Euro-MILS-Projekt strebt europaweite Zertifizierung an

Multiple Independent Layers of Security im Auto.Open Synergy

Der Automotive-Markt hat bereits auf die Anbindung des Autos an das Internet reagiert. Erste Systeme stehen bereit, die das Bordnetz gegen Zugriffe unberechtigter oder schädlicher Software schützen. Der besondere Anspruch an diese Systeme besteht darin, dass alle Funktionen nach wie vor die Automotive-Anforderungen erfüllen.

Eine weitere große Herausforderung für die Automobilhersteller ist die hohe Anzahl von Steuergeräten im Fahrzeug. Sie wirkt sich relevant auf das Gewicht des Autos und damit auf seinen Treibstoffverbrauch aus. Eine weitere Zunahme von Hardware im Fahrzeug wäre weder ökologisch noch ökonomisch verantwortbar. Hersteller und Zulieferer werden deshalb nicht umhinkommen, mehrere Funktionen auf einem Steuergerät zu integrieren.

Bild 1: Die Vernetzung des Fahrzeugs mit der Außenwelt ist nicht mehr aufzuhalten.Open Synergy

Das heißt, dass sowohl die Integration von Infotainment-Systemen zwecks Anbindung des Autos an externe Netze, als auch die Reduzierung der ECUs nach Konzepten verlangen, die die Integration von Software-Systemen mit heterogenen Sicherheitsanforderungen ermöglichen. Diese Ausgangssituation veranlasste 14 Unternehmen und Forschungseinrichtungen aus fünf europäischen Ländern, sich am 01.10.2012 zum sogenannten Euro-MILS-Projekt zusammenzuschließen. Die Projektpartner beabsichtigen, gemeinsam eine Lösung für vertrauenswürdige IKT (Informations und Kommunikationssysteme) zu entwickeln. Diese Lösung baut auf dem grundsätzlichen Ansatz der MILS-Architektur (Multiple Independent Levels of Security) auf.

Multiple Independent Levels of Security

Die MILS-Architektur basiert auf der Virtualisierungstechnologie. Als zentrale Komponente dieser Technologie dient ein Hypervisor. Er kann ein komplexes eingebettetes System in virtuelle Teilsysteme dekomponieren. So erzeugte Partitionen ermöglichen es, mehrere Softwaresysteme isoliert voneinander zu integrieren. Die Abschottung der Software in den einzelnen Partitionen lässt es zu, heterogene Systeme zu integrieren und deren Isolation in den jeweiligen Partitionen zu erreichen.

Bild 2: 14 Unternehmen und Forschungseinrichtungen aus fünf europäischen Ländern haben sich zum Euro-MILS-Projekt zusammengeschlossen.Open Synergy

Gleichzeitig wirken die Partitionen auch als Firewall und schotten die gesamte Plattform ab, so dass die Systeme nicht durch schädliche Manipulationen beeinträchtigt werden können. Die Virtualisierungstechnologie der MILS-Architektur bietet daher Sicherheit im dreifachen Sinne:

• Sicherheit im Sinne des Schutzes sicherheitskritischer Systeme gegenüber Systemen, die weniger kritischen Sicherheitsstufen zugeordnet werden.
• Sicherheit im Sinne der vollständigen Trennung zwischen fahrrelevanten Systemen und Open-Source-Software.
• Sicherheit im Sinne der Abschottung des Bordnetzes gegenüber Systemen, die Verbindung mit der Außenwelt, zum Beispiel mit dem Internet, aufnehmen.

Die Virtualisierungstechnologie eignet sich somit besonders für sicherheitskritische Bereiche, wie beispielsweise vernetzte Fahrzeuge. Sie kann alle Anforderungen der Anwender abdecken und gleichzeitig über nachvollziehbare zertifizierbare Sicherheitseigenschaften verfügen.

