Für die Übernahme des Geodatenunternehmens Here von Nokia zahlten Audi, BMW und Daimler 2015 zusammen 2,8 Milliarden Euro. Deutlicher kann man die strategische Bedeutung von Navigationssystemen im Advent des autonomen Fahrens kaum machen. Exakte Positionsbestimmung ist Voraussetzung für hochautomatisiertes oder gar autonomes Fahren. Wichtigste Bausteine sind dabei die im Endausbau erwartete Genauigkeit des GNSS Galileo und hochwertiges Kartenmaterial.
Die Karten von Here (ehemals Nokia, zuvor Navteq) sind nach Angabe des Unternehmens bereits in vier von fünf Autonavigationssystemen in Europa und Nordamerika im Einsatz. Die Investition von 2015 und die seither erfolgten weiteren Beteiligungen scheinen sich gelohnt zu haben. Doch wie werden Navigationssysteme eigentlich vor Raubkopierern geschützt? Nutzen Lizenznehmer die technischen Möglichkeiten, um die Daten ausreichend zu schützen? Die Antwort ist nein.
Mehr als nur ein Schlüssel im Register
Um Kartendaten in ein Navigationssystem zu laden, werden üblicherweise SD-Speicherkarten (Secure Digital Memory Card) verwendet. Die Datenablage darauf ist in aller Regel verschlüsselt – aber nur per Software. Diese Art der Verschlüsselung lässt sich relativ einfach hacken, da der Schlüssel im Register desselben Speichers abgelegt ist. Von Lizenzschutz, Fälschungssicherheit oder der Möglichkeit einer verlässlichen zentralen Lizenzinventur kann keine Rede sein.
Eckdaten
SD-Speicherkarten enthalten per Software realisierte digitale IT-Sicherheit. Swissbit erweitert das Sicherheitskonzept hardware-seitig und kombiniert Flash-Speicherchip, Smartcard und Flash-Controller miteinander. Spezielle Firmware und integrierter AES-Enkryptor ermöglichen vielfältige Anwendungsszenarien auch im Automotive-Bereich. Die auswechselbaren Speicherkarten vereinfachen das Nachrüsten künftiger Funktionalitäten und IT-Sicherheitsanforderungen im rollenden IT-Netzwerk.
Dagegen braucht eine sichere Verschlüsselung ein verstecktes Authentifizierungsmerkmal, das sich nicht raubkopieren lässt. Tatsächlich gibt es bereits Lösungen, die an der Flash-Speicherkarte ansetzen. Der auf langlebige und langzeitverfügbare Speicherprodukte für industrielle Ansprüche spezialisierte Hersteller Swissbit bietet Speicherkarten mit integrierten Sicherheitsmerkmalen. Die sicheren Memory Cards kombinieren einen Flash-Speicherchip, eine Smartcard und einen Flash-Controller. Dessen spezielle Firmware mit integriertem AES-Enkryptor ermöglicht eine Vielzahl an Anwendungsszenarien. Die darin verwendete Java-Card-Smart-Card ist durch das deutsche BSI und französische ANSSI nach „Common Criteria Level EAL 5+” zertifiziert. Die Kombination des Identifizierungsmerkmals mit einem Standarddatenspeicher ist eine technisch elegante Lösung. Abhörsichere Handys, Bodycams oder fälschungssichere Registrierkassen werden bereits mit solchen Karten abgesichert.
Lizenzierung und Authentifizierung einfach integrieren
Kontrolle über Navigationssystemdaten zu bekommen und die Einhaltung von Lizenzbedingungen garantieren zu können, ist der unmittelbare Gewinn, den man aus dem Einsatz von Flash-Speichermodulen mit Secure Element ziehen kann. Doch dieser Ansatz eröffnet zusätzlich ein weites Feld von Anwendungsszenarien rund um Datenschutz und Cyber Security im Automobil. Die Infotainmentsysteme der Fahrzeuge sind Plattformen, auf der weitere Kommunikationsservices aufgesetzt werden können. Die Systeme werden zukünftige immer wichtiger als Schnittstelle zu IKT–Geräten und zum Internet.
Will man hierüber kostenpflichtige Dienste anbieten, Medieninhalte beziehen oder Maut abführen, stellt sich erneut die Frage der eindeutigen Identität und damit einer sicheren Authentisierungsinstanz. Auch hier sind Memory Cards mit integrierter Smartcard die ideale Lösung – gerade weil sie leicht auswechselbar sind. Den SD-Karten-Leser als Schnittstelle am Infotainmentgerät aufzugeben, sollte man sich zweimal überlegen. Mit den entsprechenden Karten lassen sich hier neue Funktionen nachgerüsten und zugleich auf höchstem kryptografischen Niveau absichern.
