Die zunehmende Intelligenz der Fahrzeuge bringt ebenso wie die Notwendigkeit zur Kommunikation mit der Infrastruktur und anderen Verkehrsteilnehmern immer mehr Schnittstellen und damit Einfallstore mit sich. Um die Prozesse abzusichern und alles im Griff zu behalten, müssen Sicherheitsmaßnahmen kombiniert eingesetzt und vor allem immer wieder neu gedacht werden, erläutern Jochen Schönweiß und Harry Knechtel von Secunet.
Jochen Schönweiß ist bei Secunet als Account Manager für Industriekunden der Region Südostdeutschland und Österreich verantwortlich, unter anderem aus den Bereichen Mobility, kritische Infrastrukturen (KRITIS) und Finanzwesen. Einer seiner Schwerpunkte sind Public-Key-Infrastrukturen. Zudem vertritt er Secunet in Initiativen und Gremien, beispielsweise CharIN und The Autonomous.
Harry Knechtel ist Entwicklungsleiter der Division Industry von Secunet, in der industrietaugliche Sicherheitslösungen, aber auch kundenindividuelle Lösungen im Bereich Key-Management- Systeme (KMS) und Public-Key-Infrastrukturen (PKI) entwickelt werden. Seit 2001 werden OEMs und Tier 1 beim Aufbau ihrer Backend-Security-Lösungen von Secunet unterstützt. Im Bereich eMobility hat er an den Normen ISO 15118 und VDE-AR-E 2802-100-1 mitgearbeitet und unterstützt aktuell die PKI Task Force bei der Initiative CharIN.
ATZelektronik _ Mit der Verwandlung der Fahrzeuge vom einmal hergestellten monolithischen Gesamtsystem zu einem softwarebestimmten always-on Device kommt der Authentifizierung der Kommunikation und generell allen Änderungen am Zustand große Bedeutung zu. Wie sehen Sie diesen Punkt?
Anzeige
Schönweiß _ Die Vernetzung von Fahrzeugen stellt einen enormen Umbruch dar. Viele moderne Komfortfunktionen, aber auch fortgeschrittene Fahrerassistenzsysteme werden dadurch überhaupt erst möglich. Vernetzung schafft die Grundlage für autonomes Fahren. Auch für die Elektromobilität müssen Fahrzeuge nicht nur miteinander, sondern auch mit der Infrastruktur kommunizieren. Die Kehrseite: Hochgradig vernetzte Systeme bieten eine große Angriffsfläche. Dies kann schwerwiegende Folgen sowohl für einzelne Fahrer haben als auch für die gesamte Infrastruktur, zum Beispiel wenn der Verkehrsfluss vorsätzlich gestört wird. Deshalb ist die Absicherung der Fahrzeuge sowie auch der Infrastruktur so wichtig. Die Informationen, auf deren Basis mitunter kritische Entscheidungen getroffen werden, müssen jederzeit vertrauenswürdig und unverfälscht sein. Ebenso muss sichergestellt werden, dass niemand die Konfiguration oder Software im Fahrzeug manipulieren kann.
Wie sicher kann ein Fahrzeug auf lange Sicht sein?
Knechtel _ Ein Fahrzeug hat einschließlich seiner Entwicklung einen Lebenszyklus von mehr als 20 Jahren. Über einen so langen Zeitraum kann niemand garantieren, dass ein System sicher bleibt. Es kann beispielsweise passieren, dass die eingesetzte Hardware irgendwann nicht mehr in der Lage ist, notwendige Anforderungen durch Updates zu erfüllen. Dann reichen softwareseitige Lösungen nicht mehr aus. Hier sieht sich die Automobilindustrie deutlich größeren Herausforderungen gegenüber als die IT oder die Unterhaltungselektronik, bei der in der Regel innerhalb weniger Jahre Betriebssysteme und Hardware komplett ausgetauscht werden. Zusätzlich spielt es eine Rolle, dass Fahrzeuge künftig auf eine Vielzahl von Informationen von externen Systemen angewiesen sein werden - etwa von anderen Fahrzeugen, Road Side Units, Verkehrsleitsystemen oder Onlinediensten. Daher ist es nicht genug, dass die Fahrzeuge selbst sicher sind. Die anderen Systeme müssen es auch sein.
Was ist nötig, um Sicherheit zu gewährleisten, und wo liegen die größten Fehlerquellen?
