News & Events

Automatisiertes Fahren: No Safety without Security

Automated driving-automotive security

Automatisierte Fahrsysteme sollen das Autofahren komfortabler und sicherer machen. Doch bringen die zunehmende Konnektivität Safety-relevanter Funktionen und die Einbindung neuer Technologien im Fahrzeug neue Herausforderungen für die IT-Security mit sich. So gestattet die Verwendung von Ethernet für die fahrzeuginterne Kommunikation zwar weitaus höhere Datenmengen (Payload) und Übertragungsraten, und die Einbindung leistungsstarker Mikroprozessoren bietet höhere Performance. Jedoch sind beides in der klassischen IT-Welt hinreichend bekannte Technologien mit unter Hackern bekannten Angriffsvektoren. Der Einsatz solcher Technologien im Fahrzeug, insbesondere auch in dessen Safety-relevanten Funktionen, erfordert demnach geeignete Security-Maßnahmen, die sowohl bekannte Angriffsmuster als auch neuartige Angriffe unterbinden.

Die E/E-Architektur in automatisierten Fahrzeugen unterscheidet sich von der klassischen IT ganz wesentlich in ihren Schutzzielen: Das Abwenden von Schaden für Mensch und Maschine genießt hier höchste Priorität. Die Authentizität des Netzwerkverkehrs und die Verfügbarkeit der angeschlossenen Systeme haben daher unbedingten Vorrang. Gleichwohl darf die Privacy nicht außer Acht gelassen werden, insbesondere bei Daten automatisierter Fahrsysteme, die personenbeziehbar sind und somit unter das Datenschutzgesetz fallen. Automatisiertes Fahren erfordert daher eine sichere Verbindung zu externen Systemen und gleichzeitig eine klare Separierung zwischen externen und internen Netzwerken. Zugleich muss die fahrzeuginterne Kommunikation über Ethernet als auch über konventionelle Fahrzeugbusse innerhalb einer E/E Architektur sicher umgesetzt werden. All das unter Berücksichtigung der besonderen Anforderungen an Security, Safety und ein zuverlässiges Zeitverhalten.

Security-Maßnahmen in modernen E/E Architekturen

Bei der Verwendung auf existierenden Domänen basierend virtueller Netzwerke (VLANs) im Fahrzeug etwa erfolgt die Einteilung der virtuellen Zonen entlang ihres Schutzbedarfs: Der Netzwerkverkehr sicherheitsrelevanter Komponenten in Echtzeit muss gegenüber anderen Systemen priorisiert und isoliert werden. Würde beispielsweise durch Fehlfunktion einer Komponente oder aufgrund eines Denial-of-Service-Angriffs das Netzwerk mit Paketen geflutet, dann lässt sich dieser Verkehr am nächsten Switch mittels Rate Limiting begrenzen. Die Kommunikation im priorisierten VLAN kann fortgeführt werden, und ein sicherer Betrieb des Fahrzeugs insgesamt bleibt gewährleistet.

Ebenfalls zur Absicherung von E/E Architektur und Fahrzeugkommunikation geeignet sind Firewalls. Diese steuern anhand von Filterregeln den erlaubten Datenaustausch zwischen unterschiedlichen Netzwerken oder Endpunkten. Moderne Automotive Firewalls sind zusätzlich in der Lage, Kommunikation mittels Deep Packet Inspection bis hin zu den Nutzdaten der Pakete zu analysieren und zu bewerten. Darauf aufbauend lassen sich Intrusion-Detection- bzw. -Prevention-Systeme (IDS bzw. IPS) realisieren, die unzulässigen Datenverkehr im Netz erkennen und vorbeugen.

Allerdings ersetzt die logische Trennung von Netzwerkverkehr keine kryptografische Authentisierung oder Verschlüsselung und schützt dementsprechend nicht abschließend vor unerwünschtem Zugriff. Abhilfe schafft hier zum einen ein Software-Modul „Secure Onboard Communication“ (SecOC) für AUTOSAR. Zum anderen bietet die Adapation klassischer Ethernet-Security-Mechanismen wie (Datagram) Transport Layer Security ((D)TLS), IPsec und MACsec (IEEE 802.1AE) einen grundlegenden Schutz der Automotive-Ethernet-Kommunikation gegen Manipulation.

