Die Car-to-Car-Kommunikation kann alle Verkehrsteilnehmer mit einbeziehen – sogar Radfahrer und Fußgänger.

Die Car-to-Car-Kommunikation kann alle Verkehrsteilnehmer mit einbeziehen – sogar Radfahrer und Fußgänger.Escrypt

Auch wenn der großflächige Serieneinsatz von Car-2-Car-Kommunikation (C2C) erst in den nächsten Jahren im Kalender steht, können die Hersteller schon heute auf einen großen Erfahrungsschatz rund um die Fahrzeug-zu-Fahrzeug-Kommunikation zurückgreifen. Zahlreiche verfügbare Hardware-Plattformen ermöglichen den Datenaustausch per Dedicated Short Range Communication (DSRC) und mehrere Pilotprojekte zu C2C wurden in den letzten Monaten erfolgreich abgeschlossen. An der Machbarkeit besteht kein Zweifel, ökonomisch sinnvoll ist die Technik ohnehin. So wären beispielsweise die meisten Staus, echte Killer volkswirtschaftlicher Produktivität, durch C2C vermeidbar. Dafür müssen auch bei Weitem nicht alle Fahrzeuge mit der Technik ausgestattet sein. Das Institut für Wirtschaft und Verkehr an der Technischen Universität Dresden ist davon überzeugt, dass die kritische Schwelle für erhebliche Verbesserungen des Verkehrsflusses nicht besonders hoch ist. Staubedingte Reisezeitverzögerungen ließen sich mehr als halbieren, wenn nur zehn Prozent der Fahrzeuge an der C2C-Kommunikation teilnehmen. Und bereits bei einem Ausstattungsgrad von zwanzig Prozent wären fahrerbedingte Staus gänzlich vermeidbar.

C2C

Car-2-Car-Kommunikation wird die nächste große Evolutionsstufe des Straßenverkehrs sein. Nachrichten und Warnungen, direkt zwischen den Fahrzeugen der Verkehrsteilnehmer ausgetauscht, können den Horizont der Fahrer virtuell auf mehrere Hundert Meter erweitern. Gefahren lassen sich im Vorfeld erkennen und der Verkehrsfluss lässt sich besser lenken. Doch die dafür nötigen offenen Kommunikationsschnittstellen stellen einen Gefährdungs- und Angriffsvektor dar. Mehrere Forschungs- und Pilotprojekte adressieren das Thema und nutzen etablierte Sicherheitsstrategien aus der Informationstechnik.

Zahlreiche Anwendungen machbar

Neben einem verbesserten Verkehrsfluss sind noch erheblich weitreichendere Anwendungen denkbar – beispielsweise Ferndiagnosen von Fahrzeugkomponenten, Updates von Software in Steuergeräten oder eine Geschwindigkeitsregelung für eine Grüne-Welle-Schaltung. Doch diese Applikationen erfordern die Kommunikation mit stationären Systemen, einem Empfänger an der Ampel oder dem Rechenzentrum des Herstellers. C2C, für die es zahlreiche Synonyme wie V2V, IVC oder VANET gibt, trägt jedoch als klares Differenzierungsmerkmal die infrastrukturfreie Kommunikation. Alles was darüber hinausgeht, fällt in die Kategorie Car-to-X (C2X) oder Vehicle-to-X (V2X). Doch bereits die lokal begrenzte Variante C2C birgt das Potenzial für eine fundamentale Änderung im Konzept Automobil. C2C verlangt offene Kommunikationsschnittstellen, die keinen physischen Zugang zum Fahrzeug mehr erfordern. Die Nachrichten werden per Nahbereichsfunk gesendet und empfangen; in Europa wird es sich dabei um 802.11p handeln, eine Erweiterung des Wireless-LAN-Standards 802.11. Befindet sich ein Fahrzeug im Funkraum eines anderen Fahrzeugs, können beide über das drahtlose Netz Daten austauschen. In späteren Ausbaustufen sollen Fahrzeuge auch als Repeater fungieren und Nachrichten von Fahrzeug zu Fahrzeug über größere Entfernungen weitergeben.

