Sicher ist sicher?! Automotive Security im Zeitalter vernetzter Fahrzeuge

Die Sicherheit (Safety) von Fahrern und Passagieren spielt seit Jahrzehnten eine große Rolle in der Entwicklung von Fahrzeugen. Passive und aktive Sicherheitssysteme wie Rückhaltegurte, ABS oder elektronische Stabilisierungssysteme sind heute aus keinem Fahrzeug mehr wegzudenken.

Es existieren rechtliche Rahmenbedingungen wie ISO 26262 sowie etablierte Prozesse und Werkzeugketten, die die Entwicklung und Produktion sicherer Fahrzeuge gewährleisten.

Was ändert sich mit der Einführung vernetzter, teilautonomer oder vollständig autonomer Fahrzeuge?

Automotive-Security-Smart-Car.jpg

Automotive Security: Die Anforderungen an Softwarelösungen steigen

Noch bis vor wenigen Jahren waren Fahrzeuge weitgehend geschlossene Systeme mit einem überschaubaren Anteil an Softwarefunktionalität. Software war dabei zumeist auf isolierten Steuergeräten installiert und nur über eine Kabelverbindung mit spezialisierten Diagnosewerkzeugen erreichbar. Ein Update von Software war der Ausnahmefall.

Heute werden Fahrzeugfunktionen immer häufiger vollständig in Software realisiert, die zudem das Zusammenspiel und die Kommunikation zwischen mehreren Sensoren und Steuergeräten erfordern. Die Anzahl an Schnittstellen zur Umgebung, zu Smartphones, Cloud Systemen oder anderen Fahrzeugen, nimmt zu – häufig sogar “wireless” über WLAN, Bluetooth und Co. Softwareupdates werden von der Ausnahme zur Regel.
Mit diesen Veränderungen werden sichere Software und sichere Kommunikation im Fahrzeug zunehmend relevant. Automotive Security wird zur notwendigen Engineering-Disziplin.

Sicherheit: Eine Frage des Risikos

Die Bewertung von Sicherheit, im technischen, wirtschaftliche oder privaten Umfeld, ist immer eine Risikobetrachtung. Bewertet werden dabei mögliche Schadensfälle in Kombination mit der damit verbundenen Eintrittswahrscheinlichkeit. Ein hoher Schaden ist nur dann akzeptabel, wenn er mit einer sehr geringen Wahrscheinlichkeit eintritt.

Das Risiko des Ausfalls von Safety-relevanten Fahrzeugfunktionen, wie der Verlust der Bremsfunktion oder der Defekt eines Airbag-Sensors, lassen sich über statistische Funktionen und Erfahrungswerte hinreichend gut beschreiben. Verfahren wie die Fehlermöglichkeits- und -einflussanalyse (FMEA) oder die Fehlerbaumanalyse (FTA) können darauf aufbauend Risiken zuverlässig quantifizieren. Zudem existieren bewährte Maßnahmen zur Reduktion von Safety-Risiken wie die redundante Auslegung von Funktionen und Bauteilen oder die Verwendung von Komponenten mit geringerer Ausfallwahrscheinlichkeit.

Als Folge der starken Verbreitung von softwarebasierten Fahrzeugfunktionen gelten diese Spielregeln für den Bereich der Automotive-Security nicht mehr. Und das in mehrfacher Hinsicht:

