Bausteinen, die gemeinsam einen ganzheitlichen Ansatz für Cyber-Sicherheit und Software-Updates über Luftschnittstelle umsetzen. Das Sicherheitssystem basiert auf drei Axiomen:

  • Updates setzen Cyber-Sicherheit voraus, und Cyber-Sicherheit benötigt kontinuierliche Updates. Es gibt keine sichere, drahtlose Verbindung ohne eine sichere Validierung des Updates.
  • Auch das Backend muss in der Lage sein, ein Fahrzeug als gültig identifizieren zu können, ebenso wie das Fahrzeug das Backend als solches identifizieren können muss.
  • Jedes Eindringen und jeder Vorfall müssen von einer Cyber-Sicherheit-Infrastruktur im Fahrzeug und im Backend erkannt werden.

Anhand eines fiktiven automatisierten Fahrzeugs und seines Bedarfes an aktuellen Informationen soll ein praktisches Beispiel für das Zusammenwirken der Komponenten der in Bild 2 gezeigten Infrastruktur für Cyber-Sicherheit gegeben werden. Jede eingehende Nachricht vom Backend oder von einem anderen Fahrzeug passiert zunächst eine „Attack Surface Protection and Detection“-Einheit. Mittels Schlüsselaustausch prüft sie, ob die Nachricht von einem gültigen Kommunikationspartner stammt, der die Berechtigung hat, Informationen oder Datenpakete zu senden. Teil dieser Schutzmaßnahme ist eine fahrzeuginterne Analyse der Kommunikationsmuster. Durch ständige Analyse von Kommunikationsabläufen erkennen die Algorithmen Muster sowie plötzliche Abweichungen davon. Dieser adaptive Prozess wird von stets einzuhaltenden Regeln ergänzt, wie etwa der, dass eine Multimediaeinheit niemals einen Bremseingriff veranlassen darf.

Fällt bei der Analyse eine Anomalie auf, wird sie an die nachgeschaltete Instanz weitergeleitet, das In-Vehicle State-of-Health Monitoring. Diese Software erfüllt die Rolle eines Vehicle Security Master, vergleichbar etwa einer „Brandmeldezentrale“ in einem Gebäude. Von hier aus werden Anomalien oder ein Eindringen an die Analyseinstanz im Backend gemeldet, wo das Security Field Monitoring stattfindet. Dort wird unter anderem erfasst, wie viele Fahrzeuge betroffen sind, ob es sich um einen isolierten Vorfall handelt, ob dahinter eine einzelne Mobilfunkbasisstation steckt, ob eine bestimmte Region, eine Marke oder ein Modell betroffen ist oder womöglich eine Kfz-Werkstatt gehackt wurde.

Basierend auf dem Ergebnis dieser Backend-Analyse schließen sich Gespräche mit dem Fahrzeughersteller an, um geeignete Gegenmaßnahmen festzulegen. Wenn dazu die Entwicklung eines Patches gehört, wird dieser anschließend über Luftschnittstelle versendet. An diesem Punkt beginnt der Kreislauf von neuem mit der gegenseitigen Authentifizierung von Fahrzeug (Cyber Security Infrastruktur) und Backend mittels Schlüsselaustausch und dem anschließenden Download des Patches.

Für den Fahrer ist bei all diesen Abläufen wichtig, dass er über das aktuelle Sicherheitsniveau seines Fahrzeugs informiert wird. Nur so kann er Vertrauen in die Cyber-Sicherheit seines Fahrzeugs entwickeln. Auch politische Entscheider und die Versicherungswirtschaft werden eine solche Metrik verlangen, um den Sicherheitsstand eines bestimmten Modells und Baujahrs bewerten zu können.

Incident Response Management

Cyber-Sicherheit

Bild 3: Das Incident Response Management basiert auf Informationen aus dem Fahrzeug sowie von anderen Quellen und auf anschließenden firmenseitigen Abläufen. Continental

Einer der wichtigsten Bestandteile einer ganzheitlichen Cyber-Sicherheit ist das Nachverfolgen von „Ereignissen“ (Events) und Ergebnissen der Backend-Analyse innerhalb des Incident Response Managements. Als Quellen für Ereignisse kommen durch wissenschaftlich motiviertes Hacking entdeckte Hardware-Schwachstellen ebenso wie Meldungen aus Fahrzeugen in Frage. Erst durch Analyse wird entschieden, ob ein Ereignis sicherheitsrelevant ist und damit zum „Vorfall“ (Incident) wird.

Nach dieser Einstufung folgt die genauere Untersuchung der Art des Vorfalls. Sobald klar ist, welche Hardware, welche Kommunikationseinrichtung(en) und welche möglichen Partner betroffen sind, wird der Vorfall zur Lösung an ein Expertenteam von Continental übergeben (Bild 3).

Eck-DATEN

Der Bedarf an drahtlosen Software-Updates wird wachsen, weil nur so eine Aktualisierung von Systemen und auch die Installation gänzlich neuer Funktionen in bestehenden Fahrzeugen möglich sind. Gleichzeitig kann es solche Updates nicht ohne Cyber-Sicherheit geben – ebenso wie es keine Cyber-Sicherheit ohne kontinuierliche Software-Updates gibt. Zu einer ganzheitlichen Cyber-Sicherheit-Lösung gehört deshalb eine wechselseitige Authentifizierung von Backend und Fahrzeug bei jedem Kommunikationsvorgang. Nur mit einem ganzheitlichen System kann das vernetzte Fahrzeug erfolgreich sein und das Vertrauen der Fahrer gewinnen.

Seite 2 von 212