27.01.2021

Mit AUTOSAR zum Security-Lifecycle-Management

Mit fortschreitendem digitalen Wandel in der Mobilität wird die Cybersicherheit vernetzter Fahrzeuge zum kritischen Faktor von zentraler Bedeutung. Besonders greifbar wird das derzeit an zwei Entwicklungen: Dem verpflichtenden UNECE-Regulierungen zu Cybersicherheit und Software-Updates sowie an neuen security-gerichteten Spezifikationen in AUTOSAR.

Insbesondere was die kontinuierliche Risikobehandlung der Fahrzeuge im laufenden Betrieb angeht, sind beide Entwicklungen maßgeblich miteinander verknüpft. Denn idealerweise findet die Forderung des UN-Regelwerks nach einem zertifizierten Cybersecurity-Managementsystem, das ein adäquates IT-Sicherheitslevel für die Fahrzeuge erwirkt und aufrechterhält, in AUTOSAR seine technologische Entsprechung. Auf diese Weise ebnet AUTOSAR den Weg zur Umsetzung der neuen, typgenehmigungsrelevanten Security-Anforderungen.

UNECE-Regularien: 4 Disziplinen

Die UNECE WP.29 benennt in ihrem im Juni 2020 verabschiedeten Regelwerk vier Disziplinen:

  • Das Management von Fahrzeug-relevanten Cyberrisiken
  • Das Absichern von Fahrzeugen “by design”, um Risiken entlang der Wertschöpfungskette zu mindern
  • Das Erkennen von und Reagieren auf Security-Vorfälle über Fahrzeugflotten hinweg
  • Das sichere und geschützte Aktualisieren von Fahrzeugsoftware, inklusive einer rechtlichen Grundlage für Over-the-Air-Updates

Damit wird der Automobilindustrie fortan regulatorisch abverlangt, IT-Sicherheitsmanagement prozessual zu organisieren. Als zentrale organisatorische Aufgabenstellung hat die erste Disziplin, das Management Fahrzeug-relevanter Cyberrisiken, einen besonderen Stellenwert. Sie muss als übergeordnete Handlungsmaxime die weiteren „Teil“-Disziplinen – Security-by-Design, Risikobehandlung für die Flotte auf der Straße und Sicherheitsupdates Over-the-Air – auf Unternehmens- und Prozessebene abbilden und im Rahmen eines effektiven Cybersecurity-Managementsystem (CSMS) zusammenführen.

Angriffserkennung und Software-Updates

Zugleich müssen die erwähnten Disziplinen nicht nur organisatorisch und prozessual verankert sein, sondern sie benötigen auch den technologischen Unterbau: Das Fahrzeug muss in seiner E/E-Architektur die Security-Komponenten mitbringen, die eine Risikobehandlung der Fahrzeuge im Feld und notwendige Updates Over-the-Air gelebte Wirklichkeit werden lassen. Denn das fahrzeuginterne Netzwerk ist gleichsam Ausgangs- und Endpunkt eines Security-Lifecycle-Managements im Sinne des CSMS. Auf der einen Seite ist es essenziell, Attacken frühzeitig zu erkennen, etwa mittels eines Intrusion Detection Systems (IDS). Auf der anderen Seite gilt es, die erkannten Gefahren durch geeignete, im Fahrzeug wirksam werdende Maßnahmen – zum Beispiel durch Software-Updates – zu mitigieren. Mit Hilfe von AUTOSAR lassen sich hier entscheidende Eckpfeiler setzen: Zum einen bietet AUTOSAR standardisierte Module für beide Use-Cases an, die direkt von OEMs verwendet werden können. Außerdem ermöglicht der AUTOSAR-Standard dank seiner weiten Verbreitung, die Features schnell und effektiv auf eine große Anzahl an ECUs auszurollen.

Verteiltes Intrusion Detection System in AUTOSAR

Bild 1: Verteiltes IDS zur Angriffserkennung im Fahrzeug

Die Hauptaufgabe eines IDS ist es, Angriffe auf das Fahrzeug zu identifizieren und an ein Vehicle Security Operations Center (V-SOC) im Backend zu melden, von wo dann geeignete Gegenmaßnahmen eingeleitet werden können. Um diese Aufgabe zu erfüllen, umfasst ein fahrzeuginternes verteiltes IDS mehrere Komponenten: IDS-Sensoren, IDS-Manager (IdsM) und IDS-Reporter (IdsR).

