Servicexpert - Gesellschaft für Service-Informationssysteme mbH

Externe Zugriffe auf die Fahrzeugelektronik verhindern

Vernetzung ist das große Schlagwort, das derzeit in aller Mund ist.

Hamburg, 08.12. 2016

Vernetzung ist das große Schlagwort, das derzeit in aller Mund ist. Dabei spielt Vernetzung nicht nur im PKW-Bereich eine Rolle, wenn man an autonomes Fahren denkt. Fahrzeuge stehen untereinander im Verbund, aber auch die Vernetzung mit anderen Systemen wie Infotainment-Systemen und Telematik-Portalen. Der Fahrer übergibt die Führung des Fahrzeugs an autonom agierende Systeme. Und so wird auch das Transportwesen durch die wachsende Konnektivität in den kommenden Jahren gewaltige Veränderungen erleben. Seit Übernahme der EU-Ratspräsidentschaft durch die Niederlande im ersten Halbjahr 2016 standen die Themen Automatisierung und Vernetzung im Fokus der Aktivitäten. Platooning, also das automatisierte Windschattenfahren von Lastkraftwagen, rückte nicht zuletzt durch die European Truck Platooning Challenge, bei der sechs europäische LKW-Hersteller zu einer Platooning-Sternfahrt nach Rotterdam aufbrachen, immer mehr in das Bewusstsein der Öffentlichkeit. Als Vorteile von Platoon-Fahrten können nicht nur die erhebliche CO2-Reduzierung bei gleichzeitiger Kraftstoffersparnis von bis zu zehn Prozent genannt werden, die damit verbundene Car2Car-Kommunikation reduziert auch die Gefahren durch menschliches Fehlverhalten, oft der Grund für schwere Unfälle auf Europas Straßen.

Ein Platoon besteht aus mindestens zwei LKW, die in bis zu zehn Metern Abstand hintereinander herfahren und über eine sogenannte elektronische Deichsel miteinander gekoppelt sind. Dabei übergibt das Folgefahrzeug dem Fahrer des Führungsfahrzeuges letztendlich die eigene Längs- und Querlenkung. Abgesichert werden diese Platoon-Fahrten durch umfangreiche Umfeld-Sensorik und Sicherheitsfunktionen.

Ein weiteres Beispiel für die gestiegene Vernetzung im Transportwesen ist die Vernetzung der Fahrzeuge mit dem Internet, über das in Echtzeit Fahrzeuginformationen abgefragt werden können. So ist es beispielsweise von großem Interesse bei Transporten von Kühlware, wo und in welchem Zustand sich die Ware dezidiert befindet. Die lückenlose Wahrung der Kühlkette spielt hierbei eine zentrale Rolle.

Die Transportmittel werden also vernetzt sein, so dass alle Informationen in Echtzeit über das Internet verfügbar sind und das "Internet of Things" Wirklichkeit wird. Auf den Fahrzeugen der Zukunft wird außerdem vermehrt Fremdsoftware von Drittanbietern imple­men­tiert, wie sich dies heute schon im Infotainment abzeichnet. Verschiedene „Apps“ werden über verschiedene mobile Geräte mit dem Internet, aber auch mit dem Fahrzeug interagieren, sodass verhindert werden muss, dass diese in schädlicher Weise auf die Fahrzeugelektronik zugreifen können.

Die auftretenden Datenflüsse bieten eine Vielzahl von Angriffspunkten, die zur Manipulation und zum Missbrauch dieser Daten dienen können. In aktuellen Presseberichten über Eingriffe und erfolgreiche Manipulationen werden immer wieder das Infotainment und die Diagnoseschnittstelle kritische Schnittstellen benannt, doch sind sie die einzigen?

Hersteller und Zulieferer müssen Maßnahmen ergreifen, die zum einen die technische Konzeption, zum anderen aber auch die Gestaltung des Entwicklungsprozesses betreffen.

Dass diese Themen in der Automobilindustrie bereits Einzug genommen haben, zeigt die Erweiterung des etablierten Standards für Software­-Architekturen, AUTOSAR, der inzwischen auch Security-Mechanismen enthält.

Fahrzeuge sind nicht länger isolierte Objekte, sie werden in Datenströme eingebunden, mit virtuellen Instanzen auf verschiedenen Systemen, die diesen entsprechen.

Schwachstellen in den Datenströmen und der System-Kommunikation müssen so früh wie mög­lich erkannt und behoben bzw. verhindert werden. Hierbei müssen sowohl die Infor­ma­tio­nen zu den Transportgütern, als auch die die Vernetzung des Transportmittels selbst betrachtet werden. Ob auf Rädern, auf Schienen, übers Wasser oder durch die Luft - jede Domain birgt, zusätzlich zu den generellen Aspekten, ihre eigenen spezifischen Absich­er­­ungs­­themen.

