IT-Sicherheit in Fahrzeugnetzwerken Offene Netze schützen

Neue Security-Konzepte im Einsatz von Automotive Ethernet
Neue Security-Konzepte für offene Netze.

Sicherheitskonzepte beruhten im Auto lange auf einer Closed-World-Annahme. Neben der Einführung zahlreicher Schnittstellen nach außen trägt auch der Einsatz von Automotive Ethernet zu einer Öffnung des Fahrzeugnetzwerks bei. Für den notwendigen Schutz sind neue Security-Konzepte gefragt.

Das Automobil durchläuft aktuell einen radikalen Wandel, der in den kommenden Jahren mehr technologische Änderungen nach sich ziehen wird als in den vergangenen Jahrzehnten. Innovationstreiber für die zunehmende Vernetzung sind unter anderem fortgeschrittene Fahrerassistenzsysteme sowie die langfristige Vision des intelligenten und selbstfahrenden Fahrzeugs. Um diese Vision in die Tat umzusetzen, ist eine weitergehende Intensivierung der Fahrzeugvernetzung erforderlich. Dies umfasst sowohl die Vernetzung verschiedener Domänen innerhalb des Fahrzeug-Bordnetzes als auch die Vernetzung des Fahrzeugs mit einer großen Anzahl von Diensten im Back End, um die Umgebungswahrnehmung des Fahrzeugs entsprechend zu erweitern. Automotive Ethernet ermöglicht hierbei sowohl einen hohen Durchsatz als auch verlässliche und robuste Kommunikation. Um die Stärken der Ethernet-basierten Vernetzung im Anwendungskontext der Fahrzeugvernetzung ausspielen zu können, bedarf es jedoch eines Paradigmenwechsels im Design künftiger Fahrzeugnetzwerke, die entsprechend flexibler und anpassungsfähiger sein müssen.

Die Ethernet-Vernetzung eröffnet dabei Kommunikationspfade zwischen den Automotive-Bussen und beliebigen Ethernet-Instanzen (im Internet). Auch das trägt mit dazu bei, dass die vormals geschlossenen Automotive-Systeme Teil eines offenen Systems werden und denselben Bedrohungen ausgesetzt werden wie IT-Systeme. Ethernet und die darauf aufsetzenden Protokolle wie etwa IP (Internet Protocol), AVB (Audio Video Bridging) oder TSN (Time-Sensitive Networking) für sich genommen stellen nur einen begrenzten Schutz gegen böswillige Manipulationen bzw. Angriffe bereit. Ohne zusätzliche Schutzmaßnahmen können Sicherheitslücken in nach außen exponierten Funktionen und Steuergeräten somit letztlich den unbefugten Zugriff auf das Fahrzeugnetzwerk ermöglichen.

Besondere Herausforderungen im Automotive-Bereich

Im Kontext der Fahrzeugvernetzung hat sich das Kommunikations-Paradigma von signalbasierter Kommunikation, welche sich maßgeblich auf Broadcast-Mechanismen stützt, hin zu Service-orientierter Kommunikation weiterentwickelt. Diese zeichnet sich u.a. durch mehrere Protocol Data Units (PDUs) pro Frame, Unicast- und Multicast-Mechanismen sowie Client-/Server-basierte Dienste aus. Obwohl dies den Rahmenbedingungen von Ethernet-Netzwerken im IT-Umfeld näher kommt, gibt es dennoch einige weitere Unterschiede zwischen Consumer-IT und Automotive-IT, die eine Herausforderung für den Einsatz von Ethernet darstellen.

Dazu zählt etwa die verfügbare Bandbreite: Während im Konsumgüterbereich breitbandige (V)DSL-Anschlüsse mit bis 100 Mbit/s zur Verfügung stehen, ist das Fahrzeug auf die Mobilfunk-Infrastruktur angewiesen. Wenngleich hierbei die verfügbare Bandbreite durch den Netzausbau und Technologien wie LTE/4G kontinuierlich steigt, ist die volle Bandbreite nicht flächendeckend verfügbar. Ähnlich verhält es sich mit der zur Verfügung stehenden Rechenleistung oder dem zu erwartenden Anwender-Know-how. Weitere Aspekte betreffen die ungleich längeren Produktlebenszyklen im Automotive-Umfeld sowie das Netzwerkdesign. Während ein Netzwerk im IT-Umfeld üblicherweise einmal entworfen, aufgebaut, betrieben und weiter ausgebaut wird, erfolgt dies im Automotive-Umfeld für jede Plattform aufs Neue. Streng genommen bildet jedes einzelne Fahrzeug ein eigenes Netzwerk, welches entwickelt, aufgebaut und über viele Jahre aktuell und in Betrieb gehalten werden muss. Nicht zuletzt ist die Fehlertoleranz ein erheblicher Unterschied: Während ein Systemabsturz im IT-Umfeld zwar ebenfalls kritisch sein kann, hat er doch in der Regel keine Safety-Relevanz.

Automotive Ethernet ist damit weit mehr als nur der Austausch der physischen Schicht. Ob Ethernet im Consumer- oder im Automotive-Umfeld eingesetzt werden soll, hat auch erheblichen Einfluss auf die Eigenschaften des Netzwerks und dementsprechend auf dessen Design: Netzwerke im IT-Umfeld sind in aller Regel rein Ethernet-basiert mit kaum Multicasting, QoS auf IP-Ebene, tolerierbaren Paketverlusten und Power over Ethernet. Dagegen ist Ethernet im Fahrzeug nur ein Teil eines Netzwerks, welches in unterschiedliche Sicherheitszonen unterteilt ist. Multicasts sind gängig – etwa für Signalkommunikation oder Service Discovery –, Netzwerkmanagement ist essenziell, Priorisierung erfolgt bereits im Ethernet Frame und Paketverluste sind kritisch.

Sicherheit umfasst in diesem Zusammenhang sowohl die Assets (was muss geschützt werden) als auch das zugrunde liegende Angreifermodell, das angestrebte Sicherheitsniveau, zu erwartende Angriffe, monetärer Aufwand und die Implikationen auf den Systementwurf und die Komplexität des Systems. Wie der Stand der Technik einem kontinuierlichen Wandel unterliegt, entwickelt sich auch die Bedrohungslage – und damit einhergehend die möglichen Angriffe – rasant und konstant weiter. Dementsprechend ist eine kontinuierliche Überprüfung und Bewertung der getroffenen Sicherheitsmaßnahmen über den gesamten Lebenszyklus eines Fahrzeugs essenziell, um ein einmal erreichtes Sicherheitsniveau aufrecht zu erhalten. Dabei ist insbesondere die Berücksichtigung des „Security by Design“-Prinzips von zentraler Bedeutung, um bereits im Vorfeld möglichen Schwachstellen präventiv entgegenzuwirken, welche sich im Produktivbetrieb nur noch schwer oder überhaupt nicht mehr beheben lassen.