Die IDS Sensoren überwachen in den ECUs die relevanten Ressourcen (z.B. Netzwerkverkehr oder Speicherzugriffe) und erzeugen bei verdächtigen Aktivitäten (z.B. Anomalien oder typischen Angriffssignaturen) Warnmeldungen, sogenannte Security Events. Zusätzlich können smarte IDS-Sensoren in der Gateway-ECU den gesamte CAN-Datenverkehr und ggf. auch die Ethernet-Kommunikation überwachen und damit auch komplexere Angriffe erkennen sowie falsch-positive Security Events herausfiltern. Verteilte IDS-Manager (IdsM) in den ECUs und Gateways sammeln derweil die Security Events der ihnen zugewiesenen lokalen Sensoren ein, filtern nicht-relevante Events bzw. Rauschen heraus, um die Buslast zu minimieren, und übermitteln sie weiter an den IDS-Reporter (IdsR) in der Telematik-Einheit, der sie schließlich – nach weiterer Vorabanalyse – an das V-SOC überträgt.

Für ein derart verteiltes Intrusion Detection System erweist sich AUTOSAR als Glücksfall. Denn IdsM kommen – als Aggregatoren auf ECU-Level –im fahrzeuginternen Netzwerk vielfach zum Einsatz. Folglich ist es sinnvoll, den IdsM direkt in AUTOSAR einzubinden. Aus diesem Grund verfügt AUTOSAR mit seinem jüngsten Release R20-11 erstmals über IdsM-Spezifikationen für eine Angriffserkennung im Fahrzeug mittels eines verteilten Intrusion Detection Systems.

Firmware-Update Over-the-Air

Bild 2: Module für Firmware-Update Over-the-Air (FOTA) in AUTOSAR.

Die Secure-Update-Funktion in AUTOSAR hilft dann in der Folge die erkannten Schwachstellen und Angriffvektoren zu schließen, indem sie Security-Updates für einzelne Applikationen oder sogar für die gesamte Plattform empfängt und verarbeitet. Die einzelnen Update-Blobs werden dabei vom Backend signiert, so dass nur Updates aus vertrauenswürdiger Quelle ausgeführt werden. Das Update-Paket wird dann im Fahrzeug vom UCM-Master-Modul verarbeitet. Das UCM-Master-Modul läuft auf einer Adaptive-AUTOSAR-Instanz und überprüft zunächst die Signatur des Update-Pakets, um hernach die verschiedenen Softwareupdates innerhalb des Fahrzeugs zielgemäß zu verteilen.

Vor ihrem Update allerdings müssen auf den einzelnen ECUs noch weitere Security-Checks durchgeführt werden: Zum einen wird die Authentizität des Softwareupdates überprüft, zum anderen wird sichergestellt, dass keine alte Software-Version eingespielt wird, die eventuell Sicherheitslücken besitzt (Downgrade-Attacke). Diese Checks werden in AUTOSAR Adaptive vom UCM Client durchgeführt. Für AUTOSAR Classic befindet ein vergleichbares UCM-Client-Modul für FOTA derzeit noch im Spezifikationszyklus.

Fazit: AUTOSAR als Teil der Lösung

Für eine UNECE-konforme Security-Behandlung der Fahrzeuge im laufenden Betrieb werden ein Intrusion Detection System (IDS) und Firmware-Updates Over-The-Air (FOTA) unverzichtbar sein. AUTOSAR hilft, hierfür im Fahrzeug die Voraussetzungen zu schaffen. Denn der AUTOSAR-Standard hält relevante IDS- und FOTA-Module bereit. Diese ermöglichen, einen Großteil der ECUs innerhalb der E/E-Architektur zielführend mit den notwendigen Komponenten für Angriffserkennung und Softwareupdates zu versehen. Auf diese Weise wird AUTOSAR zum wichtigen Lösungsbaustein auf dem Weg zu einem UNECE-konformen Cybersecurity-Management.