  • Angreifer
    Eine Schwachstelle im System kann von einem Angreifer gezielt mehrfach genutzt werden – im Extremfall bei Tausenden Fahrzeugen gleichzeitig. Eine statistische Aussage über die Eintrittswahrscheinlichkeit eines Schadens zu treffen, wird dadurch unmöglich. Erschwert wird die Situation dadurch, dass auch eine Prognose des wahrscheinlichen Verhaltens von Angreifern nicht möglich ist. Angriffe können ohne erkennbaren Vorteil für den Angreifer erfolgen. Die technische Möglichkeit eines Angriffs oder die Existenz einer Schwachstelle sind hinreichend für die Durchführung eines Angriffs.
  • Multiple Schadenskategorien
    Angreifer können die Sicherheit des Fahrers und der Passagiere beeinflussen – z.B. durch die Manipulation der Bremsfunktion oder die Deaktivierung des Airbags. In diesem Fall entspricht der Security-Schadensfall dem in Safety-Analyse betrachteten Schaden.
    Bei der Automotive-Security-Betrachtung kommen jedoch noch weitere Schadenskategorien hinzu. Rechtliche Konsequenzen können sich aus dem Verlust von schützenswerten Daten ergeben. Personenbezogenen Daten und der Datenschutz spielen hier eine große Rolle. Monetäre Schäden können die unmittelbare Folge von Datendiebstahl sein. So kann ein Angreifer Passwörter, Kreditkartendaten oder die Kontrolle über das gesamte Fahrzeug erlangen. Die Kontrolle über wichtige Fahrzeugfunktionen kann Ausgangspunkt von Erpressungsszenarien gegenübern Fahrern oder Herstellern werden.
  • Zielkonflikte
    Das Ziel von Safety ist einfach zu beschreiben: der Schutz der körperlichen Unversehrtheit der Passagiere.
    Ein für Menschen sicherer Zustand (Safe State) kann dabei oft durch das Abschalten von nicht mehr kontrollierbaren Funktionen bis hin zum Anhalten des Fahrzeugs erreicht werden.
    Aus Security-Sicht ist ein nicht voll funktionsfähiges Fahrzeug jedoch ein zu vermeidender Schadensfall. Offene Türen und Fenster schützen möglicherweise die Insassen – erleichtern jedoch die Manipulation oder den Diebstahl von Daten oder des gesamten Fahrzeugs.
    Es entstehen Zielkonflikte, die von der Definition von Safety- und Security- Anforderungen, über den komplette Entwicklungsprozess bis zum Betrieb des Fahrzeugs berücksichtigt werden müssen.

Auch wenn es Schnittmengen zwischen Safety und Security gibt, so ergibt sich aus den oben genannten Punkten die Notwendigkeit einer prozesstechnisch und methodisch differenzierten Betrachtung der Automotive-Security. Zu den größten Herausforderungen gehören dabei:


  1. Sensibilisierung aller an der Fahrzeugentwicklung beteiligten Organisationseinheiten in der Wertschöpfungskette: Durch Security-Mängel ausgelöste Schäden sind vielfach neuartig und nicht offensichtlich. So können allein durch die Verletzung von Datenschutzbestimmungen Strafen in Milliardenhöhe auf Hersteller in der Automobilindustrie zukommen. Keine Abteilung und kein Zulieferer darf dies ignorieren.

  2. Aufbau von Security Expertise: Die Analyse und Bewertung von Automotive-Security ist eine anspruchsvolle Aufgabe, die nicht nur Security-Know-How, sondern auch ein umfassendes Verständnis für den Fahrzeug-Entwicklungsprozess voraussetzt. Nur die gleichzeitige Betrachtung von Anforderungen, Design, Architektur und Implementierung führt zu sicheren Fahrzeugen.

  3. Etablieren von Automotive-Security-Prozessen: Neben dem sich noch in der Entwicklung befindlichen Standards “ISO-SAE 21424 Road Vehicles – Cybersecurity Engineering”, mit dessen Verabschiedung frühestens Anfang 2020 zu rechnen ist, müssen sich Organisation mit bestehenden Security-Best-Practice-Ansätzen vertraut machen und diese anwenden.

  4. Auswahl und Einführung von Methoden und Werkzeugen zur Security-Analyse und -Bewertung: Es werden neue Analysemethoden und Softwaretools benötigt, die den komplexen Security-Anforderungen gerecht werden. Der abteilungsübergreifenden Kollaboration zwischen Experten verschiedener Disziplinen kommt dabei eine wichtige Rolle zu.

Besonders im Bereich der Methoden und Werkzeuge kann itemis einen Beitrag zur erfolgreichen Implementierung von Security leisten. Softwareentwicklung, Werkzeugbau, Modellierung und Tracing im Automotive-Umfeld gehören zur DNA von itemis.

Security-Expertise hat sich itemis in Forschungs- und Kundenprojekten sowie durch eine enge Zusammenarbeit mit dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) angeeignet. Über den “Security Analyst”, ein modellbasiertes Werkzeug zur Security-Analyse und -Bewertung, wird in Kürze mehr berichtet werden.

Mehr zum Thema Automotive Security gibt es außerdem in unserem kostenlosen Whitepaper "Funktionale Sicherheit im Entwicklungskontext eingebetteter Systeme".

Whitepaper kostenlos herunterladen

Über Dirk Leopold

Dirk Leopold ist Standortleiter von itemis in Stuttgart. Mit einem Abschluss als Diplom Wirtschaftsingenieur Fachrichtung Maschinenbau der TU Darmstadt hat er 20 Jahre Berufserfahrung in verschiedenen Branchen und Rollen auf nationaler und internationaler Ebene. An der FOM Hochschule für Oekonomie & Management in Stuttgart hält er Vorlesungen im Bereich E-Commerce und Mobile Computing.