Firmware Over-the-Air
Datenschutz und Sicherheit im vernetzten Auto
Fortsetzung des Artikels von Teil 1
Technische Herausforderungen des FOTA-Prozesses
FOTA stellt große Anforderungen an die Technik. So muss garantiert werden, dass der Prozess selbst sicher durchzuführen ist und kein zusätzliches Angriffspotenzial bietet. Denn die Folgen für Datensicherheit und funktionale Sicherheit wären unabsehbar, würde FOTA dazu genutzt, manipulierte Software auf ein Gerät aufzuspielen. Voraussetzung ist daher eine kryptografische Absicherung der Luftschnittstelle, etwa durch eine Verschlüsselung mittels TLS-Protokoll. Die hierfür notwendigen Schlüssel und Zertifikate müssen geheim und manipulationssicher in die Geräte eingebracht und dort in einem geschützten Speicherbereich abgelegt werden. Ein dediziertes Hardware-Security-Modul (HSM) ist wichtig, um einen sicheren Speicher zu realisieren und kryptografische Verfahren sicher auszuführen.
Eine Absicherung gegen das unrechtmäßige Installieren von manipulierter Software könnte durch einen sicheren Installationsprozess (Secure Flashing) und die sicherheitsgerichtete Prüfung beim Starten der Gerätesoftware (Trusted Boot) erreicht werden. Bei beiden Mechanismen kommen digitale Signaturen zur Validierung der Authentizität der Software zum Einsatz. Entwicklungsschnittstellen wie UART, USB oder JTAG sind entweder im Serienprodukt zu deaktivieren oder mittels kryptografischer Verfahren abzusichern, um ein Eindringen in das Gerät zu verhindern. Auf diesem Weg könnten Angreifer versuchen, die Software oder vertrauliche Daten auszulesen oder zu manipulieren. Nicht nur die technische Seite, auch Organisation und Entwicklung bedürfen einer Anpassung an die neuen Gegebenheiten. Beispielsweise sind End-to-End-Risikoanalysen zwar derzeit noch nicht die Regel, sollten aber zu den Anforderungen gehören, die Hersteller an ihre Zulieferer stellen. Dabei werden mögliche Angriffsszenarien auf alle Komponenten der Kette und deren Auswirkungen auf die Datensicherheit (Security) und die funktionale Sicherheit (Safety) untersucht. Auf Grundlage der Ergebnisse können geeignete Schutzmaßnahmen definiert werden. Der Erfolg dieser Vorgehensweise ist nur dann garantiert, wenn der OEM, der Lieferant der Backendlösung und die Steuergerätehersteller schon in einer frühen Entwicklungsphase zusammenarbeiten. Dieser Ansatz bedingt die Abkehr von der Blackbox-Entwicklung von Steuergeräten hin zu einem ganzheitlichen Ansatz bezüglich Security. Zudem dürfen sicherheitsbildende und -erhaltende Maßnahmen nicht nach dem Produktionsstart eingestellt werden. Sicherheitsanalysen, sicherheitsgerichtetes Testen und die Behebung von Sicherheitslücken per FOTA müssen über die ganze Laufzeit eines Produktes kontinuierlich durchgeführt werden.
Mehr als nur ein Sicherheitsaspekt
FOTA bietet für OEMs weiteres Potenzial jenseits der Sicherheit: Teure Rückrufe werden in Zukunft bei Problemen mit Software-Bezug nicht mehr benötigt. Viele können gelöst werden, ohne dass der Kunde aktiv werden muss, da Patches drahtlos ins Fahrzeug gelangen. Auch beim Aufbau neuer Geschäftsmodelle und Kundenbeziehungen kann FOTA eine Rolle spielen, wie ein Beispiel des US-Autobauers Tesla zeigt. Ein Update, das das Unternehmen seinen Kunden für etwa 2.000 Dollar anbot, enthielt eine Autopilot-Funktion. Viele Teslas haben sich so zu (teil-)autonomen Fahrzeugen weiterentwickelt. Das eröffnet OEMs neue Perspektiven. Heute ist es die Regel, dass sich der Wert eines Neuwagens schon in dem Moment halbiert, indem man den Hof des Händlers verlässt. Dieser Wert sinkt in der Folgezeit ständig weiter. In Zukunft ist es möglich, dass ein Fahrzeug aufgrund neuer Funktionen, die über FOTA aufgespielt werden, im Laufe der Zeit nicht an Wert verliert, sondern ihn behält oder sogar dazugewinnt.
Holger Hilmer ist Senior Engineer Technology Research bei Laird
- Datenschutz und Sicherheit im vernetzten Auto
- Technische Herausforderungen des FOTA-Prozesses
Lesen Sie mehr zum Thema
