Startseite > Automotive > Eine Security-Architektur muss her

Infineon Technologies

Eine Security-Architektur muss her

23. August 2018, 10:29 Uhr | Iris Stroh

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 2

Keine Panik – ein Auto zu hacken ist nicht einfach

Setzen die OEMs auf die von Adlkofer geforderte Security-Architektur, dann hat der Hersteller seiner Meinung nach bereits ein hohes Niveau an Security erreicht. Denn die Hacker würden sich immer die Frage stellen, wie groß der Business-Case ist und welcher Aufwand besteht, um diesen Business-Case zu heben. Adlkofer: »Mit gefälschten Pay-TV-Karten ließe sich zum Beispiel relativ schnell viel Geld verdienen. Dann lohnt sich der Business-Case für den Angreifer und der Pay-TV-Anbieter kann im Gegenzug in ein höheres Schutzniveau investieren.« Und wie sieht es bei Fahrzeugen aus? »Heute ist der größte Business-Case die Reputation beziehungsweise der Markenwert des OEM. Beides gilt es zu schützen«, so Adlkofer.

Gemeinsames Vorgehen denkbar?

ISO 26262 stellt den Rahmen für die Herangehensweise fest, um ein System funktional sicher zu machen. Wäre so etwas grundsätzlich auch für die Security denkbar? Prinzipiell ja, und zwar insofern, als die OEMs ähnlich wie im Bereich Functional Safety auch für die Security Kriterien definieren müssen, die dann von den Zulieferern umgesetzt werden müssen. Adlkofer: »Es muss erfasst werden, welche Angriffsmöglichkeiten es gibt, und diese müssen dann systematisch durchgegangen werden. In der entstehenden ISO 21434 werden diese Themen gerade diskutiert und Lösungen spezifiziert.«

Im Prinzip könnte das ähnlich wie bei ITSec (Information Technology Security Evaluation Criteria) ablaufen. In Deutschland überprüft beispielsweise das BSI, ob bei einem Personalausweis Maßnahmen gegen bestimmte Angriffsszenarien ergriffen wurden, und nur dann kann die für Personalausweise erforderliche Security-Stufe erreicht werden, die dann auch zertifiziert wird. Und da sich auch hier die Angriffsmöglichkeiten mit der Zeit ändern, entwickelt das BSI den Maßnahmenkatalog stetig fort.

Für die Security von Fahrzeugen gibt es so etwas nicht. Auch gibt es keine Instanz, die die Security eines Fahrzeugs bewerten bzw. zertifizieren kann. Zwar hat der eine oder andere bereits eine Risikoanalyse durchgeführt und damit eine Liste der möglichen Angriffsszenarien erstellt, allerdings ist für Adlkofer nicht klar, wer diese Liste von Angriffsmöglichkeiten in Zukunft weiterführen soll. Ein Ansatz wie das BSI für ITSec hält Adlkofer für schlecht machbar, einfach weil hier das Verständnis für die Komplexität fehle, eher könnte beispielsweise der VDA hier aktiv werden.

In Zukunft sind noch weitere Schritte erforderlich

Selbst wenn ein Fahrzeug heute als „secure“ gilt, ist es das nicht für unbegrenzte Zeit gültig, denn typischerweise ist ein Auto etwa zehn Jahre auf der Straße, und innerhalb dieser Zeitspanne ändert sich vieles. Deshalb sollten die Systeme einen Spielraum aufweisen, um auch noch zukünftige, bessere Algorithmen zu berechnen. »Wir diskutieren das mit den Security-Experten der OEMs bereits. Heute sind nur Software-Updates möglich, ein Fahrzeug komplett neu aufzusetzen geht aber noch nicht. Ich kann mir jedoch durchaus vorstellen, dass Fahrzeuge, die 2025/2030 auf den Markt kommen, diese Funktionsfähigkeit aufweisen«, so Adlkofer weiter.

Auch in diesem Fall sei ein hierarchischer Ansatz von Vorteil. Denn damit könne der OEM beispielsweise in der T-Box anfangen und hier zusätzlichen Spielraum schaffen und dann Schritt für Schritt in der Architektur weiter nach unten gehen. Sinnvoller ist es, das jeweils angemessene Sicherheits-Level zu implementieren. Auch aus Kostengründen – nicht nur im Hinblick auf das Fahrzeug selbst, sondern auch auf das gesamte Back-End. Denn höchste Sicherheitsmaßnahmen bedingen ja auch eine sichere Schlüsselgenerierung etc. Außerdem müsste sich die Automobilindustrie überlegen, wie sie ein sicheres Update realisiert, speziell wenn man bedenkt, dass auch freie Werkstätten diesen Dienst durchführen können müssen. Adlkofer: »Wir müssen über das Auto hinausdenken, es geht um die gesamte Kette. Hier sind auch noch entsprechende Änderungen notwendig, damit die Security eingehalten werden kann. Wir brauchen in der Security evolutionäre Schritte, die groß genug sind, um den Vorsprung vor den Hackern zu halten, aber gleichzeitig keinen Overkill erzeugen.«

Adlkofer mahnt abschließend: »Jetzt geht es erst einmal darum, herauszufinden, was die wichtigen, richtigen Schritte für die OEMs sind, ob sie die Angriffsszenerien verstehen und deren Auswirkungen und Risiken kennen. Danach muss sich jeder überlegen, ob er gegen heutige Angriffe gewappnet ist und ob die Maßnahmen so flexibel sind, dass auch in zehn Jahren noch ein Upgrade möglich ist. Dies ist entweder über Software-Updates möglich oder, wenn es ganz hart kommt, über die Verwendung von Algorithmenagilität.«