Die Kanalbandbreite wurde auf 10 MHz reduziert, das führt im Gegenzug zu maximal 27 MBit/s Bandbreite auf kürzeste Distanz. Wenn Reichweite wichtiger ist als Bandbreite, lässt sich die Datenrate auf bis zu 3 MBit/s drosseln. Die Sendeleistung (EIRP) ist auf 23 dBm/MHz festgelegt; sie darf 33 dBm nicht überschreiten, um Störungen zu vermeiden und die Ausdehnung der nur lokal relevanten Nachrichten zu beschränken. Trotzdem sind damit Reichweiten bis zu 1000 m möglich.

Diese Eckdaten sorgen für einen recht breiten Nutzungskorridor der Nachrichten, der nicht an der Leitplanke endet. Nachrichten könnten durch nicht autorisierte Quellen gesendet manipuliert und empfangen werden. Doch für eine Anwendung, die potenziell Eingriffe in die Fahrdynamik vornehmen oder zumindest vorschlagen kann, ist das Vertrauen der Anwender das höchste Gut. Integrität und Vertraulichkeit der ausgetauschten Nachrichten müssen jederzeit garantiert sein.

Forschungsprojekte und Organisationen nehmen sich seit mehreren Jahren dieser Aufgabenstellung an. So bündelt das Car2Car Communication Consortium (C2C-CC) die Aktivitäten von Fahrzeugherstellern und Systemlieferanten, um einen europaweiten Standard für sichere Fahrzeug-zu-Fahrzeug- und Fahrzeug-zu-Infrastruktur-Kommunikation zu entwickeln und zu verwirklichen. Darüber hinaus sind zahlreiche Forschungsprojekte aktiv. Ob Secure Vehicle Communication (SEVECOM), Preparing Secure Vehicle-to-X Communication Systems (PRESERVE) oder auch Sichere Intelligente Mobilität – Testfeld Deutschland (simTD):  jedes Projekt berücksichtigt mehr oder weniger stark die IT-Security der Informationssysteme.

C2C, aber sicher!

Sicherheitsmaßnahmen wie zum Beispiel passende Zertifikate müssen sicherstellen, dass nicht nur Integrität, Verfügbarkeit und Authentizität gewährleistet sind. Vielmehr heißt es auch, die Aspekte Autorisierung, Anonymität und Pseudonymität zu berücksichtigen. Allerdings lassen sich entsprechende Schutzmaßnahmen nicht 1:1 aus der Kommunikationstechnik übernehmen.

Schutz trotz komplexer und flexibler Umgebung

Die grundlegende Problematik bei der Absicherung eines C2C-Netzwerkes besteht darin, dass es aus gleichberechtigten beweglichen Knoten besteht, die über offene Funkverbindungen miteinander kommunizieren. Der Bereich Car-to-Infrastructure sorgt für zusätzliche Herausforderungen wie die Anbindung stationärer Einheiten an die Fahrzeugkommunikation über verschiedene Protokolle. Die hohe Mobilität der Teilnehmer bedingt kurze Verbindungszeiten; dazu kommen eingeschränkte Ressourcen für die Verarbeitung von Nachrichten. Und weil die Kommunikation nicht an zentralen Stellen kontrolliert und untersucht werden kann, müssen die C2C-Teilnehmer die Datenkommunikation lokal sichern und überwachen. Ein wichtiger Punkt sind dabei digitale Signaturen. Sie erfordern allerdings eine passende Zertifikats-Infrastruktur, die sich deutlich von den üblicherweise bei IT-Anwendungen eingesetzten Systemen unterscheidet.