Bild 3: Die MILS-Architektur lässt die Integration heterogener Systeme zu.Open Synergy

Vertrauen durch Embedded-Virtualisierung

Das Ziel von Euro-MILS besteht darin, mit der erarbeiteten Virtualisierungslösung einen europaweiten Zertifizierungsstandard zu erreichen, denn durch die formal nachgewiesenen Sicherheits-Eigenschaften wird der Wunsch der Hersteller nach wiederverwendbaren sicheren Komponenten erfüllt. Die Wiederverwendbarkeit der MILS-Architektur in zentralen Komponenten erspart ihnen erhebliche Kosten, insbesondere bei zertifizierten Komponenten, wie beispielsweise dem Hypervisor. Auf diese Weise wird Euro-MILS zu einem breiten Einsatz der MILS-Architektur beitragen.

Die Euro-MILS-Partner werden aus dem allgemeinen Security-Standard „Common Criteria“ spezifische Kriterien für Software in den Domänen Avionik und Automotive ableiten. Anhand dieses sogenannten Security-Profils (Protection Profile der Common Criteria) können dann die nationalen Sicherheitsbehörden Softwareprodukte prüfen und gegebenenfalls zertifizieren. Euro-MILS fokussiert sich auf die folgenden Bausteine:

• Vertrauenswürdige Architekturen
• Formal nachgewiesene Sicherheitseigenschaften
• Enge Verzahnung mit gesetzlichen Vorgaben und Marktanforderungen.

Das Projekt arbeitet dabei domänen-übergreifend. Zieldomänen sind insbesondere die Automobilindustrie und die Luftfahrt. Die Euro-MILS-Lösung soll gerade für diese als kritisch betrachteten Domänen eine Virtualisierungslösung bereitstellen, die vertrauenswürdige Applikationen ermöglicht.

Bild 4: Die Virtualisierungstechnologie ermöglicht die isolierte Integration heterogener Softwaresysteme.Open Synergy

Sicherer Datenaustausch

Neben Abschottung ist der kontrollierte Datenaustausch zwischen den Partitionen ein weiterer wichtiger Baustein. Dabei muss sichergestellt werden, dass dieser Datenaustausch nach strengen Regeln eingeschränkt bleibt. Diese Regeln verhindern, dass unzulässige Daten ins Fahrzeugbordnetz gelangen oder umgekehrt persönliche Daten aus dem Fahrzeug ausgespäht werden. Angriffe durch böswillige Software im offenen Bereich dürfen keine Ansetzpunkte erhalten, um sicherheits-relevante Funktionen oder die Verfügbarkeit des Gerätes zu stören. Die entwickelte Architektur bietet entsprechende Möglichkeiten der kontrollierten Kommunikation.

Sicherheit testen

Als flankierende Maßnahme werden die Partner ein Proof-of-Concept für das zu testende System (System-under-Test) erstellen. Dieses System-under-Test soll den europäischen Sicherheitsbehörden als Prototyp dienen, um die Software-Tests für die Zertifizierung vornehmen zu können. Außerdem entwickelt Euro-MILS formale Methoden, um zu prüfen, ob eine Software den Anforderungen des zukünftigen Sicherheitsstandards entspricht. Formale Methoden sind ein Weg, um die Sicherheit einer Software mathematisch zu prüfen und absolute Sicherheit über die Umsetzung der geforderten Anforderungen zu erhalten.

Durch die enge Verzahnung des Projektes mit wichtigen Marktteilnehmern für vertrauenswürdige IKT – also Anwendern der Architektur aus Automobil und Luftfahrt, sowie nationalen Behörden und Zertifizierungsstellen – stellen die Projektpartner sicher, dass die entwickelte Lösung sowohl die gesetzlichen als auch die marktspezifischen Anforderungen erfüllt.

