Startseite > Security > Sicher vom Werk bis zur Schrottpresse

Connected Car

Sicher vom Werk bis zur Schrottpresse

16. Juni 2023, 12:57 Uhr | Autor: Alois Kliner / Redaktion: Diana Künstler

Moderne Kraftfahrzeuge können heute bis zu 100 Steuergeräte beinhalten. Damit diese Elektronik nicht zum potenziellen Einfallstor für Cyberkriminelle wird, müssen die Fahrzeuge über den gesamten Lebenszyklus hinweg gesichert werden. Sicherheitskonzepte für vernetzte Fahrzeuge im Überblick.

Schätzungen zufolge umfasst ein konventionelles Auto um die 1.000 einzelne Computerchips, ein elektrisches etwa doppelt so viele¹. Diese gesamte Elektronik mit ihren Steuergeräten ist notwendig, um die komplexen Funktionen der Fahrzeuge, wie Assistenzsysteme, Regen- und Lichtsensoren sowie vieles mehr zu steuern. Neben der schieren Masse an elektronischen Bauteilen ist noch etwas neu: Während früher die Bordelektronik ein in sich geschlossenes System darstellte, sind Autos heute mit ihrer Umwelt vernetzt. Leider lauern hier auch potenzielle Angriffsvektoren. Das ist bereits in Bezug auf heutige Fahrzeuge beängstigend, bei autonomen Autos sprechen wir dann allerdings sogar von einer möglichen Gefährdung von Menschenleben im Falle eines Eindringens in die Fahrzeugsoftware. Hier müssen höchste Sicherheitsmaßstäbe angelegt werden, was bereits bei der Produktion einzelner Bauteile beginnt.

In der Produktion: Eine „Identität“ für Chips

Die Arbeit an einem sicheren vernetzten Auto beginnt bereits, bevor die ersten Teile von Karosserie oder Antriebsstrang verbaut werden. Die Zulieferer von Mikrochips, die später in vernetzten Komponenten verbaut werden, müssen schon in ihrer Produktion Sicherheitsmaßnahmen ergreifen. Entlang der gesamten komplexen Lieferkette im Automobilsektor muss sichergestellt werden können, dass die Bauteile auf ihre Authentizität prüfbar sind und über ihren kompletten Lebenszyklus zweifelsfrei nachverfolgt werden können.

Dazu werden sie während der Produktion mit einer sicheren digitalen Identität versehen, die man sich grob vereinfacht als eine Art zweite, allerdings geheime, Seriennummer vorstellen kann. Praktisch realisiert wird dieses System durch asymmetrische Kryptografie und ein Verfahren namens Key Injection. Dabei wird mittels eines privaten Schlüssels ein Identitäts-Code erzeugt und in das herzustellende Bauteil eingebracht.

Dieses Verfahren bietet Schutz gegen Fälschungen und Produktpiraterie, da zur Erstellung plausibler Identitäten der originale, geheime Schlüssel der Produzenten notwendig wäre. Prüfen lässt sich die Identität von Teilen allerdings von allen Akteuren entlang der gesamten Lieferkette, da hierfür ein öffentlicher Schlüssel genügt, der ohne weiteres allgemein verbreitet werden kann. Diese Public-Key-Infrastruktur (PKI) gilt allgemein als sehr sicher. Allerdings ist sie darauf angewiesen, dass der private Schlüssel immer unter alleiniger Kontrolle des Herstellers bleibt. Um das zu gewährleisten, sind Hardware-Sicherheitsmodule (HSM) die beste Wahl. Diese Geräte erzeugen und verwahren die Schlüssel. Im Gegensatz zu Software-basierten Lösungen gelangen die Schlüssel dabei nie in den Hauptspeicher eines Rechners, womit eine Kompromittierung aus der Ferne nicht möglich ist. Außerdem sind HSM bei der Generierung von Zufallszahlen, die für kryptografische Anwendungen benötigt werden, Software-Lösungen überlegen.

Die Normen UNE CE WP 29 und ISO 21434 sehen unter anderem ein Lifecycle Management von Komponenten über die gesamte Lebensdauer bis zum Ende des Gebrauchs vor. Das bedeutet, dass Hersteller den Verbleib ihrer Teile stets nachvollziehen können müssen. Außerdem dürfen darauf keine Daten der vorherigen Nutzer mehr gespeichert sein.

Eindeutige Bauteilidentitäten sind aus zwei Gründen wichtig: Gefälschte Produkte könnten im Bereich vernetzter und autonomer Autos zu einem enormen Sicherheitsrisiko werden, da bei ihrer Produktion nicht zwingend Sicherheitsstandards für Software eingehalten werden. Ob auf einem Gerät sichere Software installiert ist, lässt sich natürlich nicht durch Augenschein erkennen. Kann man allerdings einfach verifizieren, dass ein Teil von einem zertifizierten Originalhersteller kommt, kann es auch Software-seitig als sicher eingestuft werden. Auf der anderen Seite möchten sich die Originalhersteller vor unberechtigten Regressansprüchen schützen, die durch Produktpiraterie entstehen könnten. In solchen Fällen waren bisher aufwändige Vor-Ort-Prüfungen durch Sachverständige notwendig.