Dreh- und Angelpunkt ist die Zertifizierungsstelle (CA – Certificate Authority), ein Bestandteil jeder Public-Key-Infrastruktur (PKI). Die damit ausgestellten Zertifikate sind digitale Datensätze, die bestimmte Eigenschaften von Personen oder Objekten bestätigen. Deren Authentizität und Integrität lässt sich durch kryptografische Verfahren prüfen. In der klassischen IT sind Zertifikate nach dem Standard X.509 weit verbreitet, sie kommen unter anderem bei der E-Mail-Verschlüsselung und SSL-Authentisierung zum Einsatz. In limitierten Umgebungen wie der C2C-Kommunikation hat X.509 allerdings einige Nachteile. Zum einen sind die Zertifikate zu groß und nehmen zu viel Bandbreite bei der Übertragung in Anspruch. Zum anderen fehlen in den standardisierten Nachrichtenfeldern des Zertifikats spezifische Daten, die für die C2C-Kommunikation notwendig sind. C2C-Anwendungen in den USA nutzen daher bevorzugt Zertifikate nach dem Standard IEEE 1609.2, während in Europa hingegen der Standard ETSI TS 103 097 zum Einsatz kommt.

Spezieller Umgang mit Zertifikaten

Auch ein für die C2C-Kommunikation geeignetes Zertifikatsformat hat mit Hürden zu kämpfen. In einem reinen C2C-Szenario kann keine Verbindung zu einer Zentralstelle vorausgesetzt werden, die in der Lage wäre, Zertifikate auszustellen, zu prüfen und als gültig oder ungültig zu erklären. Die Standardmechanismen zum Rückruf von ungültigen Zertifikaten über sogenannte Certificate Revocation Lists (CRL) sind ebenfalls nicht ohne weiteres anwendbar. Besteht keine regelmäßige Onlineverbindung, sind deutlich längere Zertifikatslaufzeiten notwendig als bei klassischen PKI-Anwendungen. Darüber hinaus gilt es, die Privatsphäre des Fahrers zu schützen.

Eine der Kernanforderungen an C2C-Sicherheit besteht darin, Bewegungsprofile von Fahrzeug und Fahrer unmöglich zu machen – eine Aufgabe, die über Pseudonyme gelöst wird. Dazu erhält jedes Fahrzeug eine große Anzahl verschiedener Pseudonyme, die jeweils nur kurz zum Einsatz kommen und keine Rückschlüsse auf die wahre Identität erlauben. Sogenannte Pseudonym-CAs erzeugen die zugehörigen Pseudonym-Zertifikate in großer Zahl. Damit diese kurzlebigen Zertifikate sicher in das Fahrzeug gelangen, erhält jedes Fahrzeug zusätzlich ein lange gültiges, Long-Term-Certificate genanntes Zertifikat, das sich dem Fahrzeug zuordnen lässt.

Selbst dieses Konzept stellt hohe Anforderungen an die Zertifikatsstruktur. Wenn jedes Pseudonym-Zertifikat einige Minuten bis Stunden gültig ist, können pro Fahrt immer noch Dutzende verbraucht werden. Daher ist es sinnvoll, mehrere Nachrichten mit dem gleichen Zertifikat zu signieren. Um trotzdem für lange Zeit einen ausreichenden Vorrat an Zertifikaten im Fahrzeug bereitzuhalten, ist es erforderlich, vorab große Mengen von Zertifikaten in das C2C-System zu laden. Die Hersteller wollen Zeitspannen bis zu zwei Jahren abdecken können, ohne Zertifikate nachladen zu müssen.  Um auch in einem Worst-Case-Szenario mit sehr vielen Verkehrsteilnehmern und einer großen Zahl von Ereignissen zu garantieren, dass alle Nachrichten geprüft und zeitgerecht verarbeitet werden, muss in den Fahrzeugen Hardware zum Einsatz kommen, die mehrere hundert Signaturen pro Sekunde prüfen kann. Eigens entwickelte ASICs sind noch nicht auf dem Markt, im Moment sorgen FPGAs für die Verarbeitung. FPGAs sind zwar schnell, aber auch teuer, was der weiten Verbreitung der Technik im Weg steht.

