Schwerpunkte

Infineon Technologies

Security: Ein Muss, kein »Nice to have«

01. März 2016, 13:26 Uhr   |  Iris Stroh


Fortsetzung des Artikels von Teil 1 .

Angepasste Sicherheitsmechanismen

Infineons Produktspektrum für Sicherheitsmaßnahmen im Fahrzeug
© Bild: Infineon Technologies

Infineons Produktspektrum für Sicherheitsmaßnahmen im Fahrzeug

Und genau diesen Ansatz verfolgt Infineon, und das mit einem bezüglich der Sicherheit skalierbaren Produktspektrum. Skalierbar deshalb, weil es nicht darum geht, das Fahrzeug zum neuen Fort Knox zu machen, sondern je nach Angriffsklasse verschiedene Sicherheitsstufen im Fahrzeug zu realisieren. Was heißt das im Detail? Steurich: »Es geht um Hardware-Maßnahmen, um Schlüssel abzusichern und kryptographische Funktionen zu realisieren, auf denen die Applikation aufgebaut werden kann.« Dazu stehen integrierte MCUs wie Aurix und Audo Max zur Verfügung. Infineon hat in seinen früheren MCU-Generationen SHE eingesetzt. SHE steht für »Secure Hardware Extension« und basiert auf Spezifikationen der »Hersteller Initiative Software«, in der sich die deutschen OEMs zusammengeschlossen hatten. SHE ist ein Beschleuniger für symmetrische Kryptographie. In der neuesten Aurix-Generation wiederum sitzt das HSM-Modul (Hardware Security Modul). Dieses Modul unterstützt auch asymmetrische Kryptographie. Steurich weiter: »Das HSM ist mit einer eigenen CPU ausgestattet, verfügt also über eigene Rechenressourcen und ist vom Rest der MCU über eine Firewall getrennt und geschützt. Damit ist es möglich, die Prozesse auf der restlichen MCU zu überwachen.« Und Adlkofer fügt noch hinzu: »Wir sind der Meinung, dass das HSM das Mindeste ist, was an Sicherheitsmechanismen ins Auto muss.«
Andererseits gibt es aber auch diskrete Sicherheits-Hardware-Lösungen. Dazu zählen beispielsweise die Sicherheits-Controller SLI 76 und SLI 97. Bei ihnen nutzt Infineon seine eigene Chipkarten-IC-Technologie. Steurich: »Das sind AEC-Q100-qualifizierte Komponenten, die alle gängigen Qualitätsvorgaben erfüllen, einschließlich niedriger Fehlerraten.« Mit dieser BAusteinfamilie lassen sich sogenannte embedded SIMs realisieren, damit das Auto Mobilfunk zur Datenübertragung nutzen kann. Darüber hinaus gibt es das OPTIGA-TPM (Trusted Platform Module), mit dem die externe Kommunikation sicher gestaltet werden kann, und sich unter anderem auch SOTA (Software over the Air) sichern lässt. Durch das Einrichten einer sicheren Verbindung zu den Servern des Herstellers und das Überprüfen der Systemintegrität erhöht das TPM das Vertrauen in die Unversehrtheit der kommunizierenden Einheiten. So kann das TPM beispiels-
weise zum Absichern von Software-Aktuali-
sierungen unterwegs verwendet werden. Da die Geheimhaltung der Schlüssel dabei von zentraler Bedeutung ist, schützt das TPM sie mithilfe eines sicherheitszertifizierten Schlüsselspeichers. Das Trusted Platform Module bietet außerdem den Vorteil, dass es auf Sicherheitsstandards basiert, die seit vielen Jahren im Einsatz sind und sich während dieser Zeit bewährt haben. Diese ICs machen es auch möglich, dass das Schlüsselmaterial bereits während der Produktion sicher eingebracht werden kann. Steurich: »Wenn ich einen sicheren Schlüssel im IC habe, dann kann dieser Anfangsschlüssel das Einbringen weiterer Schlüssel schützen. Die Kosten der Sicherheitsmaßnahmen in der Fertigung sinken und gleichzeitig wird die Sicherheit erhöht.« Zu
guter Letzt gibt es noch die SLI-97-V2V-
Bausteine, die für die C2C-Kommunikation
optimiert sind. Sie sichern die Integrität der Daten und die Privatsphäre des Fahrers. »In diesem Anwendungsbereich ist das hohe Schutz-Niveau aus der Chipkarten-Technologie sinnvoll.«

