Nach einem Autounfall kann der automatische Notruf lebensrettend sein. Dank einer Technik, die aufgrund des europaweiten E-Call-Systems (Emergency Call) bis 2015 in allen neuen Autos integriert sein soll, übermittelt das verunglückte Fahrzeug dabei auch seine Position an den Notrufempfänger – und das ist in vielen Fällen die Polizei. Doch bis das soweit ist, müssen die Entwickler das vernetzte Auto (Connected Car) zunächst zukunftssicher machen.

Security für das Fahrzeug

Security für das FahrzeugSpansion

Die Autos der Zukunft werden mehr mit ihrer Umgebung kommunizieren. Sie stehen nicht nur in Verbindung mit anderen Fahrzeugen (Car2Car, C2C), sondern auch mit der sie umgebenden Umwelt (Car2Infrastructure, C2I), mit Ampeln, in Gehwegen eingebauten Sensoren oder Parkuhren. Darüber hinaus wird das Auto mit Smartphones und Tablets an Bord kommunizieren. Dies geschieht über viele verschiedene Apps wie Musik-Streaming oder ortsbasierte Dienste (LBS, Location-Based Services) wie zum Beispiel E-Commerce im stationären Handel. Kurz gesagt: Das Auto wird Teil des Internets der Dinge.

Allerdings muss das vernetzte Auto dabei viele und hohe Erwartungen erfüllen. Die Endkunden wünschen sich die gleiche Mobilität und Konnektivität im Auto, die sie mit ihren Smartphones oder Tablets im heimischen Wohnzimmer erleben. Das stellt vor allem die Entwickler vor Herausforderungen. Es wird bereits diskutiert, dass die Automobilindustrie ihre Fünf-Jahres-Entwicklungszyklen an die viel kürzeren Entwicklungszeiten der Verbraucher-Branche angleichen sollte. Aber bisher ist das Auto in Deutschland noch immer eine langfristige Anschaffung. Allerdings geht der Trend dahin, Autos zu leasen. Dies lässt sich vor allem in den USA beobachten. Damit öffnen sich auch Chancen, um immer auf dem neuesten Stand der Entwicklung sein zu können. So suchen die OEMs neue Wege, um sich den Entwicklungszyklen der Verbraucherindustrie anzunähern. Ein Weg dorthin besteht darin, Möglichkeiten für Updates und Upgrades von Systemen, sowohl für Hardware als auch für Software, ins Auto einzubauen und zu erlauben.

Die Herausforderungen für das zukunftsfähige Auto

Die Diskussion über das vernetzte Fahrzeug ist immer auch eine Diskussion über Sicherheit, Datenschutz und das Abwehren von Hackerangriffen. Im Vergleich zu Sicherheits-Softwarelösungen von Laptops, Mobiltelefonen und Tablets hinkt die Datensicherheit im Auto mehrere Jahre hinterher. Es gibt einen großen Konsens darüber, dass das vernetzte Auto sowohl Zuverlässigkeit (Data Reliability), als auch Datensicherheit (Data Security) liefern muss – und zwar insbesondere, wenn die Datenanwendungen sicherheitskritisch sind und über mehr oder weniger offene Schnittstellen kommunizieren wie bei Fahrerassistenzsystemen, Telematik und Car2Infrastructure-Kommunikation. Zudem muss die Branche sicherstellen, mit Gesetzesinitiativen und Meta-Daten wie dem europäischen E-Call konform zu gehen. Die Sicherheit wird Pflicht für alle Netzwerke rund ums Automobil. Demzufolge müssen grundlegende Mechanismen für Sicherheit bereits im Design der Plattformen integriert sein.

