ISSCC 2016 in San Francisco Baukasten zum autonomen Fahren

Sicherheit in mehreren Dimensionen

Die zunehmenden elektronischen Funktionen im Auto bringen dem Fahrer Vorteile, bergen aber auch Risiken. Moderne Autos entwickeln sich zu »Smartphones auf Rädern«, die kontinuierlich große Datenmengen erzeugen, verarbeiten, speichern und austauschen. Funkschnittstellen vernetzen das Fahrzeug mit anderen Fahrzeugen und der Infrastruktur. Dies öffnet Hackern Türen und macht Fahrzeuge verwundbar, wie es kürzlich an einem Jeep demonstriert wurde. Es müssen Gegenmaßnahmen getroffen werden, das vernetzte Fahrzeug und seine Funkschnittstellen abzusichern, um die korrekte Funktion sicherzustellen und die Privatsphäre des Fahrers zu schützen.

Sicherheit muss von Anfang an Eingang in den Entwicklungsprozess sowie den ganzen Lebenszyklus finden. Dies erfordert einen Ansatz von »Security by Design« sowie »Privacy by Design«, was einen erheblichen Einfluss auf die E/E-Architektur des Fahrzeugs haben dürfte. Beispielsweise müssen sicherheitskritische Systeme von den Infotainment-Systemen isoliert werden, indem sie in unterschiedliche physikalische Netzwerke eingebunden sind. Darüber hinaus muss die Sicherheitsarchitektur, die aus Hard- und Software besteht, über den gesamten Lebenszyklus (typ. 15 Jahre) des Fahrzeugs immer wieder upgedated werden, um auf einer Stufe mit den Angreifern zu bleiben.

Die Sicherheits-Architektur des Fahrzeugs sollte einer »Defense in Depth«-Strategie folgen, was bedeutet, dass mannigfaltige Sicherheitstechniken über die ganze Elektronik-Architektur des Fahrzeugs verteilt werden. Damit minimiert man das Risiko, dass ein Sicherheitselement umgangen und damit das ganze Fahrzeugnetz offen zugänglich wird. Zunächst sind die Kommunikationskanäle nach außen zu sichern, vor allem gegen Datendiebstahl, Datenmanipulation und unbefugtem Zugriff. Die zweite Verteidigungslinie muss im Datennetz des Fahrzeugs implementiert werden, das die elektronischen Steuergeräte (ECU) vernetzt. Hier bedarf es Schutzmaßnahmen gegen Datendiebstahl, Nachrichten- und Netzwerk-Manipulationen sowie Angriffen von innen, wo eine gekaperte ECU genutzt wird, andere ECUs anzugreifen. Schließlich müssen auch die ECUs selbst gegen Software-Manipulation, Rechtemissbrauch usw. geschützt werden.

Schutz auf allen diesen Ebenen lässt sich mit bekannten kryptographischen Verfahren gewährleisten, einschließlich Datenverschlüsselung und Authentifizierungsverfahren. Darüber hinaus sollte die Automobilindustrie von der IT-Industrie lernen und Firewalls, Einbruchsdetektions- und Einbruchsvermeidung-Strategien anwenden, sowie Virtualisierungsverfahren einsetzen und sichere Firmware-Updates einführen.

Ganz allgemein reicht laut Reger Software zum Schutz von Systemen nicht aus. Zumindest muss eine sicherheitskritische Anwendung von anderem nicht sicherheitskritischem Code getrennt werden, z.B. indem man diesen – von der Hardware gezwungen -- in einer höheren Privilegierungsebene oder gleich auf separater Hardware ausführt. Zum Schutz vor Seitenkanalangriffen muss die Hardware so ausgelegt sein, dass sie nicht unbeabsichtigt Informationen über Timing, Leistungsaufnahme oder das elektromagnetische Verhalten nach außen dringen lässt, was Rückschlüsse auf das Innenleben zulassen würde. Schließlich braucht es zum Schutz gegen physikalische Angriffe auch physikalischen Schutz, der einen derartigen Angriff erkennt und entweder sich abschaltet oder sogar kritische Daten selbst zerstört, bevor sie gestohlen werden können.

Schlüsselelemente sicherer Systeme umfassen Hardware mit »Roots of Trust« oder »Trust anchors«, die besondere Daten enthalten und gegen Angriffe schützen. Diese Trust Anchors sind gegen missbräuchliche Manipulationen geschützte Krypto-Chips, die sich heute schon in Bank-Karten, Pässen und Gesundheitskarten befinden. Die Automobilindustrie kann auf diese Erfahrungen aufbauen und damit Datentransfers zwischen vernetzten Fahrzeugen und der Infrastruktur schützen.