Design einer sicheren E/E Architektur für das Automatisierte Fahren

Bereits beim Design einer E/E Architektur gilt es, eine effiziente und sichere Einbindung der bekannten Security Maßnahmen zu berücksichtigen. Folgende vier Ansatzpunkte gilt es für den Schutz vor unauthorisierten Zugriffen und die Abschottung der Safety-relevanten Kommunikation in den Blick zu nehmen:

  1. Zoneneinteilung gemäß Safety-Relevanz

ATZextra Security Measures

Grundlage einer sicheren E/E Architektur ist eine klar definierte Klassifizierung und Einteilung des Fahrzeugnetzes in einzelne Zonen (wie z.B. Domänen, VLANs und IP-Subnetze) gemäß ihrer Safety Relevanz. Zugleich sollte die Anzahl dedizierter ECUs mit externen Schnittstellen auf ein Minimum begrenzt werden. Entlang dieser beiden Zielgrößen (Isolation Safety-relevanter Kommunikation und Minimierung externer Schnittstellen) lassen sich Steuergeräte konkreten Zonen zuordnen und eine Safety- und Security-Einordnung im Hinblick auf die E/E Architektur vornehmen.

  1. Überwachung und Steuerung der Bordnetzkommunikation

Firewalls und ID(P)S sorgen dafür, dass domain- oder VLAN-übergreifend nur ein legaler und autorisierter Datenaustausch möglich ist. Für den Einsatz im Fahrzeug existieren hier bereits Lösungen die sowohl effizient die Kommunikation der traditionellen Fahrzeugbusse kontrollieren und analysieren als auch die verschiedenen Ethernet-Protokolle über mehrere Netzwerkschichten hinweg berücksichtigen. Dabei werden die Hardware-Mechanismen von Ethernet-Switches bestmöglich ausgenutzt, um auch höhere Protokollschichten in Echtzeit analysieren zu können.

  1. Absicherung der Ethernet-Switches

Die Verwendung von Ethernet-Switches in der E/E-Architektur und auf Steuergeräten ist verhältnismäßig neu. Umso wichtiger ist es, die Switches bei der Implementierung von Security-Maßnahmen wie Firewall und ID(P)S gegen Manipulation von außen zu schützen. Integrität und Authentizität müssen bei der Programmierung und Ausführung der Ethernet-Switch-Funktionalität verifiziert werden, um z.B. einer Manipulation der VLAN Konfiguration oder unautorisierten Änderung von Firewall-Regeln vorzubeugen. Darüber hinaus bedarf es einer spezifischen Konfiguration des Switches.

  1. Sichere Datenübertragung

ATZextra Security Measures In traditionellen Bussysteme können schutzbedürftige Nachrichten mit Hilfe von SecOC gegen Manipulation gesichert werden; Allerdings ist hier aktuell keine Verschlüsselung des Datenverkehrs vorgesehen. Im Gegensatz zu SecOC gewährleisten Ethernet-basierte Security-Protokolle (z.B. (D)TLS, IPsec und MACsec) neben der Authentizität und Integrität auch die Vertraulichkeit von Daten. Da die Protokolle auf unteren Netzwerkschichten arbeiten, können sie sowohl die signalbasierte Ethernet-Kommunikation (z.B. User Datagram Protocol UDP) als auch die beim Automatisierten Fahren verwendete servicebasierte Ethernet-Kommunikation (z.B. SOME/IP) absichern. Aufgrund der strikten Echtzeit-Anforderungen im Fahrzeug wird dabei auf besonders schnelle, symmetrische Verfahren zurückgegriffen, die auf der Verwendung von Pre-Shared Keys basieren.

Konzeption und Design einer sicheren E/E-Architektur bilden die Grundlage des Automatisierten Fahrens. Durch bedarfsgerechten Einsatz spezialisierter Sicherheitslösungen lassen sich die Authentizität, Integrität und Vertraulichkeit von Daten und Funktionen im Bordnetz dauerhaft gewährleisten. So gesehen ist im Hinblick auf das Automatisierte Fahren eines zumindest sicher: Wer Safety will, muss Security von Anfang an berücksichtigen.

Language:
ISO 9001:2015 Home