Ein Oberklasse-Fahrzeug erzeugt während einer Stunde Fahrt mehrere Gigabyte an Daten. Durch die zunehmende Vernetzung der einzelnen Komponenten offenbaren sich dabei auch gefährliche Sicherheitslücken.
vege / Fotolia
In einem modernen Fahrzeug können mehr als 100 ECUs (Electronic Control Units) unterschiedlicher Hersteller verbaut sein, einzelne Computer, die vielfältige Aufgaben erfüllen. "Auf ECUs sind Millionen Zeilen Software-Code zur Erfüllung ihrer Aufgaben hinterlegt, mehrere Schnittstellen zur Außenwelt dienen unterschiedlichen Kommunikationsaufgaben, wie WiFi, Bluetooth, LTE", erklärt IBM im Artikel Vernetztes Automobil – Verteidigungsstrategien im Kampf gegen Cyberattacken aus dem Sonderheft der ATZelektronik zur Messe Electronica 2016, die noch bis zum 11. November 2016 in München stattfindet.
Autos lassen sich heute mit einem kleinen Rechenzentrum vergleichen. "Doch anders als bei einem Rechenzentrum fehlen hier – von wenigen Ausnahmen abgesehen – die üblichen Sicherheitsvorkehrungen", schreiben die IBM-Autoren weiter und mahnen:
So gibt es bisher keine standardisierten Vorgehensweisen für schnelle, automatisierte Software-Updates oder Patches in den Fahrzeugen, um beispielsweise immer wieder auftretende Sicherheitslücken zu schließen, ebenso wenig wie Mechanismen, die direkt im Fahrzeug potenziellen Missbrauch erkennen und unterbinden".
Die Folge: Angreifer können Fahrzeuge unbemerkt manipulieren oder sogar unter ihre Kontrolle bringen. Um das zu verhindern, müssen Autos gegen Hackerangriffe und Cyberkriminalität genauso geschützt werden wie die IT im Unternehmen, fordert IBM.
Informatiker entwickeln Nachrüst-IT-Schutz
Wie für mehr digitale Fahrzeugsicherheit gesorgt werden kann, zeigen zum Beispiel Informatiker des Kompetenzzentrums für IT-Sicherheit (CISPA) der Saar-Uni und des Deutschen Forschungszentrums für Künstliche Intelligenz (DFKI) – und zwar mithilfe einer Software, die Autohersteller in jedem Auto nachrüsten können.
Die Entwickler der Saar-Uni und des DFKI haben dazu ein nachrüstbares Kodierungssystem für die interne Kommunikation von Fahrzeugkomponenten entworfen. Ihre "vatiCan"-Software lässt jeweils Sender- und Empfänger-Bauteil einen zeitspezifischen Code an das Signal anhängen, externe oder kopierte Daten werden somit nicht angenommen. vatiCan ist online kostenlos erhältlich.
Infineon und Argus: Cybersicherheitslösung für zentralen Gateway
Datensicherheit ist entscheidend für das vernetzte und automatisierte Fahrzeug. Sicherheitslösungen müssen Cyberangriffe in Echtzeit entschärfen, schadhafte Nachrichten erkennen und verhindern, dass sich diese im fahrzeuginternen Netz verbreiten. Damit Fahrzeugflotten immun gegen mögliche Bedrohungen und neue Angriffsmethoden bleiben, müssen sich Sicherheitslösungen vor allem per Luftschnittstelle zum Fahrzeug über Software-Updates-Over-the-Air (SOTA) leicht aktualisieren lassen.
Diesen Ansatz verfolgen zum Beispiel Infineon und Argus Cyber Security. Das israelische Start-up Argus hat kürzlich auf dem VDI-Kongress eine gemeinsame Sicherheitslösung für Fahrzeugnetzwerke gegen Cyberangriffe vorgestellt. Infineon liefert dafür den Aurix-Multicore-Mikrocontroller, Argus sein IDPS (Intrusion Detection and Prevention System) samt einer Remote-Cloud-Plattform. Im zentralen Fahrzeug-Gateway soll die kombinierte Sicherheitslösung den Schutz des Fahrzeugnetzwerks vor Cyberangriffen erhöhen.
Etas: Safety und Security im Code
Für verbesserte Datensicherheit - und auch optimierte funktionale Sicherheit – setzt Etas schon beim Code an – genauer beim C-Code. Denn für Embedded Software ist die Programmiersprache C das Maß aller Dinge. Doch C ist anfällig für Flüchtigkeitsfehler, die unter Umständen die funktionale Sicherheit bedrohen können. Und auch bei der Security bietet herkömmlicher C-Code potenzielle Angriffspunkte für Hacker.
Etas setzt aus diesem Grund auf eine neue Programmiermethodik, die Embedded Software Development Language (ESDL), wie das Unternehmen im Artikel Safety und Security im Code aus der ATZelektronik 5-2016 beschreibt. Diese von Etas entwickelte Programmiersprache erzeugt zwar weiterhin C-Code, soll dabei aber keinen Raum mehr für Sicherheitslücken lassen. Der Grund: Der Programmierprozess ist konsequent an den Standards ISO 26262 und IEC 61508 sowie an die Compliance-Regeln für Embedded Software ausgerichtet.