Die Automotive Security Standards erneuern sich in immer kürzer werdenden Zeitintervallen. „Keine Safety ohne Security“ – darüber und dass alle Normen außer der jüngsten unzureichend sind, sind sich die Experten einig. Doch welcher Weg der Richtige ist, darüber wird debattiert. Zusätzlich gibt es Unternehmen, die mit ihren Entwicklungen die Automotive Cyber Security vorantreiben. Die First Mover, wie Continental mit seinem High-Performance Computer, setzen damit ebenfalls neue Automotive Security Standards.
Unzureichende Automotive Security Standards: ISO 26262 hat ausgedient!
Den Abgesang auf die ISO 26262 stimmt Prof. Nicholas McGuire im Juli 2019 auf dem Forum Safety & Security an. McGuire nennt die ISO 26262 „einen der schwächsten Standards der letzten Jahre, der nicht für komplexe Systeme geeignet ist.“. Die IEC 61508 ( vom CEN / Europäischen Komitee für Normung als EN 61508 übernommen ) sieht McGuire als für komplexe Systeme geeigneter an. Immerhin ist die ISO 26262 die Implementierung der IEC/EN 61508, doch sie erlaube nicht genügend Flexibilität, so McGuire.
Open Source Software: Non-compliant zu Automotive Security Standards, doch unverzichtbar
McGuire stellte als Protagonist der Open Source Software in der Automobilindustrie auf dem Forum Safety & Security das Projekt SIL2LinuxMP von OSADL vor. Der Einsatz von OSS / Open Source Software in der Automobilindustrie ist jedoch umstritten. Nach Angaben von OSADL kann Open Source Software wichtige Security Kriterien in der Entwicklung wie „Compliant Development“ und „Proven in use“ nicht erfüllen bzw. einhalten. Auch der vollständige Abschluss eines Open Source Entwicklungsprojekts ist nicht immer gesichert, wie McGuire mit dem Fortgang von wichtigen Know-How-Trägern vom Projekt SIL2LinuxMP aufzeigt.
Rudolf Grave von Elektrobit: Open Source bietet Geschwindigkeit
Trotz der Reibung mit Automotive Security Standards sieht Rudolf Grave, Head of Product System Architecture bei der Continental-Tochter Elektrobit, Vorteile von Open Source Software im Anwendungsfeld Automotive. Wesentlich kürzere Markteinführungszeiten und eine effizientere und effektivere Entwicklung soll OSS bieten. Allerdings sieht Grave den Einsatz von Open Source nicht als Allheilmittel. Grave macht den Einsatz der OSS von einem Entscheidungsprozesses abhängig, der Separation, Monitoring, Redevelopment und Qualifizierung des jeweiligen OSS-Produkts untersucht. Besteht das OSS-Produkt die Prüfungen und kann man nach dem von Grave vorgestellten Entscheidungsbaum im vorliegenden Fall klar für OSS votieren, ist er sicher, dass sich die in Aussicht gestellten positiven Wirkungen einstellen werden.
First Mover: Continental läutet mit dem High-Performance Computer das Kommen der neuen Fahrzeugarchitektur ein
Die Gateway-zentrierte und domänenbasierte E/E-Architektur der letzten Jahre wartete bereits auf ihr Upgrade, um den aktuellen Anforderungen wieder gerecht werden zu können. Der Server im Fahrzeug war als intelligenter Kommunikator gefragt. Der Automobilzulieferer Continental hat den High-Performance Computer bereitgestellt, der auch gleich mit einigen Features zur Optimierung der Automotive Cyber Security kommt.
Performante Automotive Cyber Security: End-to-End-Lösungen für ein höchstmögliches Sicherheitsniveau. (Foto: Continental AG, #2)
Over-the-Air-Updates: Belastbare Security durch End-to-End-Verbindungen
End-to-End-Verbindungen für Over-the-Air-Updates sind eines der Features, die Continentals High-Performance Computer mit sich bringt. Alle ECUs im Fahrzeug können so sicher aktualisiert werden. Entwickelt wurde dieses Feature von den Continentaltöchtern Argus Cyber Security und Elektrobit. Deren Sicherheitslösungen stehen zur Vorintegration in Telematikeinheiten, Infotainmentsysteme oder Gateways bereit. Damit hebt Continental mit seinem High-Performance Computer ein Connected Car eines beliebigen Automobilherstellers auf das Niveau eines Tesla, für den ein OTA-Update aller ECUs schon seit Jahren zum Standard gehört.