Anzeige
Schönweiß _ Sicherheit lässt sich nicht mit einzelnen Produkten oder einzelnen Maßnahmen herstellen. Sogenannte Public-Key-Infrastrukturen (PKI) sowie Hardware-Sicherheitsmodule (HSM) können beispielsweise sicherstellen, dass Schlüsselmaterial in der benötigten Qualität erzeugt wird. Die zugrunde liegenden mathematischen Verfahren ermöglichen, dass damit gesicherte Daten nicht manipuliert oder gelesen werden können. Zudem hilft ein HSM dabei, dass eingesetztes Schlüsselmaterial nicht trivial kopiert werden kann - um damit beispielsweise Angriffe durchzuführen. Das alleine schützt das Gesamtsystem aber nicht, wenn die Verfahren falsch eingesetzt werden oder der Zugriff darauf nicht abgesichert ist. Im ungünstigsten Fall helfen HSM und PKI nach einem Angriff weiterhin perfekt beim Verschlüsseln und Signieren - aber dem Angreifer, der in das System eingedrungen ist. Ein weiteres Beispiel: Ein Sicherheitschip, der als Secure Element, Smartcard oder Trusted Platform Module (TPM) eingesetzt wird, kann die Integrität von Daten bestätigen. Sofern die Auswertung des Ergebnisses aber durch Manipulation der aufrufenden Software übersprungen werden kann, hat die Maßnahme ihr Ziel verfehlt. Echte Security lässt sich von daher nur im Verbund erreichen, im Rahmen eines abgestimmten und durchgängig sicheren Systemdesigns, in dem verschiedene Maßnahmen ineinandergreifen. PKI-Systeme und HSM können dabei wesentliche Bausteine sein.
Wie sehen die Hausaufgaben für Hersteller von Fahrzeugen zur Verbesserung der Security aus?
Schönweiß _ Die Branche sollte eine Vereinheitlichung anstreben und auch eine gewisse Modularisierung. Grundlegende Sicherheitsanforderungen eines bestimmten Produkts sollten eine allseits anerkannte Baseline bilden, die nicht immer wieder neu diskutiert werden muss. So erhöht sich nebenbei auch die Wirtschaftlichkeit von Cybersicherheitsmaßnahmen. Zugleich ist es wichtig, dass IT-Sicherheit von Anfang an mitbetrachtet wird und nicht erst zu einem Zeitpunkt, an dem eine Korrektur teuer wird.
Wie stellt man die Sicherheit über die komplette Lebensdauer sicher, wenn man die Möglichkeiten künftiger Rechner noch gar nicht abschätzen kann?
Knechtel _ Wir gestalten unsere Lösungen so flexibel wie möglich, damit wir auch künftige Anforderungen erfüllen können. Agilität in den Backend-Systemen ist hilfreich, auch wenn in den Fahrzeugen die genannten Herausforderungen bestehen. Zudem sind wir nicht auf eine spezifische Sicherheitstechnologie festgelegt. Auch Legacy-Anforderungen bestimmter Hersteller können wir abbilden oder Prototypen bauen, bei denen es noch gar keine Hardwarelösung am Markt gibt. Außerdem planen wir, bereits in diesem Jahr auch quantencomputerresistente Algorithmen - sogenannte Post-Quantum-Kryptografie - zu implementieren. Dann sind wir vorbereitet, wenn es in Zukunft leistungsfähige Quantencomputer gibt, die für bisherige Verschlüsselungsverfahren gefährlich werden können.
Die Automobilindustrie sehe sich deutlich größeren Herausforderungen gegenüber als die IT oder die Unterhaltungselektronik, bei der in der Regel innerhalb weniger Jahre Betriebssysteme und Hardware komplett ausgetauscht würden, kommentiert Knechtel
Sie verwenden auch Hardware-Security-Module; das ist nichts Neues und gibt es von einer Reihe an Anbietern. Was unterscheidet Ihre Lösung technisch von anderen?
Knechtel _ Für unsere PKI haben wir uns nicht auf einen spezifischen HSM-Hersteller festgelegt. Über einen eigenen Hardware Abstraction Layer können wir sogar HSM verschiedener Hersteller im Mischbetrieb unterstützen. Es sind noch nicht einmal klassische HSM erforderlich, die - wie der Name schon sagt - auf Hardware basieren. Seit Anfang 2021 unterstützen wir auch die Cloud-HSM-Lösung von AWS. Auch ein Microservice Deployment ist möglich, so können wir unsere PKI in Form von Docker-Containern zur Verfügung stellen.
