Forum Safety & Security 2019 ISO 26262 – »Einer der schwächsten Standards der letzten Jahre«

In der Stadthalle Sindelfingen fand 2019 bereits zum zweiten Mal das Forum Safety & Security der WEKA Fachmedien statt.
In der Stadthalle Sindelfingen fand 2019 bereits zum zweiten Mal das Forum Safety & Security der WEKA Fachmedien statt.

Ziemlich kontrovers ging es auf dem Forum Safety & Security der WEKA Fachmedien in Sindelfingen bei Stuttgart zu. Dass Safety ohne Security in vernetzten Systemen undenkbar ist, war noch Konsens. Aber am Automotive-Standard für Safety ISO 26262 schieden sich die Geister.

Das dreitägige Forum Safety & Security 2019 der WEKA Fachmedien bot einen breit gefächerten Überblick über das breite Feld der funktionalen Sicherheit im Wechselspiel mit der Datensicherheit. Nach einem eintägigen Einstiegsseminar von Prof. Dr. Peter Fromm ging es mit zwei Konferenztagen in Plenum und Ausstellung weiter. In der Stadthalle Sindelfingen trafen sich insgesamt 228 Teilnehmer, Referenten und Aussteller zum intensiven Informationsaustausch über die zwei Seiten der Medaille »Sicherheit«.
Neben dem zweitägigen Track »Automotive« der Elektronik automotive gab es drei weitere Tracks:
•    Methoden & Tools
•    Industrieautomatisierung
•    Medizinelektronik
In der übergreifenden Keynote gab Dr. Josef Haid, Lead Principal Embedded Security Solutions bei Infineon Technologies, einen Ausblick auf das Jahr 2025 und darüber hinaus: Was muss Security in der Mensch-Maschine-Kollaboration leisten? Während heute Roboter häufig in Käfige eingesperrt sind, gibt es in der Mensch-Maschine-Kollaboration keine Absperrungen mehr. Es sind viele Umgebungssensoren erforderlich und es gibt kein Anhalten mehr, wenn Menschen in der Nähe sind. Daher müssen die Bewegungen langsamer ablaufen. Haid stellte einen Technologiebaukasten für die Maschinen der Zukunft vor, mit Elementen wie vorbeugende Wartung, virtuellen Sicherheitszäunen und sicherer Bewegungssteuerung. Dazu gehört auch ein abgesichertes Cloud-basiertes System, dessen Basisarchitektur Haid im Detail erläuterte. Damit Hacker nicht ein derartiges System übernehmen können, plädiert Haid für den Einsatz von Hardware-basierter Security mit Sicherheitscontrollern. Gleichzeitig betonte er, dass man bei der Auswahl von Verschlüsselungsalgorithmen die lange Laufzeit von Embedded Systemen berücksichtigen müsse und dass diese auch sicher gegenüber dem Einsatz von Quantencomputern sein müssen. Haid sieht derzeit die Verfahren AES-256, SHA512 und SHA3-512 im Hinblick auf Quanten-Computing als sicher an.

Im nächsten Jahr findet das Forum Safety & Security am 22. (Seminartag) bis 24. Juni 2020 statt.