On-Board-Units sind IT-Systeme

Es ist wahrscheinlich, dass die C2C-Kommunikation in einigen Teilbereichen Protokolle der TCP/IP-Familie nutzen wird. Zusammen mit von außen erreichbaren Funkschnittstellen stellt das eine zumindest theoretische Bedrohung für Integrität und Verfügbarkeit der eingesetzten Systeme dar. Der Bereich Industrial Control Systems (ICS) befindet sich gerade in einer ähnlichen Lage. ICS nutzen seit einiger Zeit vermehrt Standard-Hardware- und Software wie Server, Endgeräte, Betriebssysteme und Protokolle aus der klassischen IT. Dadurch schaffen Sicherheitslücken und Angriffsvektoren ebenfalls den Sprung aus einer Anwendungswelt in die andere. Dies hat zur Folge, dass sich Automatisierungstechniker mittlerweile ebenfalls mit der Abwehr von Schadsoftware herumschlagen müssen. Man kann davon ausgehen, dass C2C-Kommunikationssysteme auf ähnliche Probleme stoßen werden. Bislang versuchen vor allem Hersteller, IT-Security Dienstleister und Wissenschaftler, mögliche Sicherheitslücken in den Protokollen, Funkschnittstellen und On-Board-Units aufzudecken. Sobald die Technik breite Anwendung findet, werden sich auch Hacker mit mehr oder weniger kriminellen Absichten dem Thema widmen.

Bewährte Herangehensweise für abstrakte und konkrete Bedrohungen

Forschungsprojekte wie PRESERVE oder SEVECOM definieren Bedrohungen für die C2C-Kommunikation und versuchen, einen möglichst generalistischen Ansatz zur Abwehr zu formulieren. Allein das Projekt PRESERVE identifiziert 19 mögliche Wege zur Kompromittierung. Alle kreisen um das klassische Dreieck aus den Schutzzielen Integrität, Verfügbarkeit und Authentizität. In der klassischen Informationstechnik werden diese Schutzziele unter anderem durch den IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik genutzt, um Bedrohungen, Risiken und Abhilfen für IT-Systeme abstrakt zu formulieren. Es ist nur sinnvoll, dass der gleiche Ansatz auch zum Schutz der C2C-Kommunikation herangezogen wird. Beim IT-Grundschutz steht am Anfang aller Aktivitäten eine Schutzbedarfsfeststellung bei der die einzelnen Systeme, Daten, Kommunikationsverbindungen und Funktionen hinsichtlich ihrer Schutzwürdigkeit analysiert werden. Die Komponenten werden in Kategorien hinsichtlich ihrer Schadensauswirkungen eingeteilt, von „Niedrig“ über „Mittel“ und „Hoch“ bis hin zu „Sehr hoch“, wo die Schadensauswirkungen ein existenziell bedrohliches, katastrophales Ausmaß erreichen können.

Diese Schutzbedarfskategorien werden auf die einzelnen IT-Sicherheitsschutzziele angewendet, was zu jeweils drei Schutzbedarfsklassen pro Schutzziel führt. Die Schutzziele basieren auf Integrität, Verfügbarkeit und Authentizität, sind aber feiner aufgegliedert. So gibt es neben der Authentizität unter anderem die Ziele „Autorisierung“, „Anonymität“ und „Pseudonymität“. Dazu zieht das Verfahren ein Profil der Angreifer in Betracht. Kommt die Attacke aus dem Inneren von einem Beteiligten des Systems, oder von außen? Ist es ein aktiver Angriff, der versucht Daten oder Systeme zu manipulieren oder wird nur passiv gelauscht und aufgezeichnet? Zusätzlich wird zwischen verschiedenen Angreifergruppen unterschieden, wie zum Beispiel einem Wartungstechniker, der erweiterten Zugang zu den Systemen hat, einem Kfz-Techniker, der das Fahrzeug betreut und einem Systemadministrator, der fast vollen Zugriff auf alle Komponenten des C2C-System hat. Das erweiterte Modell berücksichtigt ebenfalls, welche Motivation für einen Angriff besteht: Geld, Vandalismus oder Neugierde.