End-to-End-Sicherheit

Neben den einzelnen Produkten arbeitet Infineon auch an Systemarchitekturen. Ein Beispiel ist eine sichere SOTA-Architektur, mit der es möglich ist, schnell auf einen erfolgreichen Angriff zu reagieren. Dazu hat Infineon seine Aurix-Technologien mit oben beschriebenen Sicherheits-Controllern systemisch verbunden. Die Architektur umfasst drei Ebenen: Ganz oben steht die Telematik-Unit mit zwei Chipkarten-Produkten (OPTIGA-TPM und SLI 76/97), die einerseits die Authentifizierung zwischen Auto und OEM-Server durchführen, andererseits aber auch die Verschlüsselung des Datentransfers unterstützen und den Zugang zum Mobilfunknetz absichern. Danach folgt ein System, das mittels Signaturen und Verifikationsprozessen überprüft, ob die empfangene Firmware auch die richtige ist und ob die Datenübertragung erfolgreich war. Auf dieser Ebene wird danach dann auch die Firmware sicher abgespeichert. Damit sind schon mal alle Daten im Fahrzeug. Im nächsten Schritt werden dann die jeweiligen ECUs mit der neuen Firmware aufgerüstet. Und nachdem dieser Vorgang ebenfalls gestört werden könnte, wird auf ECU-Ebene abermals eine Verifikation durchgeführt. Erst dann kann man sich sicher sein, dass auch die Verteilung innerhalb des Fahrzeugs sicher abgelaufen ist. Klimke: »Mit vertrauenswürdiger SOTA ließe sich so mancher Rückruf sparen.«
Infineon betreibt auch ein unternehmenseigenes Sicherheitslabor, in dem versucht wird, die eigenen Produkte anzugreifen und in dem die Sicherheitsmaßnahmen intensiv getestet werden. »So können wir selbst herausfinden, ob unsere Chips robust genug auch gegen die neuesten Angriffe sind. Dieses Vorgehen, das wir seit vielen Jahren aus der Chipkarten-Welt kennen, wird jetzt auch für den Automotive-Bereich angewandt.«
Infineon schließt aber auch die Prozesssicherheit der eigenen Entwicklung und Fertigung mit ein. Das sichere Einbringen von Schlüsseln ist relevant. Das Problem ist aber folgendes: Der allererste Schlüssel muss im KLartext eingebracht werden, also unverschlüsselt. Sobald der erste Schlüssel abgelegt ist, wird es deutlich einfacher, aber der erste Schlüssel muss sicher übertragen werden. Klimke weiter: »Dieser erste Schlüssel muss besonders geschützt werden und erfordert entsprechende Schutzmaßnahmen in der Fertigung.« Will der OEM / Tier One diesen Schritt selbst durchführen, dann muss er dieselben Sicherheitsvorkehrungen realisieren, die Infineon für seine Sicherheits-Chips hat. Dort wird der Schlüssel in hermetisch abgeschlossenen Räumen eingebracht. Damit die Automotive-Industrie sich diese Aufwände sparen kann, bietet Infineon den Service, den ersten Schritt im eigenen Unternehmen durchzuführen. »Mit diesem Schlüssel kann der OEM weitere Schlüssel anlegen und damit die Sicherheit in seiner Produktion deutlich erhöhen«, so Klimke. Vertrauen in den Schlüssel wird über ein kryptographisches Verfahren hergestellt, der Schlüssel ist von Infineon signiert. Das heißt, der OEM kann damit kostengünstig und hochsicher prüfen, ob das Produkt wirklich von Infineon produziert und personalisiert wurde und keine Fälschung vorliegt.
Klimke erläutert weiter: »Sicherheit ist ein
Resultat von Kompetenz und Prozessen und nicht nur ein Produkt-Feature.« Deshalb wird nicht nur das Infineon-Produktspektrum von unabhängigen Stellen sicherheitszertifiziert, sondern es werden auch die Prozesse im Unternehmen überprüft.  

