Startseite > Automotive > Assistenzsysteme > Inkrafttreten der EU-Datenschutz-Grundverordnung

Datenschutz bei Fahrzeugen

Inkrafttreten der EU-Datenschutz-Grundverordnung

5. Februar 2018, 14:32 Uhr | Von Bernd Hantsche

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Verschlüsselung in Fahrzeugen noch kaum verbreitet

Die wichtigsten technischen Schutzmechanismen, die auch die EU-DSGVO explizit nennt, sind Pseudonymisierung und Verschlüsselung. Die Schutzmechanismen müssen die gesamte Datenverarbeitungs- und Datenübertragungskette umfassen, inklusive aller Kommunikationseinheiten zwischen den Steuergeräten im Fahrzeug wie auch vom Fahrzeug zum OEM-Backend (Bild 1). Bereits ein einzelnes unsicheres Element macht die gesamte Kette unsicher.

Die Verschlüsselung ist hierbei ein kryptographisches Verfahren, bei dem ein Klartext mit Hilfe eines Schlüssels in einen Geheimtext umgewandelt wird, der wiederum mit einem Schlüssel zum Klartext wird.

Jobangebote+ passend zum Thema

Regional Key Account (m/w/d) für Elektronische Bauteile

KOA Europe GmbH, Dägeling

Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Derartige Schutzmechanismen zählen in den klassischen IT-Bereichen bereits zum Standardverfahren – über einen langen Zeitraum allerdings nicht in der Automobilbranche und anderen IoT-Geräten. Aufgrund der Automotive-spezifischen Umgebung lassen sich die Verfahren aus anderen Branchen auch nicht oder nur bedingt in Kraftfahrzeugen einsetzen. Doch auch in der Automobilindustrie haben sich bereits Verschlüsselungsverfahren etabliert, wie beispielsweise die Standards „Advanced-Encryption-Standard“ (AES), „Rivest-Shamir-Adleman“ (RSA) und „Elliptic-Curve-Cryptography“ (ECC).

Grundlegende Voraussetzung für die Sicherheitsarchitektur im Fahrzeug ist die Geheimhaltung und der Schutz der Schlüssel durch sogenannte Sicherheitsanker. Sie bieten eine gesicherte, isolierte Umgebung, in der die Schlüssel gespeichert und verarbeitet werden. Verschiedene Hacker-Angriffe haben in der Vergangenheit gezeigt, dass die Implementierung der Sicherheitsanker in die Software als Teil des Mikrocontroller-Betriebssystems nicht ausreichend ist. Deutlich höheren Schutz bieten die in die Hardware implementierten Sicherheitsanker.

Automotive-Mikrocontroller mit integrierten Sicherheitsmerkmalen

Automotive-spezifische Mikrocontroller mit integrierten Hardware-Security-Modules (HSM) sind beispielsweise die Mitglieder der AURIX-Familie von Infineon. Sie stellen sicher, dass nur autorisierte Personen oder Unternehmen Zugriff auf den jeweiligen Sicherheitsanker haben. Das HSM der zweiten AURIX-Generation (TC3xx) unterstützt neben symmetrischen auch asymmetrische Verschlüsselungsmechanismen (Sender und Empfänger setzen geheime, private Schlüssel ein) gemäß den E-safety-Vehicle-Intrusion-proTected-Application (EVITA)-„High“-Anforderungen.

Ein in den Mikrocontroller integriertes HSM eignet sich vor allem für die On-Board-Kommunikation, wo es auf hohe Performanz und gutes Echtzeitverhalten ankommt. Ein noch höheres Sicherheitsniveau für besonders kritische Bereiche, wie beispielsweise die externe Kommunikation, schaffen spezielle Sicherheitscontroller, wie das OPTIGA Trusted-Platform-Module (TPM) von Infineon. Es eignet sich auch als zentraler Speicher für sicherheitskritische Zertifikate und Schlüssel, die langfristig genutzt werden, denn Schlüssel mit höherer Lebensdauer sind schützenswerter als sogenannte Session-Keys, die nur für eine begrenzte Zeit Gültigkeit besitzen.

Schutz für Schlüssel mit langer Lebensdauer

Die sehr lange Betriebszeit von Kraftfahrzeugen, 20 oder mehr Jahre, stellt eine besondere Herausforderung dar. Einige Krypto-Algorithmen müssen demnach über den gesamten Produktlebenszyklus sicher sein. Hierfür ist eine Security-Architektur zu wählen, die nachfolgende Eigenschaften erfüllt:

Einfacher Wechsel der Krypto-Funktionalität
Alte und neue Algorithmen werden parallel unterstützt
Hardware-Ressourcen reichen aus, um auch neuere, längere Schlüssel auszuführen

Der TPM-2.0-Standard unterstützt beispielsweise die sogenannte „Krypto-Agilität“. Eine besonders kritische Phase durchlaufen die langlebigen Schlüssel in der Herstellung, da an dieser Stelle die Übertragung im Klartext erfolgt. Gelangen die Schlüssel in unbefugte Hände, ist die gesamte Sicherheitskette wirkungslos (Bild 2). Daher muss die Schlüsselübergabe in einer entsprechenden Schutzumgebung erfolgen, die auch involvierte Zulieferer berücksichtigt.

Eine effiziente Lösung stellen beispielsweise personalisierte Security-Controller dar. Sie verfügen über einen individuellen, dem jeweiligen Chip zugeordneten persönlichen Schlüssel, den der Halbleiterhersteller in einem zertifizierten Herstellungsprozess ablegt. Die Security-Controller können ausschließlich mit Hilfe des personalisierten Schlüssels manipuliert werden, sodass sie auch gegenüber Hardware-Angriffen geschützt sind und ohne besonderen Logistikaufwand ausgeliefert werden können. Mit dem geschützten privaten Schlüssel im Controller lassen sich auch weitere Schlüssel über eine sichere Kommunikation übertragen. So vereinfachen die Security-Controller auch den Personalisierungsprozess der Steuergeräte.