Security als Aspekt der funktionalen Sicherheit
Die immer stärkere Vernetzung innerhalb des Fahrzeugs und nach außen – Stichwort Fahrzeug-zu-Fahrzeug-Kommunikation (V2V) – hat in den vergangenen Jahren das Thema Security im Sinne der Abwehr von Cyberattacken zum Thema gemacht. Dies vor allem vor dem Hintergrund möglicher Einflüsse auf die funktionale Sicherheit. Der hier eingeführte Vorschlag der Nutzung von Speichermodulen mit einem Secure-Element ist auch im Zusammenhang mit Datenverkehr in Bordnetzen von Interesse. Die Kommunikation von ECUs über Bussysteme könnte verschlüsselt werden, wenn an Knotenpunkten zum Beispiel eine EMMC mit Secure-Element die Funktion eines Trusted Platform Module übernimmt. Das heißt, die Gefahr von Manipulationen der fahrzeuginternen Kommunikation würde dadurch abgewendet, dass diese ein Authentisierungsmerkmal nutzt.
Im Automobil wird zwischen sicherheitsrelevant und nicht-sicherheitsrelevant im Sinne der funktionalen Sicherheit (Safety) unterschieden. Diese Trennung wird üblicherweise so vollzogen, dass beispielsweise das Infotainmentsystem keinen Zugriff auf die sicherheitsrelevanten Systeme der Plattform bekommt. Es bedarf jedoch auch im nicht-sicherheitsrelevanten Bereich einer Option für flexible und nachhaltige (Cyber-)Sicherheit. Wenn die Lebenszyklen neuer Automobile zehn Jahre und mehr betragen, werden zwischenzeitlich viele, jetzt noch nicht spezifizierbare Anforderungen zu erfüllen sein, beispielsweise Toll Collection, E-Charging-Abrechnung, kostenpflichtige Medienmehrwertdienste, Update-Abonnements für Navigationskarten und vieles mehr.
Thema auf der nächsten Secure-Elemente flexibel austauschen und zukunftsfähige Funktionserweiterung mit Hardware-Kryptografie.
Secure-Elemente flexibel austauschen
Der Mehrwert des Infotainmentsystems soll und wird wachsen und immer wichtigere Aufgaben übernehmen. Andererseits werden über die Zeit immer ausgefeiltere Angriffe auf die IT-Systeme des Autos zukommen. Aus Sicherheitsgründen und aus Vorsorge sollte zur Absicherung der zukünftigen Geschäfte ein flexibel austauschbares Secure-Element in einer Speicherkarte vorgesehen sein. Das BSI fordert, stets den aktuellen Stand der Technik anzuwenden, was bei mehrere Jahre alten Sicherheitslösungen nicht mehr gegeben sein kann. Es ist daher ratsam, eine Option auf ein austauschbares Sicherheitsmodul zu wahren.
Neben der einfachen Um- und Nachrüstung ein weiterer Vorteil: Verschiedene Ausstattungsvarianten eines Modells, die sich an Software festmachen lassen, könnten auf diese Art und Weise sehr einfach verwaltet werden. Alle Varianten sind angelegt und mithilfe des Secure Elements auf der Speicherkarte werden die, die der Kunde gekauft hat, freigeschaltet – eine elegante Methode, wenigstens in einem Bereich die Variantenvielfalt in der Fertigung zu vereinfachen. Bei der Entscheidung zwischen einem aufgelöteten und einem austauschbaren Flash-Speicher ist übrigens zu bedenken, dass sich die Kombination aus häufigen Zugriffen und den herausfordernden Temperaturverhältnissen in Automobilen negativ auf die Lebensdauer der NAND-Chips in den Speichermodulen auswirkt. Das heißt, bei Memory Cards, die nicht durch den Fahrer austauschbar sind, müsste man deutlich teurere Lösungen wählen.
Zukunftsfähige Funktionserweiterung mit Hardware-Kryptografie
Der Schutz von Kartenmaterial durch Speicherkarten mit Sicherheitsmerkmal ist eine beispielhafte, aber sicher nicht die einzige Anwendung, in der die Kombination von Memory-Card und Smart-Card ein höheres Maß an Kontrolle und Sicherheit ermöglicht. Da vor allem an der Grenze zur Informations- und Kommunikationstechnik sowie der Consumer-Elektronik andere Sicherheitserwägungen, Entwicklungszyklen und Marktmechanismen am Werk sind als im Automobilbau selbst, bietet die Verwendung eines austauschbaren Standardelements die Möglichkeit, ein hohes Sicherheitsniveau auf hardware-basierter Kryptografie zu etablieren und zugleich dauerhaft flexibel für die Integration zusätzlicher Services zu bleiben.
(jwa)