Security im Fahrzeug

Mit dem geradezu explosiven Wachstum im Smartphone-Bereich und in der gesamten Mobilfunkbranche würde auch das vernetzte Auto jede Menge Vorteile mit sich bringen: für Endverbraucher, Dienstanbieter sowie die Hersteller selbst. Mit dem Fortschritt der Technologie werden Infotainment, Dashboards, Telematik und Fahrerassistenzsysteme in eine einzige Informationsplattform konvergieren. Um dies zu verwirklichen, ist es wichtig, dass die Automobilindustrie ihre Arbeit in der Entwicklung ändert, indem sie ihre Zyklen denen der IT-Unterhaltungsbranche annähert. Zudem sollte sich die Branche auf die Sicherheitsaspekte konzentrieren, denn die Technologie ist bereits vorhanden. Zudem muss auch die Politik Antworten auf rechtliche Fragen geben, um das vernetzte Auto auf dem breiten Markt fahrtüchtig zu machen.

Verschiedene Spielarten der Car2Car-Kommunikation werden bereits mit Erfolg getestet. Auch die Komponenten und Plattformen sowie die Infrastruktur mit stabilen Wireless-Netzwerken sind vorhanden. Bluetooth, Ethernet, OnStar und Sync gehören schon wie selbstverständlich ins Fahrzeug, seit Kurzem auch Internetradio und Dienste wie Pandora. Das zeigt, dass die Konnektivität des Autos bereits sehr weit fortgeschritten ist.

Der Weg zum Ziel: Speicher und Mikroprozessoren im Zentrum der Auto-Information

Halbleiter, speziell MCUs und Speicherbausteine, sind zentrale Komponenten der intelligenten Systeme, die zuverlässige Datenverbindungen und schnelle Schnittstellen ermöglichen. Eine Vielzahl von Mikrocontrollern ist in der heutigen Fahrzeug-Ausstattung eingebettet, zum Beispiel in Spracherkennung oder Fahrerassistenzsystemen. Sie kommen vor allem in vier zentralen Bereichen zum Tragen: Sensorik, Verarbeitung, Übertragung und Datenspeicherung.

Sensorik

Die Subsysteme im Bereich Sensorik müssen sehr schnell hochfahren, um auf die Daten zu reagieren, welche die verschiedenen Sensoren im Fahrzeug senden. Kommt zum Beispiel eine Funkfernbedienung zum Aufschließen des Wagens zum Einsatz, dann ist das die erste Interaktion mit dem Auto. Dabei muss sichergestellt werden, dass diese Geräte beziehungsweise ihre Verbindung nicht gehackt werden können, um zu verhindern, dass Unbefugte das Auto mit anderen Geräten öffnen können.

Verarbeitung

Viele elektronische Funktionen im Fahrzeug müssen sofort ausgeführt werden. Daher muss die Datenverarbeitung an der gleichen Stelle geschehen, an der die entsprechende Software gespeichert ist. Die Lesegeschwindigkeit von Flash-Speichern ist hier besonders für die ADAS-Community, die Entwicklung von Fahrerassistenzsystemen, wichtig. Beispielsweise müssen die immer häufiger eingesetzten komplett digitalen Dashboards sofort beim Anlassen des Wagens hochfahren und zur Verfügung stehen. Dies erfolgt üblicherweise durch XiP (Execute in Place) auf einem NOR-Flashspeicher. Er erlaubt dem System, den Prozessor zu umgehen und direkt aus dem Speicher heraus zu starten. Deshalb spielt der richtige NOR-Flash künftig eine wichtige Rolle. Neue Generationen von NOR-Flashspeichern, wie beispielsweise Spansions HyperFlash, liefern speziell für diese Anwendungen ein hohes Niveau an Lesegeschwindigkeit (mindestens drei fünf Mal schneller als die derzeit üblicherweise verwendeten Quad-SPI-Flashspeicher als was???) und Performance, denn sie sind mindestens fünf Mal schneller als die derzeit üblicherweise verwendeten Quad-SPI-Flashspeicher. Dadurch lassen sich die Systeme leichter und effizienter entwickeln, und sie werden schneller.

Bild 1: Die Sensorik, die Verarbeitung, die Übertragung und die Speicherung von Daten müssen im vernetzten Fahrzeug abgesichert sein.