Bei der Nutzung: Verschlüsselte Kommunikation und signierter Code

Ist ein vernetztes oder autonomes Fahrzeug fertiggestellt und nimmt am Straßenverkehr Teil, verlagert sich der Sicherheitsfokus auf den Datenaustausch zwischen den Systemen an Bord, anderen Fahrzeugen, vernetzten Infrastrukturen und der Cloud. Natürlich dürfen auch bei dieser Kommunikation keine Einfallstore für Cyberkriminelle entstehen. Ein von böswilligen Akteuren ferngesteuertes Auto stellt schließlich ein echtes Horrorszenario dar. Doch die moderne Kryptografie stellt auch hier zur Absicherung von Datenaustausch sichere Verfahren zur Verfügung.

Das beginnt bei sogenannten Firmware-over-the-Air (FOTA)-Updates. Dieses Verfahren nutzen inzwischen viele Hersteller, da es für ihre Kunden sehr komfortabel ist – für das drahtlose Update müssen sie keine Werkstatt aufsuchen. Damit sich allerdings keine Kriminellen in den Prozess einschalten und vernetzte Bauteile mit gefälschter Firmware kompromittieren können, muss die Authentizität des Updates gewährleistet werden. Dazu kommt ebenfalls eine PKI zum Einsatz. Da auch hinter Software eine komplexe Lieferkette steckt, erhalten Autohersteller von ihren jeweiligen Zulieferern Codes für bestimmte Funktionen. Die Übermittlung wird durch Kryptografie abgesichert und die Software-Abteilung eines Autobauers entschlüsselt diese einzelnen Software Bundles, prüft die Software Bill of Materials und baut daraus in einer sicheren Umgebung das vollständige Update für spezifische Fahrzeugkategorien und/oder Ausstattungsvarianten.
Die fertigen Update-Pakete werden schließlich vom Hersteller mittels eines privaten Schlüssels signiert. Mit einem öffentlichen Schlüssel prüft die jeweilige Auto-Software die Echtheit eines übermittelten Updates. Nicht originale Firmware kann so direkt erkannt werden und das Update wird nicht angenommen. Bereits heute sorgen regelmäßige Updates und die Verwaltung vernetzter Teile dafür, dass Autobauer einen großen Bedarf an sicheren kryptografischen Schlüsseln haben.

Werden autonome Fahrzeuge irgendwann massentauglich, wird sich dieser Bedarf exponentiell vervielfachen. Ein solches Fahrzeug kommuniziert ständig mit seiner ebenfalls vernetzten Umwelt. Auch wenn sie nur Sekunden dauert, ist diese permanente Kommunikation mit ständig wechselnden Partnern sicherheitsrelevant und erfordert immer neue Schlüssel, um sie gegen Man-in-the-Middle-Angriffe abzusichern. Um den immensen Bedarf zu decken, müssen die Autos selbst kleine HSM-Systeme an Bord haben, die sich um die Erzeugung und Verwaltung dieser Schlüssel kümmern.

Am Ende des Lebenszyklus: Verbleib von Teilen sicherstellen

Erreicht ein vernetztes Auto das Ende seiner Nutzungsdauer, stehen wiederum die Teile im Vordergrund. Fahrzeuge werden heute nicht mehr komplett in die Schrottpresse geworfen, sondern noch brauchbare Teile werden weiterverwertet. Das ist auch bei vernetzten Komponenten denkbar und aus Nachhaltigkeitsgesichtspunkten auch wünschenswert. Allerdings darf die Nutzung gebrauchter Teile keinesfalls zu Lasten der Sicherheit gehen.

Die Normen UNE CE WP 29² und ISO 21434³ sehen unter anderem ein Lifecycle Management von Komponenten über die gesamte Lebensdauer bis zum Ende des Gebrauchs vor. Das bedeutet, dass Hersteller den Verbleib ihrer Teile stets nachvollziehen können müssen. Außerdem dürfen darauf keine Daten der vorherigen Nutzer mehr gespeichert sein. Wird ein Bauteil endgültig außer Betrieb genommen, muss damit auch seine digitale Identität erlöschen. Im Rahmen der PKI müssen Schlüssel also auch zurückgerufen werden können.

Paradigmenwechsel hin zum Software-defined Vehicle

Das Management digitaler Identitäten und der Schlüssel, auf denen sie basieren, entlang der gesamten Wertschöpfungskette ist ein komplexer Prozess, der von Anfang an professionell aufgesetzt werden muss. Erzeugung, Einbringung, Speicherung und Wiederauffinden der Schlüssel für Software Updates erfordern leistungsfähige Geräte, die ein sicheres Schlüsselmanagement ermöglichen.

Aktuell findet gerade ein Paradigmenwechsel in Richtung des Software-defined Vehicle statt. Solche Fahrzeuge verfügen über zahlenmäßig weniger vernetzte Bauteile, dafür wenige zentrale Steuergeräte mit mehr Rechenleistung. Fahrer können dann neue Services beziehen, ähnlich wie sie Apps auf dem Smartphone installieren. In einem solchen Ökosystem wird die Sicherheit von Codes noch mehr in den Fokus rücken.

Alois Kliner, Vice President Automotive und Fertigung bei Utimaco

^{1 https://electronics-sourcing.com/2022/05/04/how-many-chips-are-in-our-cars/

2 https://unece.org/wp29-introduction

3 https://www.iso.org/standard/70918.html}