Digitale Fahrzeuge
Die gesamte Wertschöpfungskette absichern
Die Sicherheit vernetzter Fahrzeuge lässt sich nicht auf Software- und Kommunikationsebene beschränken. Bereits bei der Produktion von Hardware muss die Identifizierbarkeit der Teile sichergestellt werden. Kryptografische Methoden können Vertrauen schaffen.
Moderne Fahrzeuge haben heute Dutzende von elektronischen Steuergeräten (Electronic Control Unit – ECU), um den immer weiterwachsenden Funktionsumfang der Fahrzeugsysteme zu betreiben. Jede dieser Komponenten, die in irgendeiner Form mit dem Fahrzeug verbunden ist, muss gegen Eindringlinge geschützt werden. Dies führt zu einem komplexen Netz sich überschneidender Sicherheitssysteme, von denen einige Schwachstellen aufweisen können.
Es zeichnet sich ein neues Paradigma ab, bei dem diese Vielzahl nicht miteinander verbundener Systeme, die oft von verschiedenen Herstellern stammen, also die aktuell zahlreichen Steuergeräte durch eine kleine Anzahl von Rechnern ersetzen wird. Diese Software-definierten Fahrzeuge (SDV) können alles, was ein heute bestehendes vernetztes Fahrzeug kann, sind aber ein vereinheitlichtes System, auf dem Software-Apps ähnlich wie auf einem Smartphone installiert werden. Dies hat den Automobilherstellern die Möglichkeit eröffnet, On-Demand-Funktionen wie die Sitzheizung von BMW oder den Supercharger von Tesla anzubieten.
Jobangebote+ passend zum Thema
Mit der Weiterentwicklung des vernetzten Autos werden Daten nicht nur mit der Infrastruktur über die Fahrzeug-zu-Infrastruktur-Kommunikation, sondern auch mit anderen Fahrzeugen über die Fahrzeug-zu-Fahrzeug-Kommunikation ausgetauscht. Auch der Informationsaustausch über Gefahren auf der Strecke oder Verkehrsinformationen, die so genannte Vehicle-to-Everything-Kommunikation, wird sukzessive zur Realität. Die daraus resultierende Anzahl von Fahrzeugverbindungen führt zu einer größeren Anzahl möglicher Sicherheitslücken, die zum Verlust, Diebstahl oder Missbrauch persönlicher Daten führen können.
Key Injection oder die Identität von Teilen
Die Überlegungen zur Absicherung vernetzter Fahrzeuge beginnen bereits bei der Produktion ihrer Einzelteile. Mittels eines Verfahrens namens Key Injection kann ein kryptografischer Code in elektronische Bauteile eingebracht werden. Das kann man sich in etwa wie eine digitale, verschlüsselte Seriennummer vorstellen, durch die jedes produzierte Bauteil vom Hersteller eine Identität bekommt. Das ganze System beruht auf einer Public-Key-Infrastruktur (PKI).
Für die Erstellung des Identitäts-Codes ist ein privater Schlüssel notwendig, zur Entschlüsselung genügt ein öffentlicher Schlüssel. So kann die Originalität elektronischer Bauteile entlang der gesamten Wertschöpfungskette geprüft werden. Asymmetrische Kryptografie ist allerdings darauf angewiesen, dass die privaten Schlüssel sicher verwahrt werden. Sollten sie kompromittiert werden, ist das ganze Verfahren hinfällig. Die beste Möglichkeit zur sicheren Erzeugung und Aufbewahrung der Schlüssel sind Hardware-Sicherheitsmodule (HSM). Im Gegensatz zu Software-basierten Lösungen gelangen die Schlüssel dabei nie in den Hauptspeicher eines Rechners, womit eine Kompromittierung aus der Ferne nicht möglich ist. Außerdem sind HSM bei der Generierung von Zufallszahlen Software-Lösungen überlegen.
Doch warum ist das wichtig? Produktfälschungen sind längst keine Domäne des Mode- und Lifestyle-Marktes – auch in der Industrie entsteht durch Produktpiraterie ein immenser Schaden. Eine Studie des VDMA beziffert diesen auf 7,6 Milliarden jährlich. Fast Dreiviertel (74 Prozent) der dort befragten Unternehmen gaben an, dass sie bereits selbst von Produktpiraterie betroffen waren.
Plagiate werden einerseits zum Problem, weil die Fälscher in der Regel keine Priorität auf die Sicherheit legen werden. So könnten sie zum Einfallstor in die Systeme eines vernetzten Autos werden – mit enormen Konsequenzen. Andererseits wollen sich die Hersteller vor ungerechtfertigten Schadensersatzansprüchen schützen, die durch Fälschungen der eigenen Produkte hervorgerufen werden können. Bisher waren hierfür umständliche Prüfungen vor Ort durch Sachverständige notwendig. Bauteile, die eine »Identität« durch Key Injection erhalten haben, können hingegen ganz einfach aus der Ferne geprüft werden. Oder das Fahrzeug erkennt sie sofort als nicht autorisiert und das System wird dann nicht mit dem betreffenden Teil kommunizieren.
Dabei muss man allerdings zwischen sicherheitsrelevanten und nicht sicherheitsrelevanten Teilen unterscheiden. Im ersten Fall wird das falsche Bauteil gar nicht vom System akzeptiert, das Auto wird also damit nicht funktionieren. Im zweiten Fall kann nur eine eingeschränkte Funktionalität gewährleistet werden. Ein Beispiel dafür wäre die Steuerung des Scheibenwischers: Wird hier eine nachgebaute Komponente installiert, können die elektromechanischen Grundfunktionen gewährleistet und der Wischer kann manuell bedient werden. Die Kommunikation mit einem Regensensor und dem Infotainmentsystem an Bord ist in diesem Fall aber nicht möglich.