Aus den Entwicklungsergebnissen von Euro-MILS sollen danach zwei Protoypen von Virtualisierungsplattformen erstellt werden. Der eine Prototyp soll für die Zertifizierung der Virutalisierungstechnologie in der Avionik dienen, der andere für die Virtualisierungstechnologie im Automotive-Bereich. Das heißt, dass hier erstmals eine Zertifizierung erreicht wird, die europaweit gültig und domänenübergreifend anwendbar sein wird.

Virtualisierung im vernetzten Automobil

Software-Unternehmen haben die Veränderung des Fahrzeugs zum rollenden Computer erkannt und bieten zunehmend Virtualisierungslösungen für das Auto an. Die von Euro-MILS beabsichtigte Zertifizierung wird der Automobilindustrie eine Grundlage bieten, um diesen Virtualisierungs-Systemen stärker vertrauen zu können. Die Zertifizierung erleichtert es den Herstellern einerseits, die Qualität von Produkten zu erkennen, die auf dieser Technologie basieren. Andererseits entlastet die Zertifizierung von immer wieder neuen Sicherheitsuntersuchungen und Zertifizierungsanstrengungen.

Eine besonders ausgereifte Technologie dieser Art hat das Berliner Automotive-Unternehmen Open Synergy entwickelt. Die Softwareplattform mit dem Namen Coqos basiert auf der Virtualisierungstechnologie und umfasst gleichzeitig eine vollständige Autosar-Umgebung. Wesentlicher Bestandteil von Coqos ist der Hypervisor Pike-OS von Sysgo. Er ist unter anderem nach dem Avionik-Standard DO-178B DAL B (Airbus-Projekte) zertifiziert und eignet sich für Systeme, die der Norm ISO 26262 entsprechen müssen. Dieser Hypervisor in der Software-Plattform Coqos erzeugt voneinander unabhängige Partitionen, in denen Software-Systeme mit unterschiedlichen Zeitanforderungen und Sicherheitsansprüchen laufen können, ohne dass diese sich gegenseitig negativ beeinflussen können.

Linux zu Gast

Gast-Betriebssysteme wie Linux und Android machen so das Potenzial von Open-Source-Software nutzbar für Automotive-Systeme. Modulares Booten und Fast-Boot-Technologie stellen sicher, dass sicherheitskritische Funktionen sehr schnell bereit stehen, obwohl langsam startende Infotainment-Software auf derselben Hardware integriert ist. Spezielle Treiber ermöglichen sogar, dass die Hardware-Ressourcen von unterschiedlichen Partitionen gemeinsam genutzt werden, beispielsweise Audio oder Displays. Noch in diesem Jahr wird mit Coqos das erste Automotive-Steuergerät in Serie gehen, das auf einer hypervisor-basierten Architektur und einem virtualisierten Linux basiert.

Das Berliner Software-Unternehmen Open Synergy ist der einzige Automotive-Partner im Euro-MILS-Projekt. Damit hat sich das Unternehmen selbst verpflichtet, sich für eine Zertifizierung von Automotive-Virtualisierungstechnologie einzusetzen. Der konkrete Beitrag von Open Synergy als Projektpartner besteht darin, Use-Cases aufzuzeigen, in denen die Technologie relevant ist, und die entsprechenden Anforderungen zu definieren. Weiter ist eine Entwicklung von Security-Mechanismen in der Softwareplattform Coqos vorgesehen. Open Synergy wird außerdem die Hardware-Plattform für die die Automotive-Virtualisierungsplattformen definieren, die Euro-MILS als Protoypen vorsieht und es wird die entsprechende Software integrieren.

Reale Projekte

In der Automobilindustrie sind die Kunden von Open Synergy die ersten Hersteller, die für Ihre Connectivity-Systeme, Head-Unit-Lösungen und Rückfahrkamera-Integration Virtualisierungs-Technologie in ihren Fahrzeugen eingesetzt haben. Somit hat die Virtualisierungs-Technologie bereits unumkehrbar ihren Weg in das Auto gefunden.

(av)