Startseite > Automotive > Eine Security-Architektur muss her

Infineon Technologies

Eine Security-Architektur muss her

23. August 2018, 10:29 Uhr | Iris Stroh

Eine hierarchische Security-Architektur schafft Sicherheit

Hans Adlkofer, Vice President in der Automotive Systems Group bei Infineon Technologies, ist der Überzeugung, dass die OEMs die Fahrzeuge von morgen mit einer Security-Architektur ausstatten müssen, um sie auch in Zukunft vor Hacker-Angriffen wirkungsvoll schützen zu können.

▶ Diesen Artikel anhören

Adlkofer beschäftigt sich bereits seit Jahren bei Infineon mit dem Thema Security im Fahrzeug. In einem früheren Gespräch mit der Markt&Technik wies er darauf hin, dass sich die Automobilindustrie die Technologien aus der Security&Chip-Karten-Industrie zunutze machen sollte, um den Hackern das Leben schwer zu machen. Heute fordert er eine ganzheitliche Security-Architektur. Was hat sich geändert? »Damals war es wichtig, dass die vorhandenen Architekturen in den Fahrzeugen so schnell wie möglich gesichert werden. Heute geht es um die nächste Security-Stufe, die erreicht werden muss«, erklärt Adlkofer.

Heutige Architekturen sind demokratisch aufgebaut, das heißt, es gibt viele ECUs, die alle miteinander kommunizieren und Daten austauschen und die davon ausgehen, dass sie sich vertrauen können. Was früher funktionierte und effizient war, birgt heute enormes Risiko: Denn heute sind im Fahrzeug viele verschiedene Schnittstellen wie OBD (On-Board-Diagnose), LTE, WLAN, USB, Bluetooth, DVD, eingebaut und damit Zugänge von außen, über die Einfluss auf die Datenkommunikation im Fahrzeug genommen werden kann. Wurde in der Vergangenheit davon ausgegangen, dass die Schnittstellen vertrauenswürdig genutzt werden, »wissen wir heute, dass sie die Einfallstore für Hacker sind«, so Adlkofer weiter.

Die demokratische Architektur im Auto von heute macht es möglich, dass ein Hacker, der über eine Schnittstelle ins Fahrzeug eingedrungen ist, dank CAN-Vernetzung auf alle Systeme im Fahrzeug Zugriff bekommt. Sind die Systeme physikalisch voneinander getrennt, wird das Risiko deutlich geringer. Adlkofer fordert also zunächst: »Diese Risikobewertung muss der OEM selbst durchführen oder auf Dienstleister zurückgreifen.«

Adlkofer betont ganz klar, dass die OEMs heute noch Mikrocontroller mit integriertem Hardware-Security-Module (HSM) verwenden können. Aber das alleine reiche nicht mehr, denn die Hacker haben natürlich mittlerweile auch mitbekommen, welche Maßnahmen die OEMs ergreifen, und verbessern entsprechend ihre Angriffstaktiken. Adlkofer: »Sie nutzen Reverse Engineering. Das macht jeder Hacker. Er nimmt die bestehenden Systeme auseinander und schaut, wo die Schwachstellen sind. Und dann überlegt er, wie er sie angreifen kann. Heute wissen die Hacker, dass in einem Chip ein HSM sitzt, also versuchen sie jetzt, die nächsten Schwachstellen zu finden. Und um dieser nächsten Angriffswelle standhalten zu können, ist eine ganzheitliche Security-Architektur unabdingbar und die OEMs können zusätzlich das Wissen und Produkte aus der Security&Chip-Karten-Industrie nutzen.«

Die E/E-Architektur nur für eine erhöhte Security umbauen, ist das nicht ein bisschen viel verlangt? Nicht unbedingt, denn es gibt ein paar Ansätze, die den Forderungen von Adlkofer per se entgegenkommen. Zum einen sind die OEMs sehr an OTA-Software-Updates (OTA: Over the Air) interessiert und integrieren deshalb alle Schnittstellen in die sogenannte T-Box (Telematik-Box), »eine Maßnahme, die auch für eine gute Security-Architektur wichtig ist«, so Adlkofer weiter. Denn dank der Integration der Schnittstellen in eine einzige Box wird die Architektur automatisch hierarchisch und verliert ihren bisherigen demokratischen Charakter. Zum anderen arbeiten mehr oder minder alle OEMs am automatisierten Fahren, und auch in dem Fall ist ein hierarchischer Architekturansatz notwendig. Adlkofer: »Beim autonomen Fahren fungiert ein zentraler Computer bzw. Domain-Rechner als Master, und das muss in der Security genauso sein: ein Master, der alle anderen überstimmen bzw. kontrollieren kann.«

Der Security spielt aber noch eine weitere Tatsache in die Hände: Immer mehr OEMs setzen die seit Jahren diskutierte Architektur mit Domänenrechnern nun in den Fahrzeugen um. Diese neuen E/E-Architekturen machen das System ebenfalls hierarchisch. Adlkofer: »Mit den E/E-Architekturen sind nicht mehr alle ECUs gleichberechtigt, sondern die verschiedenen Domänenrechner fungieren als Master, zum Beispiel als Master für die Motorsteuerung oder als Master für ADAS-Funktionen. Und über den Mastern sitzt das Gateway, das nicht mehr blind die Daten verteilt, sondern ganz gezielt Daten verifiziert und nur noch an bestimmte ECUs schickt.«

Mit dieser Domänenarchitektur gehört der Wildwuchs, der frühere Fahrzeuggenerationen prägte, der Vergangenheit an. »Ein Wirrwarr sicher zu machen, das ist eine Mammut-Aufgabe. Mit einem hierarchischen Design und Domänenrechnern wird das viel einfacher. Der OEM kann sich genau überlegen, welche Systeme er sichern muss, weil er genau weiß, wie die Kommunikation untereinander sein muss«, so Adlkofer weiter. Hinzu kommt noch, dass es in vielen Fällen nicht notwendig ist, dass ein Domänenrechner mit einem anderen kommuniziert, sprich: diese Kommunikation kann unterbunden werden. Kann jede ECU mit jeder reden wie bei CAN, ist der Aufwand, dieses System sicher zu bekommen, ungleich höher.