Safety & Security im Auto

Der Automotive-Track startete mit einem Vortrag von Stephan Janouch von Green Hills, der die Gemeinsamkeiten und Unterschiede von funktionaler und Daten-Sicherheit im System Auto herausarbeitete. »Warum ist Datensicherheit Priorität Nummer eins?«, fragte Janouch und erklärte es gleich: »weil die Software in Hunderttausenden oder Millionen Fahrzeugen unverändert aufgespielt wird und alle die gleichen Fehler haben. Eine einzige Schwachstelle bedroht alle Einheiten und diese Sicherheitslücken gefährden die funktionale Sicherheit.« Dabei reicht das Spektrum der Angreifer vom Fahrzeugtuner, der nur Funktionen freischalten will, über Hacker, Wettbewerber und Diebe bis hin zu Terroristen, die der Gesellschaft größtmöglichen Schaden zufügen wollen. Wenn man dieses Problem lösen will, muss man erstmal die Fahrzeugumgebung kennen. Geht es um ein elektronisches Steuergerät, das Fahrzeug, die Cloud? Moderne Premium-Autos bergen rund 100 Mio. Codezeilen und laut einer NASA-Studie ergeben sich daraus 200.000 Software-Bugs. Als Lösung schlägt Janouch einen »Defense-in-Depth«-Ansatz vor, mit den Schichten Firewall, Einbruchsdetektion, Verschlüsselung, Authentifizierung, Betriebssystem und Hypervisor. Ebenso wichtig sei nach »Inside-out-Security« zu verfahren, also kritische Komponenten schon im Entwicklungsprozess zu identifizieren und diese von nicht-kritischen zu isolieren. Außerdem solle Hardware-Separation sowie eine hochrobuste Software-Separation verfolgt und Komplexität minimiert werden.
Einen umfassenden Überblick über die neuesten Security-Normen und ihren Einfluss auf die Safety gab Dr. Thomas Liedtke, Principal bei Kugler Maag. Er kritisierte in seinem Vortrag dass sich aus der ISO 26262 in der 2. Fassung keine spezifischen Anforderungen bezüglich der Cyber-Sicherheit ergeben. Deshalb postulierte Liedtke, dass man sich immer mit Cyber-Sicherheit beschäftigen muss, wenn man die funktionale Sicherheit betrachtet.
Ebenfalls mit dem Spannungsfeld Safety-bezogener Anforderungen an ein Security-Subsystem befasste sich der Vortrag von Andreas Lentz von NXP Semiconductors. Er kommt allerdings zu einem anderen Schluss: Die Mehrzahl von Safety-Anforderungen müssen auf System-/SoC-Ebene erfüllt werden. Das Sicherheits-Subsystem bleibt von den Anforderungen funktionaler Sicherheit weitgehend unberührt. Daher befinden sich die Safety-Funktionen hauptsächlich außerhalb des Security-Subsystems.
 

Mit dem Einsatz von Open Source Software (OSS) in Safety-relevanten Fahrzeuganwendungen beschäftigten sich zwei Vorträge: Rudolf Grave von Elektrobit stellte einen Entscheidungsbaum für OSS in Safety-Anwendungen vor und Prof. Nicholas McGuire von OSADL plädierte für den Einsatz von Linux als robustem Open Source Betriebssystem.
»Open Source ist nicht gratis, sondern braucht eine Strategie«, erläutert Grave. Sein Entscheidungsbaum umfasst die Prüfungen auf Separation, Monitoring, Redevelopment und Qualifizierung. Als Beispiel führte er »Eigen« an, eine C++-Bibliothek für lineare Algebra mit Matrizen, Vektoren, numerischen Solvern und verwandten Algorithmen. Grave sieht in der Auto-Industrie Bestrebungen verstärkt OSS auch außerhalb von Infotainment-Systemen zu nutzen. Allerdings liefen auch 90 Prozent der Open Source Projekte im Leerlauf. Vielversprechend seien aber unter anderem kürzere Markteinführungszeiten, eine effizientere und effektivere Entwicklung, zunehmend erfolgreiche Wiederverwendung und Community-basiertes Lernen.
Prof. Nicholas McGuire, der auch in China lehrt, kritisierte zunächst die ISO 26262 als »einen der schwächsten Standards der letzten Jahre, der nicht für komplexe Systeme geeignet ist.« Er empfiehlt, sich lieber an die Compliance Route über den Dach-Standard IEC 61508 zu halten, da dieser mehr Flexibilität erlaube. McGuire stellte das SIL2LinuxMP-Projekt von OSADL vor, das bereits die Anwendung von Linux in Safety-Umgebungen exploriert hatte und bereits erste Ergebnisse veröffentlichte, aber auch weitere offene Fragen identifizierte. SIL2LinuxMP wurde vom ELISA-Projekt der Linux Foundation abgelöst, was McGuire ein Stück weit bedauerte, denn es hätte noch zahlreiche offene Fragen gegeben, die durch die Abwanderung von früheren Projektpartnern zu ELISA nun nicht mehr weiterverfolgt werden können. Grundsätzlich aber ist auch McGuire überzeugt, dass Bedarf für OSS in der Automobilindustrie vorhanden ist.

Das Forum Safety & Security 2019 im Video