26.05.2021

Automatisiertes Fahren: When Safety meets Security

Der Traum vom autonomen Fahren ist technisch in Reichweite: Das bedingt automatisierte Fahren nach SAE-Level 3 hält bereits Einzug in die automobile Oberklasse. Der Schritt zur Vollautomatisierung nach Level 4 bis 5, bei der das Fahrzeug die Fahraufgabe weitgehend allein übernimmt, scheint in der Breite möglich, sobald der rechtliche Rahmen dafür geschaffen ist.

Die funktionale Sicherheit (Safety) des automatisierten Fahrzeugs ist hier eine entscheidende Bruchkante: Denn dass Software und digitale Technik im System Auto fehlerfrei und zuverlässig funktionieren und dabei bessere Entscheidungen treffen als der Mensch, ist ausschlaggebend für die Akzeptanz des vollautomatisierten und autonomen Fahrens. Hier wiederum gilt der Grundsatz: No Safety without Security. Denn am Ende reicht die funktionale Sicherheit des Fahrzeuges und damit die Sicherheit der Verkehrsteilnehmer nur so weit, wie angewandte Cybersecurity das Fahrzeug und insbesondere dessen Safety-kritische Systeme vor unerlaubtem Zugriff und Manipulation schützen. Automatisiertes Fahren bedarf daher eines ganzheitlichen, auf die Funktionssicherheit der Fahrzeuge ausgerichteten Automotive-Security-Ansatzes.

Verknüpfung von Safe und Secure State

Bild 1: Ein definierter Secure State für das fahrzeuginterne Netzwerk und seine Systeme im Falle eines Cyberangriffes wird künftig zum möglichen Auslöser für den Safe State des automatisierten Fahrzeugs.

Fahrzeuge sind in aller Regel darauf ausgelegt – zum Schutz der Fahrzeuginsassen und anderer Verkehrsteilnehmer — im Falle schwerwiegender Fehler in Safety-relevanten Komponenten in einen sicheren Zustand, den sogenannten „Safe State“, versetzt werden zu können. D.h. das Fahrzeug wird zum Stillstand gebracht; entweder indem es der Kontrolle des Fahrers übergeben wird, oder indem es als vollautomatisiertes bzw. autonomes Fahrzeug (Level 4 und 5) selbsttätig kontrolliert und der Verkehrssituation angepasst angehalten wird.

Mit zunehmender Vernetzung und Automatisierung der Fahrzeuge indes ist ihre funktionale Sicherheit auch von ihrer Cybersicherheit abhängig. Ähnlich wie das Fahrzeug unter den gegebenen Voraussetzungen in einen Safe State geht, müssen die Systeme im Fahrzeug im Fall eines möglichen, erkannten Cyberangriffes in einen „Secure State“ überführt werden, in dem sie entweder nur noch nicht-sicherheitsbedrohende Grundfunktionen ausführen oder sicher abgeschaltet werden. Ein wichtige Zukunftsfrage ist daher, wann und in welcher Art ein erkannter unerlaubter Zugriff auf relevante Systeme einen solchen Secure State auslöst und wie dieser wiederum den Safe State, das sichere Anhalten des Fahrzeugs aus der jeweiligen Fahrsituation heraus, veranlasst. Security und Safety und damit Secure State und Safe State werden mit zunehmender Automatisierung zu gleichberechtigten Instanzen eines gemeinsamen Entscheidungssystems werden müssen.

Defense-in-Depth

Bild 2: Defense-in-Depth umfasst Security-Maßnahmen auf allen Ebenen der Fahrzeugarchitektur und Kommunikation – vom Mikrocontroller bis zur Infrastruktur.

Um das automatisierte Fahrzeug vor einer Manipulation Safety-relevanter Funktionen (Lenksystem, Bremssystem, Motorsteuerung o.ä.) effektiv zu schützen, müssen gemäß des Defense-in-Depth-Ansatzes Security-Maßnahmen auf unterschiedlichen Ebenen im Fahrzeug umgesetzt werden. Besondere Aufmerksamkeit gilt dabei Angriffen von außen: Trotz erhöhter Konnektivität muss die Zahl externer Kommunikationsschnittstellen minimiert werden, beispielsweise über eine dedizierte Komponente zur Anbindung externer Systeme. Absichern lassen sich die verbleibenden Schnittstellen über Kommunikationsprotokolle und Zugriffsschutzmechanismen auf Basis standardisierter kryptographischer Algorithmen sowie mittels einer Automotive Firewall, die nicht-erlaubte Anfragen blockiert. Wichtig ist zudem, die sicherheitskritischen Funktionen des automatisierten Fahrzeugs von externen Schnittstellen strikt abzukapseln. So lassen sich etwa mit Hilfe unterschiedlicher Hardwarekomponenten oder eines Hypervisors verschiedene Systeme innerhalb einer Fahrzeugkomponente sauber voneinander trennen. Zusätzliche Security-Maßnahmen wie die regelmäßige Verifizierung beim Startvorgang (Secure Boot) oder die Absicherung von Updates gewährleisten die Authentizität des Systems und erhöhen den Angriffsschutz. Hardware-Security-Module (HSM) schaffen darüber hinaus die nötige vertrauenswürdige Umgebung, um kryptographische Operationen sicher durchzuführen.