Bild 1: Die Sensorik, die Verarbeitung, die Übertragung und die Speicherung von Daten müssen im vernetzten Fahrzeug abgesichert sein.Spansion

Übertragung

Für die Kommunikation zwischen den Systemen im Fahrzeug und außerhalb des Autos sind eine schnelle Authentifizierung sowie Sicherheitsmerkmale Voraussetzung. Sind diese in das Silizium eingebettet, wehren sie Hacker ab. Zudem sind sie wichtig für E-Call-Anwendungen, Navigation oder Diebstahlsicherung. Ohne das Vertrauen in die Sicherheitsmechanismen wird kein Vertrauen in die teilautomatisierten Autos und andere Versionen des vernetzten Autos entstehen.

Datenspeicherung

Die im Auto verwendete Software muss in einem speziell abgesicherten Bereich abgelegt sein, damit Funktionen wie Motorsteuerung, Bremsen oder Wegfahrsperre auf keinen Fall von Unbefugten manipuliert werden können. Auch Diebstahlschutz in dem Sinne, dass man die jeweilige Software nicht auslesen und in ein anderes Auto kopieren kann, spielt hier ebenfalls eine wichtige Rolle.

Die Lösung: ein mehrschichtiges Sicherheitskonzept

Um einerseits ärgerliche Zwischenfälle wie nicht funktionierende Apps oder Dienste aufgrund von Virenangriffen zu vermeiden und andererseits zu verhindern, dass sicherheitskritische Funktionen umgangen oder sogar ausgeschaltet werden, muss das vernetzte Auto auf allen Ebenen abgesichert sein, denn schließlich sollen beispielsweise weder das Bremssystem noch die Geschwindigkeit eines Autos über eine Funkverbindung von außen manipulierbar sein. Dafür wäre ein mehrstufiges Sicherheits-Konzept speziell für das vernetzte Fahrzeug die Lösung.

Bild 2: Warum nicht zwei Netzwerkebenen ins Auto integrieren? Eine Lösung könnte so aussehen: Ein speziell abgesichertes Netzwerk für sicherheitskritische Funktionen wie Fahrerassistenz und andere Funktionen und eines für weniger kritische Anwendungen wie

Bild 2: Warum nicht zwei Netzwerkebenen ins Auto integrieren? Eine Lösung könnte so aussehen: Ein speziell abgesichertes Netzwerk für sicherheitskritische Funktionen wie Fahrerassistenz und andere Funktionen und eines für weniger kritische Anwendungen wieSpansion

Ein Beispiel: In den USA wird derzeit über das drahtlose Netz diskutiert. Vor einigen Jahren hat die US-Regierung einen Teil der Funkfrequenzen des Netzes speziell für die Anwendungen des vernetzten Fahrzeugs reserviert. Nun gibt es die Forderung, diese Bandbreiten zu öffnen, damit Apps und dazugehörige Geschäftsmodelle realisiert werden können. Wenn das passiert, so ist es wichtig, dass ein Teil dieser Frequenzen für Sicherheitsanwendungen reserviert bleibt. Es muss beides möglich sein: Kommerzialisierung und Schutz der Daten und Funktionen.

Aus Sicht von Spansion sind dafür mindestens zwei Ebenen nötig, um das vernetzte Auto angemessen abzusichern: Die erste Ebene für sicherheitsrelevante Funktionen und private Daten, die zweite für weniger kritische Applikationen und Anwendungen, die nicht die gleiche Sicherheitsstufe benötigen. Hierzu empfiehlt es sich, eine einheitliche Netzwerk-Plattform zu schaffen, die sowohl die verschiedenen Netzwerke als auch die transportierten Inhalte berücksichtigt. Die Sicherheitsmechanismen müssen direkt in die Hardware und das Silizium integriert werden.

In der Speicherbranche ist das kein neuer Ansatz. Spansion realisiert dies seit zwanzig Jahren speziell für die Automobilindustrie. Die Technologie ist ausgereift und bekannt. Nun geht es darum, das Sicherheitsniveau auf das vernetzte Fahrzeug auszuweiten und gleichzeitig genügend Flexibilität zu erhalten.