Security-Aspekte müssen ähnlich, wie es heutzutage schon für die Funktionale Sicherheit angedacht ist, durchgängig berücksichtig werden. Beginnend mit der Entwicklung, über die Produktion bis zum Betrieb des Fahrzeugs und wahrscheinlich auch darüber hinaus, wenn wir beispielsweise an personenbezogene Daten oder Betriebsgeheimnisse denken, muss ein  Sicherheitsprozess etabliert und von allen Stakeholdern gelebt werden.

Einen wesentlichen Unterschied zwischen Funktionaler Sicherheit und Security darf dabei nicht außer Acht gelassen werden: Security-Maßnahmen sollen gegen einen unbekannten, aber dennoch realen und kreativen Gegenspieler, der lösungsorientiert arbeitet, wirken. Daher ist es wichtig, in die Entwicklung solcher Sicherheitskonzeptionen unterschiedlich denkende Mitarbeiten mit unterschiedlichem Erfahrungsschatz einzubinden.

Einen entsprechenden Standard, wie dabei zu verfahren ist, wurde bisher nicht etabliert. Man kann die IEC 62443 „IT-Sicherheit für industrielle Leitsysteme – Netz- und Systemschutz“ als Grundlage heranziehen, muss diese allerdings auf die im Transportwesen gegebene Situation stark anpassen. Ein weiterer Ansatzpunkt ist die ISO 26262, die an vielen Stellen in Analogie Anwendung findet: beispielsweise analog einer Fehlerbaum­ana­lyse (FTA) ausgehend von potentiellen Attacken und deren vorausgesetzten Erfolg die möglichen Schwachstellen analysieren, die zu dem Erfolg geführt haben können.

Im Entwicklungsbereich müssen Security-Aktivitäten bereits bei der Anforderungserfassung und der Definition der Funktionalität einfließen, denn die zu treffenden Schutzmaßnahmen sind unmittelbar mit der gewünschten oder erwarteten Funktionalität verknüpft. So kann der Wunsch nach einem Ferndiagnosezugriff, der bis auf die Stellgliedtests zu einzelnen Steuergeräten ermöglicht werden soll, großen Einfluss auf die gesamte Konzeption haben. Im Entwicklungsprozess laufen die Security-Aktivitäten nicht nur parallel zu den Aktivitäten im V-Modell, sie müssen auch in diese mit eingebunden werden und dürfen nicht unabhängig außen vor stehen. Der Entwicklungsprozess benötigt einen hinreichenden Reifegrad, damit am Ende eine verlässliche Aussage über die Sicherheit des Fahrzeugs getroffen werden kann. Diese Prozessanforderungen betreffen als nicht nur den OEM an sich, sondern müssen auch von Zulieferern und den Schnittstellenpartnern im Internet berücksichtigt werden. Aufgrund der wachsenden Komplexität der Fahrzeugelektronik und der Vernetzung außerhalb der Fahrzeuge muss eine übergreifende Qualitätssicherung etabliert sind, die erst eine taugliche Absicherung gegen Angriffe möglich macht. Sicherheit ist kein Flickwerk für einen einzelnen Entwickler in einem Labor. Es ist eine Gemeinschafts­arbeit über mehrere Ebenen hinweg, die funktionierende und gelebte Prozesse erfordert.

Um in Zukunft Fahrzeugelektronik gegen extern Zugriffe absichern zu können, müssen die beteiligten Firmen eine hinreichende Sicherheitskultur schaffen, die den Schutz des Fahrzeugs, sowohl des physikalisch vorhandenen, als auch der verteilen Daten, über den ganzen Lebenszyklus ermöglicht.

Zu Beginn der Entwicklung einer solchen Sicherheitskultur stehen dabei eine Analyse der potentiellen Angriffsszenarien und eine Risiko­ab­schätzung. Diese muss künftig über die isolierte Betrachtung des Fahrzeugs an sich für die ganze Kette, über welche hinweg Fahrzeugdaten in der Zukunft ausgetauscht werden, erfolgen. Internetbasierte Telematik-Portale könnten als Einstiegstore zur Manipulation eines Fahrzeugs genutzt werden, auch wenn die gesamte Kommunikation im Fahrzeug und mit dem Fahrzeug verschlüsselt ist.

Wenn man die Angriffsszenarien ermittelt, kann man von vier elementaren Bedrohungen ausgehen:

  • dem Verlust der Authentizität, wenn jemand nicht Befugtes Daten manipulieren kann, im Zweifelsfall fehlerhafte Updates auf ein Steuergerät flashen kann,

  • der Verlust der Vertraulichkeit, wenn jemand nicht Befugtes Daten abfangen kann, beispielsweise Trenddaten oder Fahrtdaten,

  • dem Verlust der Verfügbarkeit, wenn wesentliche Datenflüsse gestört werden und beispielsweise auf Fehler in der Kühlkette nicht zeitnah reagiert werden kann,

  • und dem Verlust der Integrität, wenn für die Fahrzeugelektronik nicht mehr sichergestellt werden kann, dass die empfangenen Daten unverändert sind.

