Startseite > Automotive > Infotainment > Sichere Over-the-Air Updates für Connected Cars

Wireless Mobile wird Wireless Automobil

Sichere Over-the-Air Updates für Connected Cars

10. Januar 2017, 10:36 Uhr | Von Rudolf von Stoker

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Wohin geht die Entwicklung?

Das OTA-Verfahren wird bereits von vielen bekannten Fahrzeugherstellern eingesetzt. BMW hat ein OTA Update zur Beseitigung eines Fehlers im Connected Drive System bereitgestellt, durch den ein unerlaubtes Entriegeln der Fahrzeugtüren möglich war. Tesla, der Vorreiter beim Einsatz von OTA Updates im Automobilsektor, verfolgt einen ähnlich proaktiven Ansatz. Das Unternehmen initiiert Programme zur Aufdeckung von Sicherheitslücken in seinen Fahrzeugen und bietet erfolgreichen Hackern sogar Vergütungen an, wenn sie diese melden, um dann zeitnahe OTA Fixes für die betroffenen Fahrzeuge bereitzustellen.

Die Nutzung von OTA Updates wird sich letztendlich auf das gesamte Fahrzeug erstrecken und damit folgende Vorteile bieten können:

Vermeidung von Software-bedingten Rückrufaktionen und Verringerung von Garantiekosten
Tiefgehende Echtzeit-Informationen über Fahrzeuge und aktuelle Konfigurationen
Erhöhte Zuverlässigkeit und Genauigkeit von Fahrerassistenzsystemen (über OTA Map Updates)
Schutz von Fahrzeugen gegen verbindungsbetriebene Cyber-Sicherheitsbedrohungen
Etablierung und Aufrechterhaltung von langfristig profitablen Beziehungen mit Fahrzeugeigentümern

Cyber-Sicherheit für Fahrzeuge

Ein besorgniserregender Faktor sind heute auch die Sicherheitsbedrohungen innerhalb von Fahrzeugen. Zu diesen gehören unter anderem der Einsatz von unerlaubter Software – beispielsweise Apps zur widerrechtlichen Aneignung von geistigem Eigenturm oder von Daten oder gar Übernahme der Kontrolle über das Fahrzeug.

Auch die unberechtigte Installation von Software, das heißt die Installation von Software aus unsicheren Quellen anstatt aus einer autorisierten Management-Stelle, ist ein Problem. Weitere zu beachtende Schwachstellen im Fahrzeug sind Man-In-The-Middle-Angriffe (MITM-Angriffe) oder Manipulation von Software auf dem Weg zum Fahrzeug und Bordnetz-Spoofing sowie Ausspähung zur widerrechtlichen Aneignung von geistigem Eigentum des Erstausstatters, Fahrerstatistiken und persönlichen Daten des Fahrzeugeigentümers.

Daher empfehlen sich auch in der Automobilbranche Sicherheitsmaßnahmen, wie sie in der traditionellen Informations- und operativen Technologie üblich sind, um die folgenden wesentlichen Sicherheitsziele umzusetzen:

Authentifizierung: Sicherstellung der vollständigen Vertrauenswürdigkeit zwischen sämtlichen relevanten Systemelementen. Das heißt, Sicherstellen, dass sich der richtige Kunde mit dem richtigen Server verbindet. Um das zwischen dem Back End des gehosteten OTA-Dienstes und sämtlichen drahtlos zu aktualisierenden Fahrzeugen garantieren zu können, werden folgende Maßnahmen parallel eingesetzt:
- Das aktuelle Transport-Layer-Security-Protokoll (TLS) mit Abhörsicherheit
- Auf kryptografischer Hash-Funktion basierendes Identitätsmanagement
- Digitale Hash-Signierung, um die Authentizität von Software-Paketen verifizieren, die das System aktualisieren sollen

Darüber hinaus sollten traditionelle IT-Maßnahmen, wie VPN-Verbindungen, TLS/HTTPS-Transportsicherheitsebenen, Nutzer-IDs und Kennwörter für den Log-in, zwischen Administratoren und Nutzern sowie dem Back End des gehosteten OTA-Update-Dienstes zum Einsatz kommen.

Autorisierung: Sicherstellen, dass der Zugriff auf angefragte Ressourcen ausschließlich durch berechtigte Dritte und Einrichtungen geschieht. Also auch, dass ein Fahrzeug ausschließlich mit der ordnungsgemäßen Software aktualisiert wird. Software, die für einen Typ ECU bestimmt ist, sollte auch nicht auf einem Steuergerät eines anderen Typs installiert werden können. Es wird zudem empfohlen, dass Hash Method Authentication Code (HMAC), Whitelists (für eine spezifische Fahrzeugidentifizierung) und signierte Hashes (zur Feststellung der Aktualisierungsberechtigung) zwischen dem Back End des gehosteten OTA-Dienstes und sämtlichen potenziellen Zielfahrzeugen eingesetzt werden. Dazu empfiehlt sich ein rollenbasierter Zugang für Administratoren.
Vertraulichkeit : Verschlüsselung von Daten- und Transportebenen, um unberechtigte Zugriffe, Vervielfältigung oder anderweitigen Diebstahl von OEM-Software zu vermeiden. Um das auf der Back-End-zu-Fahrzeug-Seite des OTA-Dienstes zu erreichen, wird empfohlen, den aktuellen Transportebenenschutz als Mittel zur Sicherung des eigentlichen Tunnels für das Software Update, sowohl für den Ruhezustand (wenn die Software lediglich gehostet wird) als auch während der Software-Übertragung, einzusetzen. Außerdem sollten sämtliche Pakete, die über einen TLS-gesicherten Kanal transportiert werden, vollständig verschlüsselt werden. Zwischen sämtlichen Administratoren, Nutzern und dem Back End des OTA-Dienstes sind VPN-Verbindungen einzusetzen, die mit TLS geschützt werden, um den Tunnel intern innerhalb des Datenzentrums sowie extern abzusichern.
Integrität: Verhindern jeglicher Manipulationen mit Fahrzeug-Software, die direkten Schaden verursachen sowie Zugriffe auf das System über die Hintertür auf der Ebene des OEM Back End oder innerhalb des Fahrzeugs ermöglichen.

Auf der Back-End-zu-Fahrzeug-Seite des OTA-Diensts wird empfohlen, das aktuelle TLS-Protokoll (zur Absicherung des Tunnels des Software Update während der Übertragung) zu implementieren sowie Hash-Codes und Verschlüsselung zur Sicherstellung der Integrität des Software-Pakets einzusetzen.