Wenn Fahrzeuge mit anderen Fahrzeugen und ihrer Umwelt kommunizieren, wie sieht es dann mit dem Schutz der Daten und der Privatsphäre der Fahrzeuginsassen aus?
Uli-B | Fotolia
Im autonomen Straßenverkehr der Zukunft werden alle Verkehrsteilnehmer als Teil des Internets der Dinge (Internet of Things/IoT) automatisch miteinander kommunizieren. Die meisten Experten sind sich sicher, dass nur mit der direkten Kommunikation von Fahrzeugen mit ihrer Umwelt ein sicheres autonomes Mobilitätskonzept möglich sein wird.
Der Schritt hin zu dieser Kommunikation unter Verkehrssystemen und Verkehrsteilnehmern liegt jedoch bei weitem nicht so weit in der Zukunft, wie man allgemein glaubt. Schon 2019, also in etwa zwei Jahren, will die Europäische Kommission Maßnahmen umgesetzt haben, die die Rahmenbedingungen für die Einführung von Kooperativen Intelligenten Verkehrssystemen (Cooperative Intelligent Transport Systems/C-ITS) schaffen. Mit dieser Strategie, den Systemen selbst und vor allem mit der Frage nach dem Datenschutz in einem solchen vernetzten Straßenverkehr beschäftigen sich Thomas Strubbe, Nicolas Thenée und Christian Wieschebrink in einem Fachartikel im Springer-Magazin "Datenschutz und Datensicherheit – DuD" (4/2017). Die drei Referenten im Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreiben im Beitrag "IT-Sicherheit in Kooperativen Intelligenten Verkehrssystemen" auch detaillierter, welche Nachrichtenformate verwendet werden und wie die kryptografischen Anforderungen sowie die geplante Public-Key-Infrastruktur zur sicheren Kommunikation aussehen.
Im November 2016 hat die Europäische Kommission eine europäische Strategie für C-ITS verabschiedet, die eine Reihe von sogenannten Diensten für den Tag eins nennt. Strubbe, Thenée und Wieschebrink zählen beispielhaft Dienste auf, die die EU-Kommission als "technisch ausgereift" betrachtet und ihnen ein gutes Kosten-Nutzen-Verhältnis bescheinigt:
- Warnung vor langsamen oder stehenden Fahrzeugen
- Warnung vor Straßenarbeiten
- Warnung vor sich nähernden Einsatzfahrzeugen (Polizei, Feuerwehr, etc.)
- Anzeige von Verkehrszeichen im Fahrzeug
- Anzeige der Missachtung von Verkehrsampeln anderer Fahrzeuge
V2X-Kommunikation mit Fahrzeugdaten und Fahrverhalten
Fahrzeuge sollen also künftig untereinander (Vehicle-to-Vehicle/V2V) und mit Infrastrukturkomponenten (Vehicle-to-Infrastructure/V2I) kommunizieren können, um Unfälle zu verhindern und die Sicherheit auf den Straßen zu verbessern. "Bei der V2V- und V2I- (kurz: V2X) Kommunikation werden Daten wie zum Beispiel Geschwindigkeit, Geoposition, Beschleunigung, Lenkverhalten, usw. an Fahrzeuge und Infrastrukturkomponenten in ihre Umgebung übertragen, die aus den Daten dann ein Verkehrslagebild (local dynamic map) erstellen können, welches benötigt wird, um auf bestimmte Verkehrssituationen geeignet reagieren zu können", schreiben die drei BSI-Experten in ihrem DuD-Fachartikel.
Bis zur flächendeckenden Einführung des neuen Mobilfunkstandards 5G, der vor allem mit einer sehr hohen möglichen Anzahl an vernetzten Geräten und einer minimalen Latenz bei der Signalübertragung einen vollautonomen Verkehrsfluss erst ermöglichen wird, steht vor allem die WLAN-Variante IEEE 802.11p zur Verfügung, „die den auch in Europa angewendeten Funkstandard für Kooperative Intelligente Verkehrssysteme darstellt (in Europa wird hierfür auch die Bezeichnung ETSI G5 verwendet)“, schreiben die Referenten. Je nach Umgebungsbedingungen hätten die V2X-Nachrichten auf Basis von 802.11p eine Reichweite von bis zu 800 Metern.