Optimierte Aufwand/Nutzen-Analyse

Der Vorteil der feinen Untergliederung besteht darin, dass Schutzmaßnahmen sehr gezielt nach ihrem Aufwand und ihrer Wirkung zum Einsatz kommen können. Fällt ein Angriff nur in die Kategorie „niedrig“, ist kein extremer technischer und konzeptioneller Aufwand gerechtfertigt. Um das Beispiel in die reale Welt mitzunehmen: Niemand wird eine komplizierte und teure Abwehrmaßnahme für Kratzer im Autolack entwickeln, die Kosten übersteigen den möglichen Nutzen bei Weitem. Auf der anderen Seite können extrem kritische Gefahrenstellen mit dem Maximum an Aufwand angegangen werden. Absichtlich gefälschte C2C-Nachrichten, die die Geschwindigkeit des voraus fahrenden Fahrzeugs zu gering angeben und dadurch Auffahrunfälle verursachen, sind unter allen Umständen auszuschließen.

C2C-Nachrichten sowie die Systeme vor Missbrauch und Angriffen zu schützen, ist die eine Seite der Medaille. Doch weder die diversen Forschungsprojekte noch das C2C-CC können alle Aspekte der Sicherheit abdecken, die mit einer weiteren Autonomisierung im Straßenverkehr einhergeht. So sieht die Protokolldefinition in den gesendeten Nachrichten zwar neben den Objekten Auto, Bus und LKW auch die Einträge „Fußgänger“ oder „Fahrrad“ vor, konkrete Ansätze, um diese Verkehrsteilnehmer in das System einzubinden, fehlen jedoch zur Zeit. Hier sind die Hersteller von Smartphones und anderen mobilen Endgeräten gefordert.

Vorteile nutzen, Risiken diskutieren

Die Zahl der Verkehrstoten und Verletzten ist zwar rückläufig, doch immer noch verursachen Unfälle im Straßenverkehr immensen volkswirtschaftlichen Schaden. 2008 sollen die Kosten bei rund 31 Milliarden Euro gelegen haben. Mit C2C- und C2X-Kommunikation haben es Hersteller und OEMs in der Hand, die Schwachpunkte menschlicher Lenker über intelligente Technik auszugleichen. Am Horizont ist eine neue Ära des Straßenverkehrs sichtbar, die um Größenordnungen sicherer sein wird als bisher. Natürlich sind noch viele Fragen ungeklärt, auch wenn sie lebhaft diskutiert werden. Die schiere Masse an gesammelten Daten durch Roadside-Units stellt für sich eine Herausforderung dar.

Security im ganzen Auto

Warum es außerdem noch notwendig ist, neben Safety-Maßnahmen (beispielsweise gemäß ISO 26262) auch Security-Maßnahmen zur Datensicherheit zu implementieren, das erfahren Sie in diesem separaten Beitrag der Redaktion.

Wer ist für die Verwaltung und Speicherung zuständig? Wer garantiert den Datenschutz? Und wer stellt sicher, dass Informationen rechtzeitig und endgültig gelöscht werden? Die technische Umsetzung dieser Aufgabenstellung birgt keine unlösbaren Probleme, obwohl die notwendigen Prozesse und Verantwortlichkeiten für den Umgang mit den gesammelten Daten noch nicht definiert wurden. Dennoch sind die potenziellen Vorteile der C2C- und C2X-Technik so überzeugend, dass an deren Einsatz kein Zweifel besteht. Für die übergeordneten Aspekte wie Datenschutz und Anonymität werden die Anbieter zusammen mit dem Gesetzgeber und den Anwendern eine gangbare Lösung finden.