Sichere Kommunikation und Updates
Vernetzte Fahrzeuge führen in zunehmendem Maße selbstständig Transaktionen durch. Ein gutes Beispiel dafür ist das Plug&Charge-Angebot der Schnellladestationen von Tesla. Vom Fahrer unbemerkt findet vor jedem Ladevorgang die Identifizierung und Authentisierung des Autos statt. Dahinter stecken auf PKI basierende digitale Identitätszertifikate, die jedem Fahrzeug eine eindeutige Identität zuweisen.
Ein Use Case, der sich künftig vermutlich weiterverbreiten wird, ist das automatische Bezahlen. Denkbare Anwendungsfälle sind Maut- und Parkgebühren aber auch Einkäufe an Drive-in-Schaltern. Damit wird das Auto zu einer rollenden Kreditkarte, was eine entsprechende Absicherung auf Basis einer PKI notwendig macht.
Wie für alle anderen vernetzten Geräte sind auch für Software-defined Vehicles Firmware Updates essenziell. Mittlerweile setzen Hersteller dafür auf Over-the-Air-Updates. Neue Firmware wird dabei über eine mobile Verbindung aufgespielt und Autobesitzer müssen nicht in die Werkstatt fahren. Allerdings ergibt sich durch das drahtlose Verfahren ein neuer potenzieller Angriffsvektor. Um eventuelle Gefahren auszuschließen, muss der übermittelte Code digital signiert werden, um dessen Authentizität zu gewährleisten.
Da auch hinter der Software eine komplexe Lieferkette steckt, entschlüsseln die Autohersteller zunächst Software Bundles, die sie von ihren Zulieferern erhalten haben und prüfen die Software Bill of Materials. Anschließend wird das gesamte Update-Paket vom OEM mit einem eigenen Schlüssel erneut signiert und kann ausgespielt werden. Regelmäßige Updates und das Management vernetzter Teile sorgen dafür, dass Autobauer einen enormen Bedarf an kryptografischen Schlüsseln haben, die erzeugt, verwaltet und sicher verwahrt werden müssen.
Mit autonomen Fahrzeugen wird sich dieser Bedarf nochmals exponentiell steigern, da autonome Autos mit praktisch allem in ihrer Umgebung fortwährend kommunizieren: mit anderen Fahrzeugen, Mobiltelefonen, Verkehrsinfrastruktur, Satelliten etc. Um den unablässigen Datenaustausch gegen Man-in-the-Middle-Angriffe zu schützen, werden immer neue Schlüssel benötigt, was dazu führt, dass diese Fahrzeuge über eigene HSM-on-a-Chip-Systeme verfügen, um die kurzzeitig genutzten Schlüssel selbst generieren zu können.
Daten und Identitäten löschen
Irgendwann erreichen auch vernetzte Fahrzeuge oder einzelne Fahrzeugteile das Ende ihrer Nutzung. Hersteller sind dazu verpflichtet, den Verbleib der vernetzten Teile zu tracken, beziehungsweise sicherzustellen, dass darauf gespeicherte Daten zuverlässig gelöscht werden. Wird ein Teil oder ganzes Auto endgültig verschrottet, muss sichergestellt werden, dass auch die damit verbundene digitale Identität erlischt. Im Rahmen der PKI muss demnach auch sichergestellt sein, dass Schlüssel zurückgerufen werden können.
Um die entsprechenden Sicherheitsstandards für die Cyber-Sicherheit von SDVs zu gewährleisten, gibt es bereits heute Vorschriften und Normen die eingehalten werden müssen. Die Erfüllung von UNE CE WP 29 und ISO 21434 setzt Standards für die Cyber-Sicherheit von SDVs, die unter anderem ein Life Cycle Management von Komponenten über die gesamte Lebensdauer bis zum Ende der Gebrauchsdauer erfordern.
Der Start ist das Einbringen von Schlüsseln/Identitäten in ECUs und ist ein entscheidender Prozess, der durch das starke Anwachsen der Anzahl von Schlüsseln professionell aufgesetzt werden muss. Die Erzeugung, Einbringung, Speicherung und das Wiederauffinden der Schlüssel für Software-Updates der entsprechenden ECUs erfordert professionelle Geräte für das Schlüssel-Management.
Der Autor
Alois Kliner
ist Vice President Automotive und Fertigung bei Utimaco. Als globale Führungskraft mit umfangreichen Erfahrungen in den Bereichen Halbleiter, Software & Services und Cybersecurity hat er multidisziplinäre Teams in Deutschland, den Niederlanden und Taiwan geleitet und führende Marktpositionen in den Bereichen Automotive Connectivity, eSIM, Smart ID-Cards und Mobile Payments erreicht. Alois hat ein Diplom für Elektronik und Kommunikationstechnik von der TU Graz. Bevor er zu Utimaco kam, war Kliner bei Philips (NXP) und Giesecke & Devrient in verschiedenen Führungspositionen tätig.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Cybersicherheit in den Griff bekommen
ISO/SAE 21434 – Herausforderungen und Empfehlungen zur Umsetzung
Verlustfrei Daten konvertieren
Absicherung von Radarsensoren in Prototypenanwendungen
Fokus auf Kartenstandards
Intellias tritt Navigation Data Standard Association bei