Damit die Dienste jedoch vertrauenswürdig sind, müssen Authentizität und Integrität der übermittelten Nachrichten im V2X-Bereich sichergestellt werden.
"Die Dienste sollten nicht durch Angreifer etwa zu eigenem Vorteil oder zu Sabotagezwecken manipuliert werden können."
Thomas Strubbe, Nicolas Thenée und Christian Wieschebrink in "IT-Sicherheit in Kooperativen Intelligenten Verkehrssystemen" (Datenschutz und Datensicherheit – DuD, 4/2017, Seite 224).
Kommunikation wird (noch) nicht verschlüsselt
Die versendeten Nachrichten (Cooperative Awareness Messages/CAM und Decentralized Environmental Notification Messages/DENM) werden von den versendenden ITS-Stationen deswegen digital signiert. Dabei besteht die Möglichkeit, Nachrichten mit Hilfe eines Public-Key-Verfahrens (ECIES) und AES zu verschlüsseln, "wovon allerdings zunächst in den oben genannten Tag-1-Anwendungen nicht Gebrauch gemacht wird." Da die Nachrichten nach den aktuellen Planungen also unverschlüsselt versendet werden, "können diese von jedermann mitgelesen werden", geben Strubbe, Thenée und Wieschebrink zu bedenken. „Durch den Inhalt dieser Daten bestünde die Möglichkeit, Bewegungsprofile einzelner Fahrer zu erstellen. Dies versucht man zu erschweren, indem man die PKI so konstruiert, dass Fahrzeuge die Nachrichten und Zertifikate pseudonym versenden können."
Aus der PKI können sowohl Fahrzeuge wie auch Infrastrukturkomponenten ihre Zertifikate beziehen und sich somit gegenüber anderen Teilnehmern authentisieren. "Da auch Verkehrsteilnehmer unter verschiedenen Root-CAs miteinander kommunizieren müssen, muss eine Vertrauensbeziehung zwischen diesen hergestellt werden. In Europa wird dies durch die zentrale Stelle eines Trust List Managers ermöglicht", führen die BSI-Experten aus. "Obwohl die Zertifikate die Authentizität der Nachrichten nachweisen sollen, sollen Fahrzeuge sich weiterhin möglichst pseudonym durch den Straßenverkehr bewegen. Daher sind die entsprechenden Zertifikate pseudonym angelegt, werden regelmäßig gewechselt und sollen im Idealfall nicht mit einem einzelnen Fahrzeug über längere Zeit in Verbindung gebracht werden können. Dies erfordert eine komplexe PKI, bestehend aus Enrolment Authorities für Langzeit-Authentisierung und Authorization Authorites, die Zertifikate für die eigentliche V2X-Kommunikation erzeugen."
Sicherheit auf lange Zeit muss bei Planungen bedacht werden
"In Zukunft werden weitere Sicherheitsanforderungen an ITS-Stationen zu berücksichtigen sein. Kryptographische Verfahren können nur über einen bestimmten Zeitraum als sicher betrachtet werden […]. Neue Verfahren müssen eingeführt werden, um in Zukunft einen Algorithmenwechsel zu ermöglichen, sollte dieser auf Grundlage neuer Angriffe notwendig werden. Auch Vorgaben für Hardwarekomponenten sind mit Blick auf die Langzeitsicherheit unvermeidbar. […] Vielleicht wird hier der regelmäßige Austausch von kryptographischen Modulen oder eine entsprechende Update-Möglichkeit zum Standard, um auf lange Sicht Sicherheit gewährleisten zu können."
Als Fazit ziehen die drei Fachleute: "Die Verfahren sollten auch aus Sicht des Datenschutzes genauer beleuchtet werden. Selbst mit häufigem Zertifikatswechsel könnten Nachrichten weiterhin miteinander verknüpfbar sein, wodurch die Privatsphäre der Verkehrsteilnehmer eingeschränkt wird."