Wie KI das Fuzz-Testing für Automobilsoftware neu definiert

In einer Folge des Podcasts „Empowering Tomorrow's Automotive Software” vom Juli 2025 diskutierten Moderator Zane Pelletier, Servicemanager für Enterprise und ICS Security Services in Amerika bei ETAS, und Gast Irina Nicolae, Wissenschaftlerin am Bosch Center for Artificial Intelligence, über den Einsatz von KI beim Embedded-Fuzz-Testing für Automobilmodule.

Der Podcast hebt hervor, dass KI-gesteuertes Fuzz-Testing ein vielversprechender Ansatz zur Verbesserung der Effizienz und Effektivität von Tests zur Cybersicherheit im Automobilbereich ist. Wir haben einige der in diesem Artikel behandelten Themen hervorgehoben – die vollständige Folge können Sie hier oder überall dort anhören, wo Sie Podcasts hören (zum Beispiel Spotify, Apple Podcasts, Amazon Music, iHeart Radio usw.).

Was ist eingebettetes Fuzz-Testing?

Fuzz-Testing ist eine Technik der Cybersicherheit, bei der sorgfältig ausgearbeitete, pseudozufällige Eingaben an die Schnittstellen eines Geräts gesendet werden, um Software- oder Hardwarefehler zu identifizieren. Das Ziel besteht darin, unerwünschte Ereignisse zu überwachen, darunter Nichtreaktionen, Auslösen eines Watchdog-Timers oder andere Bedingungen, die auf ein Sicherheitsproblem oder einen sicherheitskritischen Fehler hindeuten könnten.

Im Gegensatz zum Fuzz-Testing für herkömmliche IT-Software stellt das Testen eingebetteter Geräte in Fahrzeugen besondere Herausforderungen dar. Diese Geräte, beispielsweise für die Brems- oder Antriebsstrangsteuerung, sind oft sicherheitskritisch. Darüber hinaus sind viele der Kommunikationsprotokolle proprietär und nicht gut dokumentiert, sodass das Auffinden von Fehlern mit der Suche nach einer Nadel im Heuhaufen vergleichbar ist. Hinzu kommt, dass jeder Controller anders ist, sodass Tester bei jedem neuen Test von vorne beginnen müssen. Die pseudozufällige Natur von Fuzz-Tests ist nicht effizient und erfordert einen erheblichen Zeit- und Hardwareaufwand.

ETAS bietet mit CycurFUZZ eine Lösung, die die Robustheit und Cyber-Resilienz ihrer Automobilsysteme während des gesamten Entwicklungs- und Validierungsprozesses verbessert. CycurFUZZ deckt 66 bis 600 % mehr sicherheitsrelevante Schwachstellen und unentdeckte Softwarefehler auf als andere verfügbare Tools.

Die Rolle der KI bei der Verbesserung von Fuzz-Tests

Die Idee, KI einzusetzen, entstand aus der Erkenntnis, dass ähnliche Fehler wiederholt in verschiedenen Modulen und sogar bei verschiedenen Lieferanten auftraten. Um die Ineffizienzen des herkömmlichen Fuzzings zu überwinden, beschlossen Zane Pelletier und sein Team in Zusammenarbeit mit dem Bosch Center for Artificial Intelligence, ein Machine-Learning-Modell zu trainieren, das historische Probleme erkennt und das Bedrohungsmodell für Fahrzeugnetzwerke versteht.

Der Podcast geht näher auf das Projekt ein und erklärt, dass das Team ein transformatorbasiertes Modell verwendet hat, ähnlich denen, die in großen Sprachmodellen (LLMs) zum Einsatz kommen. Das Modell wurde nicht darauf trainiert, einfach zufällig neue Testfälle zu generieren, sondern die nächsten Bytes in einer Datensequenz auf der Grundlage des Eingabestroms vorherzusagen, wodurch es intelligentere Testfälle generieren konnte, mit denen die Wahrscheinlichkeit, einen Fehler zu finden, höher war.

Der Erfolg des Projekts hing stark von der Qualität der Trainingsdaten ab. Das Team erkannte, dass die Verwendung realer Verkehrsdaten von entscheidender Bedeutung war, da das Modell dadurch ein genaueres Verständnis davon erhielt, wie „normaler“ Netzwerkverkehr aussieht, was für die Identifizierung von Anomalien unerlässlich ist. Auch die Bedeutung der Feinabstimmungsphase wurde hervorgehoben, da dieser Schritt es dem Team ermöglichte, das Modell an bestimmte Module und Kommunikationsprotokolle anzupassen und so seine Effektivität weiter zu steigern.

Der häufigste Fehler, der bei diesem Prozess entdeckt wird, ist ein Denial-of-Service (DoS), der dazu führt, dass das Modul nicht mehr auf andere Teile des Fahrzeugnetzwerks reagiert. Dies ist besonders gefährlich in Automobilnetzwerken, wo Module innerhalb von Millisekunden reagieren müssen. Weitere Fehler sind beispielsweise ein Absturz des Kommunikationsstacks oder die Umgehung der Sicherheitsauthentifizierung auf einem Modul.

Durch den Einsatz von KI werden die traditionellen Ineffizienzen des eingebetteten Fuzz-Testens überwunden. Dieses Projekt und diese Zusammenarbeit demonstrieren einen erfolgreichen, datengesteuerten Ansatz, der über pseudozufällige Eingaben hinausgeht und potenzielle Schwachstellen intelligent ins Visier nimmt. Diese Methode stellt einen bedeutenden Fortschritt bei der Sicherung der immer komplexer werdenden und vernetzten Fahrzeuge der Zukunft dar.