Für eine sichere, vor Manipulation durch kompromittierte Systeme geschützte Onboard-Kommunikation werden für das jeweilige Bussystem spezifische kryptographische Protokolle eingesetzt. Automatisierte Fahrzeuge ab Level 3 werden in ihren E/E-Architekturen aufgrund des erhöhten Datenvolumens vermehrt auf Automotive Ethernet setzen. Automotive Ethernet kann sich bewährter Sicherheitsprotokolle wie Transport Layer Security (TLS) oder IPsec bedienen und dabei die nötigen Echtzeitanforderungen berücksichtigen – z.B. durch Pre-Shared Keys, die eine langwierige Schlüsselverhandlung verkürzen. Zudem überwachen Automotive Firewall und Zugriffsschutzmechanismen auch innerhalb des Bordnetzes auf Basis definierter Regeln für einzelne Subnetzwerke oder Virtual Local Area Networks (VLANs) den Zugriff auf Safety-relevante Funktionen.

Absicherung der Fahrzeuge im Feld

Trotz mehrschichtiger Security-Maßnahmen lässt sich ein unerlaubter Zugriff auf das Fahrzeug niemals gänzlich ausschließen (z.B. über sogenannte „Zero-Day-Schwachstellen“). Umso wichtiger ist es, eine solche Attacke rechtzeitig zu erkennen und mitigierende Maßnahmen umzusetzen. Mittel der Wahl ist dabei ein verteiltes System zur Angriffserkennung im Fahrzeug (Intrusion Detection System IDS). Automotive IDS haben mittlerweile Marktreife erlangt, sind in Teilen AUTOSAR-spezifiziert und identifizieren Anomalien und typische Angriffssignaturen (z.B. bei zyklischen Botschaften und missbräuchlichen Diagnoseanforderungen) im fahrzeuginternen Netzwerk, um diese dann an ein angebundenes Vehicle Security Operations Center (V-SOC) im Backend zu melden.

Im V-SOC werden die gesammelten Security Events aus der gesamten vernetzten Flotte laufend ausgewertet, validiert und hinsichtlich ihres Bedrohungspotenzial analysiert, um schließlich geeignete Gegenmaßnahmen abzuleiten. Hierbei wirken zwei Instanzen zusammen: Das Security-Incident- und Event-Management (SIEM), das die eingehenden IT-Sicherheitsereignisse automatisch und in Echtzeit untersucht sowie spezialisierte Automotive-Security-Analysten, die die Angriffspfade analysieren und die Methodik zur Bedrohungserkennung so erweitern, dass SIEM und das IDS im Fahrzeug künftig neue Bedrohungsszenarien automatisch erfassen. In der Folge kann über ein Over-the-Air Update (OTA) der ausgenutzte Angriffsvektor im Fahrzeug geschlossen und gegebenenfalls die Regelwerke für IDS, Firewall und weitere Security-Zugriffsmechanismen aktualisiert werden – und zwar über die komplette Flotte hinweg. Für vollautomatisierte oder gar autonome Fahrzeuge in vernetzten Flotten wird eine solche permanente Security-Risikobehandlung mit kurzen Reaktionszeiten wesentlich zur Safety, der Funktionssicherheit des Fahrzeugs und der Sicherheit seiner Insassen, beitragen.

Security als Enabler automatisierten Fahrens

Die Mobilität steht am Wendepunkt: Hochgradig vernetzte, automatisierte Fahrzeuge werden den Menschen in zunehmendem Maße das Lenkrad aus der Hand nehmen. Die funktionale Sicherheit der automatisierten Fahrsysteme ist dabei die entscheidende Prämisse – eine Grundbedingung, die ohne Security, den Schutz vor unerlaubten Zugriff und Manipulation genau dieser Systeme, nicht zu haben ist. Kohärente Strategien gegen mögliche Cyberangriffe werden daher zum unverzichtbaren Bestandteil der Weiterentwicklung des automatisierten Fahrens.