„Die Fahrzeuge dauerhaft und vielschichtig absichern“

Die kontinuierliche Risikobehandlung von Fahrzeugen im Feld muss sich künftig auf eine wirksame Angriffserkennung stützen. Welche wichtige Rolle dabei der AUTOSAR-Standard einnimmt und wo er an seine Grenzen gelangt erklären Marcel Mulch, Security-Architekt für den Bereich Intrusion Detection System (IDS) und Dr. Michael Peter Schneider, Projektmanager für AUTOSAR Security und Repräsentant im AUTOSAR-Konsortium.

Herr Schneider, wir kennen AUTOSAR ja als Softwarestandard für die E/E-Architektur. Inwiefern ist AUTOSAR auch für die Cybersicherheit der Fahrzeuge von Bedeutung?

Michael Peter Schneider: Ganz einfach. Unter der Vielzahl von AUTOSAR-Komponenten, die für die Applikationen im Fahrzeug verwendet werden können, befinden sich auch eine Reihe von Security-Bausteinen. Ein gutes Beispiel ist hier SecOC. Das ist bekanntermaßen ein speziell vom AUTOSAR-Konsortium entwickeltes, standardisiertes Protokoll, um die Onboard-Kommunikation innerhalb des Fahrzeugs abzusichern. In der Art gibt es inzwischen etliche AUTOSAR-Security-Komponenten, etwa auch einen Krypto-Stack oder ein Identity- und Access-Management. AUTOSAR gibt hier die Spezifikationen vor, die Embedded-Software-Anbieter wie ETAS dann in ihre AUTOSAR-Stacks für die OEMs und Zulieferer implementieren.

Nun gibt es seit Ende 2020 auch AUTOSAR-Spezifikationen für die Angriffserkennung im Fahrzeug per Intrusion Detection System, kurz IDS. Warum ausgerechnet IDS und warum jetzt, Herr Mulch?

„Dank AUTOSAR lassen sich IDS-Komponenten leicht integrieren “

Marcel Mulch: Hauptgrund sind die UNECE-Regularien für die Cybersicherheit von Fahrzeugen. Um künftig eine Typgenehmigung zu erhalten, müssen die Hersteller nachweisen, dass sie Cyberangriffe auf ihre Fahrzeugflotte erkennen und mitigieren können. Ein IDS, das die Kommunikation im Bordnetz auf Auffälligkeiten und typische Angriffssignaturen hin überwacht, ist da von essenzieller Bedeutung. Deswegen sind die Sensoren für die Angriffserkennung im Fahrzeugnetzwerk nun nach AUTOSAR standardisiert. Und genauso auch die sogenannten IDS-Manager, die die von den Sensoren registrierten potenziellen Security Events sammeln, und sie für die Weiterleitung an ein Vehicle Security Operations Center im Backend vorfiltern. Der große Vorteil ist: Da AUTOSAR heute weithin für die E/E-Architekturen genutzt wird und in vielen ECUs bereits angelegt ist, lassen sich die entsprechend AUTOSAR-spezifizierten IDS-Komponenten dort relativ leicht integrieren.

Reichen denn die AUTOSAR-Security-Bausteine alleine aus, um die Fahrzeug ausreichend gegen Cyberattacken abzusichern?

Schneider: Das wohl kaum. AUTOSAR ist hier mit seinen Security-Bausteinen nur ein Teilaspekt, wenn auch ein wichtiger. Aber im Fahrzeug sind ja nicht nur AUTOSAR-ECUs verbaut, sondern auch Mikroprozessor-basierte Systeme wie Telematik-Einheiten, Infotainment-Systeme oder auch Vehicle-Computer, die sich auf native Betriebssysteme wie Linux, QNX oder Android stützen. Zudem werden die Fahrzeugnetzwerke immer komplexer und Automotive Ethernet gewinnt immer mehr an Bedeutung. Daher benötigt man auch Netzwerk-Sensoren, die beispielsweise auf Domaincontrollern den Ethernet-Verkehr überwachen. Und selbst auf den klassischen ECUs lässt sich die IT-Sicherheit jenseits von AUTOSAR weiter verbessern, beispielsweise mit Hardware Security-Modulen für die sichere Verwaltung des Schlüsselmaterial oder mit Automotive-spezifischen Krypto-Bibliotheken.

„Aus Security-Sicht zählt nur, welche Angriffsvektoren meine E/E-Architektur aufweist und wie ich diese absichern kann.“

Mulch: Und das gilt eben auch für das von der UNECE geforderte kontinuierliche Security-Monitoring: Die AUTOSAR-spezifizierten IDS-Komponenten sind hier ein wichtiges Element: Aber daneben braucht es – außerhalb von AUTOSAR – einen IDS-Reporter im Fahrzeug, der alle potenziellen Security Events zur Auswertung ans Backend meldet, das Vehicle Security Operations Center, in dem softwarebasiert und durch Security-Analysten die vermeintlichen Angriffe untersucht werden. Und es braucht ein Security-Update-Management, das am Ende– im Fahrzeug wiederum AUTOSAR-gestützt – Sicherheitslücken schließt und gegebenenfalls die IDS-Sensoren der neuen Gefahrenlage anpasst. Mit anderen Worten: Aus Security-Sicht zählt nur, welche Angriffsvektoren meine spezielle E/E-Architektur aufweist und wie ich diese absichern kann. Dort, wo AUTOSAR-Security-Bausteine den Zweck erfüllen, greife ich auf sie zurück. Wo sie es nicht tun, bediene ich mich zusätzlicher Security-Maßnahmen.

Wie sehen Sie die Zukunft? Welchen Stellenwert wird AUTOSAR in 10 Jahren noch in der E/E-Architektur haben, und welche Rolle wird die Angriffserkennung im Fahrzeug dann spielen?

Mulch: Ich bin überzeugt, AUTOSAR wird auch in zehn Jahren noch als gemeinsamer Software-Standard eine zentrale Rolle bei der Fahrzeugarchitektur spielen. Aber ganz bestimmt wird sich dann das Gewicht von AUTOSAR Classic zu AUTOSAR Adaptive verschoben haben. Die E/E-Architekturen werden auf wenige leistungsfähige Zentralrechnern zugeschnitten sein und sich hin zum Einsatz von Mikroprozessoren statt Mikrocontrollern entwickeln. Aber genau daraufhin ist AUTOSAR Adaptive ja ausgerichtet.

Schneider: Gleichzeitig zeigen die neuen verbindlichen Regelwerke und Vorgaben, wie wichtig Security für eine zunehmend vernetzte, automatisierte Mobilität ist. Für unser aller Sicherheit im Straßenverkehr werden wir die Fahrzeuge und Flotten dauerhaft und vielschichtig absichern müssen. Ich bin sicher, Onboard-IDS-Lösungen und das damit verbundene Monitoring der Flotten durch ein Vehicle Security Operations Center wird in künftigen Fahrzeuggeneration zum Standard gehöre