Schönweiß _ Falls der Kunde den HSM-Hersteller wechseln will und eine Migration des Schlüsselmaterials nicht möglich ist, können wir für den Kunden relevante Use Cases auf bestehenden HSM des einen Herstellers abbilden und für neue Use Cases HSM eines anderen Herstellers an die PKI anschließen. Das ist ein entscheidender Vorteil.
Wird es einen eigenen Security-Rechner im Fahrzeug geben (müssen)?
Knechtel _ Ein einzelner, dedizierter Cybersecurity-Rechner im Fahrzeug ist aus meiner Sicht nicht zielführend. Vielmehr geht es um eine sichere Gesamtarchitektur. Sie sollte modular aufgebaut sein und erlauben, dass einzelne Elemente einfach, aber auch sicher ausgetauscht werden können.
Wer trägt am Ende die zusätzlichen Kosten der Absicherung moderner, intelligenter Fahrzeuge?
Schönweiß _ Das ist ein wichtiger Punkt. Endkunden möchten ja auch keine Extrakosten für Sicherheitsgurte und Airbags übernehmen. Dadurch muss Cybersecurity zu einem Standard werden, der bei jeder Produktentwicklung mit eingeplant und eingepreist wird. Für die Hersteller ist das immer noch günstiger als die Kosten, die bei einer schweren IT-Sicherheitslücke durch Rückruf, Klagen und Imageschaden entstehen.
Ist Blockchain ein Thema, um die Kommunikation abzusichern?
Schönweiß _ Blockchain ist sicher relevant für die Kommunikation des Fahrzeugs zur Ladeinfrastruktur. Das gilt insbesondere, wenn Verträge und Ladevorgänge zwischen vielen verschiedenen Teilnehmern wie OEMs, Charge Point Operators und Mobility Operators dezentral autorisiert werden sollen. In echtzeitkritischen Funktionen - zum Beispiel wenn IT-Systeme ins Fahrverhalten eines Fahrzeugs eingreifen, um einen Unfall zu vermeiden - sehe ich Blockchain aktuell nicht.
Gibt es Normen und Standards für Security, die noch geschaffen werden müssen?
Knechtel _ Ja, gesetzliche Vorgaben wären wünschenswert, beispielsweise ein verbindliches Protection Profile für sicherheitskritische Komponenten im Fahrzeug und in der Infrastruktur. Dadurch könnte ein einheitliches Sicherheitsniveau etabliert werden, und Wettbewerbsverzerrungen würden vermieden.
Im ungünstigsten Fall falsch eingesetzter Verfahren würden HSM und PKI nach einem Angriff weiterhin perfekt beim Verschlüsseln und Signieren helfen - aber dem Angreifer, der in das System eingedrungen ist, so Schönweiß
Wie schützt man am besten die Infrastruktur beim Laden, wie das Fahrzeug, wenn alle mit derselben Infrastruktur kommunizieren?
Schönweiß _ Auch für die Aspekte Car-2-Car und Car-2-Infrastructure gilt, dass Standards, Zertifizierungen und gesetzliche Vorgaben hilfreich sind. Alle Beteiligten sollten sich zusammensetzen, gemeinsame Standards entwickeln und auch umsetzen. Ansätze dazu gibt es durchaus. Die Ladeinfrastruktur ist ein gutes Beispiel: Secunet hat bei der Norm ISO 15118 mitgewirkt und unterstützt aktiv die Initiative CharIN, die "Plug and Charge" umsetzen will. IT-Sicherheit wird bei diesen Standards also durchaus mitbetrachtet.
Gerade Added-Value-Prozesse greifen auf unterschiedlichen Ebenen in das Fahrzeug ein und stammen von verschiedenen Quellen - ist da eine besondere Absicherung nötig?
Knechtel _ Die sogenannten "Added Value Services" im ISO-15118-Protokoll beschreiben aktuell noch zukünftige Anwendungsfälle. Die Idee dabei ist, dass man künftig beispielsweise Flashsoftware-Updates durchführen oder Audio- und Videodaten herunterladen kann. Bisher ist die Nutzung noch nicht genau definiert. Wir werden das weiter beobachten, aber aktuell hat vor allem Priorität, dass "Plug and Charge" erfolgreich, kompatibel und sicher umgesetzt wird.
Herr Knechtel, Herr Schönweiß, vielen Dank für die Informationen.
Die Fachzeitschrift ATZelektronik bietet für Entwickler und Entscheider in der Automobil- und Zulieferindustrie qualitativ hochwertige und fundierte Informationen aus dem gesamten Spektrum der Pkw- und Nutzfahrzeug-Elektronik.
Lassen Sie sich jetzt unverbindlich 2 kostenlose Ausgabe zusenden.