Bild 3: Ob Spracherkennung oder Fahrerassistenzssysteme: MCUs und Speicherbausteine kommen vor allem in der Sensorik, Verarbeitung, Übertragung und Datenspeicherung zum Einsatz. Diese Prozesse sollten speziell abgesichert sein.

Bild 3: Ob Spracherkennung oder Fahrerassistenzssysteme: MCUs und Speicherbausteine kommen vor allem in der Sensorik, Verarbeitung, Übertragung und Datenspeicherung zum Einsatz. Diese Prozesse sollten speziell abgesichert sein. Spansion

Sicherheits-Initiativen

Es gibt bereits Initiativen in diese Richtung, wie beispielsweise das EVITA-Projekt. Halbleiterhersteller schlagen hier eine adaptive Firewall vor. Die EVITA-Schutzmechanismen beinhalten Zugangskontrolle und SPM (Security Policy Management), fälschungssichere Bereiche und verschiedene kryptografische Methoden. Das Herzstück der Sicherheitsfunktion (Root of Trust) ist in den HSMs (Hardware Security Modules) der EVITA-Medium-Klasse implementiert. Diese werden in die Motorsteuerung (ECU) und in Sensoren und Aktuatoren integriert. Die HSMs kontrollieren, wie und von wem auf ihre Funktionalität und ihre Daten zugegriffen werden kann. Darüber hinaus sind die Plattform und die Zugangsdaten zur Authentifizierung anderer elektronischer Komponenten speziell geschützt.

Ein weiteres Vorhaben mit diesem Ziel ist das HIS-Konsortium und dessen Arbeit an der Secure Hardware Extension (SHE), einem HSM der EVITA-light-Modifikation. Bei der Integration der SHE-Module in seine Mikrocontroller arbeitet Spansion eng mit dem Konsortium zusammen. Die Lösung soll das gesamte System im Auto absichern: Also nicht nur das Auslesen von Flash- oder ROM-Speichern verhindern, sondern Authentifizierungsmechanismen und sichere Kommunikation und Datenspeicherung ermöglichen – und zwar auf beiden oben beschriebenen Bereichen.

Security für das Infotainment

Security für das InfotainmentSpansion

Um nicht nur einen zwei-, sondern vielleicht sogar einen mehrschichtigen Sicherheitsansatz verwirklichen zu können, ist ein weiterer Schritt notwendig: eine gemeinsame Herangehensweise. In der Vergangenheit haben sich die elektronischen Systeme im Auto mehr oder weniger als abgeschirmte einzelne Bereiche entwickelt. Das ist historisch so gewachsen und hat bislang funktioniert. Aber um den Herausforderungen der Zukunft begegnen zu können, wäre es sinnvoll, wenn sich Kryptografie-Experten, Halbleiter- und Netzwerk-Spezialisten an einen Tisch setzen und gemeinsam an einer einheitlichen Sicherheits-Plattform arbeiten, die ein Fahrzeug idealerweise über die gesamte Lebenszeit absichert, denn die kryptografischen Methoden verändern sich laufend.

Um aber die Sicherheit über viele Jahre zu gewährleisten, müssen die dazugehörigen Mechanismen sorgfältig und von Beginn an integriert werden. Das Design sollte so aufgesetzt sein, dass Updates oder Upgrades auch in der sicheren Ebene möglich sind.

Sicherheit = Safety + Security

Grundlegende Infos zum Thema Security finden Sie in diesem Grundlagenbeitrag: Sicherheit = Safety + Security

Die WEBINOS-Foundation kann hier als Beispiel dienen: Das von der Europäischen Union geförderte Projekt hat zum Ziel, eine gemeinsame Plattform für Web-Anwendungen zu entwickeln, die sowohl für mobile Geräte also auch für Computer, Fernsehgeräte und Geräte im Auto geeignet ist. Das Projekt hat über zwanzig Partner aus ganz Europa, darunter Forschungseinrichtungen, Softwareunternehmen, Handyhersteller und Fahrzeughersteller.