Security lohnt sich –
nicht nur für den Endverbraucher

Dass all die eben beschriebenen Sicherheitsmaßnahmen nicht kostenlos sind, steht außer Frage. In der Premiumklasse spielen die Zusatzkosten sicherlich nicht die entscheidende Rolle, geht es aber um Fahrzeuge der A- und B-Klasse, dann wird mit spitzer Feder gerechnet. Adlkofer: »Es ist vollkommen klar, dass jedes Sicherheitsniveau – Firewall, Verschlüsselung und Authentifizierung – Geld kostet. Wir hoffen aber, dass auch bei den Einkäufern die Einsicht in die Notwendigkeit dieser Maßnahmen groß genug ist.«
Die Frage ist aber natürlich auch: Lässt sich für ein sicheres Fahrzeug ein Aufpreis verlangen, oder ist dieses Feature beim Endkunden nicht wirklich gefragt? Adlkofer glaubt, dass auch die Verbraucher mittlerweile eine höhere Sensibilität hinsichtlich ihrer eigenen Daten haben und dementsprechend Security auch als Verkaufsargument dienen kann. Steurich weist darüber hinaus aber auch darauf hin, dass es sich für den OEM in jedem Fall lohnt, selbst wenn er den Aufpreis nicht im Verkaufspreis widerspiegeln kann. Denn damit kann er die Anzahl der Rückrufe reduzieren, und es besteht die Möglichkeit, dass sich zukünftig neue Funktionen verkaufen lassen. Ein Teil der Verbraucher legt heute schon einen deutlich stärkeren Wert auf die Connectivity nach außen als auf den eigentlichen Antrieb. Und dabei muss die Privatsphäre gewährleistet sein.« Wobei Klimke noch darauf hinweist, dass Security in Hinblick auf mögliche Dienste überhaupt erst die Voraussetzung darstellt.
Nehmen die Attacken auf Fahrzeuge zu, ist es ja auch vorstellbar, dass in Zukunft auch neutrale Stellen wie beispielsweise NCAP das Thema Security in ihre Bewertung aufnehmen, und dann »gibt es in Zukunft vielleicht nur noch ein 5-Sterne-Ranking, wenn auch die Security eingehalten wird«, so Adlkofer weiter.

Security verleiht Flügel

Adlkofer ist sich sicher, dass Security unabdingbar ist, wenn es um das autonome Fahren geht. Und hier ist der Aufwand noch um einiges höher, weil ganz viele Informationen von extern notwendig sind, damit das Fahrzeug selbst entscheiden kann. Damit werden also noch mehr Türen aufgemacht, und dafür müssen höchste Sicherheitsstufen gelten. Die Autofahrer müssen sich darauf verlassen können, dass die Informationen, die die Systeme erhalten und auf Basis dessen Entscheidungen gefällt werden, auch richtig sind. Klimke weiter: »Das autonome Fahren birgt die große Chance, das Autofahren deutlich sicherer zu gestalten. Und wenn wir die dafür notwendige Vernetzung sicher gestalten, wird Cyber-Kriminalität nicht zu unsicheren Fahrzeugen führen.«

Seite 2 von 3

1. Security: Ein Muss, kein »Nice to have«
2. Angepasste Sicherheitsmechanismen
3. Automobilindustrie: Die Möglichkeiten unterschätzt?

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Kanban oder Scrum?
Barcelonas Nahverkehr setzt auf kontaktlose CIPURSE-Chips
Selbsttest-Bibliothek für Infineon-Mikrocontroller

Verwandte Artikel

Infineon Technologies AG