Demnach muss die Analyse die potentiellen Bedrohungen vollständig aufdecken, wobei dies auf allen Abstraktionsebenen des Entwicklungsprozesses wiederholt werden muss. So können auch die eingesetzten Architekturen und Technologien auf eventuelle Sicherheitsschwachstellen untersucht werden. Im Analyseprozess müssen alle Ergebnisse und Entscheidungen genau erfasst und einer Kosten/Nutzen-Rechnung gegengespiegelt werden. Denn jedes System ist beliebig sicher gegen Angriffe von außen abzusichern. Jedoch können Leistungseinbußen durch zusätzliche Security-Maßnahmen die wirtschaftliche Umsetzbarkeit und die Wartbarkeit des Systems in Frage stellen. Folglich kann Security nicht isoliert betrachtet werden.

Aus den ermittelten Angriffsszenarien werden Sicherheitsziele erarbeitet und diese zu Security-Systemanforderungen verfeinert. Auch bei diesem Schritt müssen alle Stakeholder in den Prozess mit eingebunden werden und alle Beteiligten die für sie relevanten Informationen erhalten.

Das Ziel ist es, das System so zu designen, dass es die Sicherheitsziele erfüllt und gegen die potentiellen Angriffe gewappnet ist. Beim Systemdesign legen Architekturentscheidungen den Grundstein für die Absicherung des Fahrzeugs. Es sollte beispielsweise betrachtet werden, wie gut das Infotainment, das eher auch Features von Fremdfirmen unterstützen soll, von den relevanten Fahrfunktionen abgeschottet werden kann. Im Systemdesign müssen auch die erlaubten Einstiegspunkte für das Fahrzeug definiert und analysiert werden.

Bei der Betrachtung der technischen Umsetzung treten die zuvor benannten elementaren Bedrohungen, die in erster Linie die Transport- und Netzwerkschichten der Systeme betreffen, wieder in den Fokus. Bei Vertraulichkeit geht es um verschlüsselte Kommunikation mit dem Fahrzeug oder mit einzelnen Steuergeräten. Hierbei finden etablierte Verfahren bzw. Werkzeuge Anwendung. Für die Authentizität müssen Schlüssel ausgetauscht werden, deren Verwahrung und Pflege jedoch wieder die ganze Kette vom Steuergerät zum angebundenen Partner  im Internet betrifft.

Beispiele von Hackerangriffen auf Fahrzeuge und andere Transportmittel zeigen, dass Sicherheit nicht allein durch technische Verfahren erreicht werden kann, sondern dass die möglichen Schwachstellen über die ganze Prozesskette hinweg analysiert werden müssen. Es gibt wiederkehrende Probleme:

  • Fehlerhafte oder fehlende Anforderungen

  • Fehlerhafte Implementierung

  • Fehlerhafte Konfiguration des Systems

  • Fehler durch die Integration von Fremdkomponenten

  • Mangelnder Überblick aufgrund der Komplexität des Systems

Eine rein technologische Lösung allein führt nicht zum Ziel, sondern es erfordert eine Änderungen in der Arbeitsweise: Anforderungen können nur durch ein funktionierendes Anforderungsmanagement verbessert werden, das Security-Aspekte vollständig mit einschließt. Gegen fehlerhafte Implementierungen kann sich der Hersteller durch systematische Tests absichern, muss jedoch auch die verwendeten Methoden bei der Entwicklung betrachten. Bei Konfigurationsfehlern stellt sich die Frage, ob das System sie irgendwie verhindern kann, oder ob durch Verbesserung der Mitarbeiterschulung und der Dokumentation Abhilfe geschaffen werden kann. Bei der Integration von Fremdkomponenten sind häufig Schnittstellen nicht ausreichend spezifiziert. Oft werden dem Anwender auch relevante Informationen vorenthalten, wodurch auch die generelle Zusammenarbeit der beteiligten Firma betrachtet werden muss. Zuletzt ist ein prozessorientiertes und modularisierendes Vorgehen notwendig, um der Komplexität Herr werden zu können.

ServiceXpert Gesellschaft für Service-Informationssysteme mbH unterstützt sowohl als externer Dienstleister als auch Entwicklungspartner durch eine unternehmensneutrale Prozessbetrachtung, angefangen mit einer Ist-Analyse und der Erstellung einer Roadmap, bis zu einer vollständigen Prozessberatung. Dabei fließen stets fundiertes Know-How zur Fahrzeugdiagnose als auch die Leidenschaft für das Produkt in die Arbeit der Ingenieure der ServiceXpert mit ein, um Systeme sicherer zu machen.

ServiceXpert, ein Unternehmen der ESG-Gruppe, beschäftigt über 85 Mitarbeiter an den Standorten Hamburg und München. ServiceXpert ist ein europaweit operierendes System- und Softwarehaus mit einem fokussierten Leistungsportfolio für das Lifecycle-Management von EE-Informationen für führende Nutzfahrzeughersteller sowie deren Zulieferindustrie.

Copyright ServiceXpert Gesellschaft für Service-Informationssysteme mbH 2016. All rights reserved.