Das OTA-Update wird sich in den nächsten Jahren als ganz normaler Vorgang eingebürgert haben. Über 60 Millionen Connected Cars werden bis 2021 jährlich verkauft – so die Unternehmensberatung Roland Berger. So wenig wie das OTA-Update dann noch wegzudenken ist, so klar ist auch der Fokus von Cyber-Attacken auf genau diese Schwachstelle. Während beim Smartphone ein Geräteausfall nach einem OTA-Update noch verschmerzlich ist, ist dies bei der damit verbundenen Sicherheit der Menschen in stark automatisierten Verkehrsszenarien keine Option.
Automotive Security durch smarte Module
Cyber Angriffe erkennen und Sicherheitslücken schließen
Argus Cyber Security steuert zur Automotive Security mehrere Lösungen bei. Das Modul Argus Connectivity Protection bietet Schutz für Telematik- und Infotainment-ECUs. Das Modul Argus Intrusion Detection and Prevention System (IDPS) schützt das Daten-Netzwerk im Fahrzeug gegen Cyber-Angriffe und erkennt diese auch.
Mit dem Erkennen von Cyber-Angriffe gibt der High-Performance Computer den Fahrzeugherstellern auch Möglichkeiten an die Hand, auf erkannte Cyber-Angriffe in Echtzeit zu reagieren. Man muss dabei bedenken, dass die Fahrzeugflotten der Hersteller Millionen von Fahrzeugen umfassen, die nach einem Hacker-Erfolg bei nur einem Fahrzeug sofort alle in gleicher Weise bedroht sind. Kann der Fahrzeughersteller per Over-The-Air-Update die Sicherheitslücke schließen, wird die Cyber Security in der Fahrzeugflotte wiederhergestellt.
cadian Sync für OTA-Updates von Elektrobit
Der Automobilzulieferer Continental schließt noch eine weitere Lücke. Ein Over-the-Air-Update stellt weit mehr dar, als ein Transfer eines Software-Patches oder eines Feature-Updates für ein Software-defined Car. Die Gesamtheit aller ECUs, DCUs und anderen softwaregesteuerten Komponenten im Fahrzeug bilden eine sehr heterogene Softwarelandschaft. Will ein Fahrzeughersteller ein OTA-Update ausrollen, muss er über die exakten Verzeichnisse der Komponenten und ihrer Versionen in jedem einzelnen Fahrzeug verfügen. Soll ein Update ausgerollt werden, dürfen nur jene Fahrzeuge das Update erhalten, welche aufgrund ihrer Kombination aus Modulen und Versionen dafür qualifizieren.
Das Produkt cadian Sync von Elektrobit versteht sich als Tool zur Organisation von OTA-Updates. Die zuverlässige Planung und Durchführung der Over-The-Air-Updates lässt cadian Sync mittels eines grafischen Tools modellieren. Die Back-End-Lösung für das Flotten-, Software- und Kampagnenmanagement cadian Sync bietet hier einen Update-Master an, der als zentrale Steuerungseinheit für die hochkomplexen OTA-Update-Vorgänge sogar Testoptionen anbietet.
Mehr Hintergrundinformationen im Netz
- High-Performance Computer von Continental
Mehr über Continentals Hochleistungscomputer „High-Performance Computer“ liefert diese Seite auf Contis Homepage.
- UltraSoC und AESIN
UltraSoC und AESIN (Automotive Electronics Systems Innovation Network) kooperieren, um Automobilsysteme mit eingebetteten Überwachungsfunktionen zu sichern. Das Ziel ist unter anderem, die Umstellung auf Cybersicherheitsstandards wie ISO 21434 und SAE J3061 zu beschleunigen.
- Studie des Ponemon-Instituts
Trotz SAE J3061 verfügt ein Drittel aller Automobilunternehmen über kein Programm zur Cyber Sicherheit – so die Studie des Ponemon-Instituts im Auftrag von SAE und Synopsis über den Stand der Cybersicherheit in der Automobilindustrie.
SAE J3061 ist für die OTH Amberg-Weiden nur eine Empfehlung
Der Entwicklungsstand und damit der defacto Automotive Security Standard ist Thema im Forschungsbericht 2019 der Ostbayrischen Technischen Hochschule Amberg-Weiden. An der OTH Amberg-Weiden sieht man den Fokus der Fahrzeughersteller vor allem auf der funktionalen Sicherheit mit dem Blick auf das Autonome Fahren.
Für die funktionale Sicherheit sieht man hier mehr die Norm ISO 26262 als relevant an, die auch in das Dokument SAE J3061 eingeflossen ist. Den Bereich der Automotive Cyber Security sieht man in den Normen als lückenhaft abgebildet. Dies deutet man auch als Ursache für eine niedrige Entwicklungsgeschwindigkeit. Während die ISO/SAE AWI 21434 noch im Entwicklungsstadium gesehen wird, versteht man das Dokument SAE J3061 nur als Empfehlung.
Die bestehenden Automotive Security Standards kommen auf den Prüfstand: Die Weiterentwicklung der Fahrzeuge hin zum Autonomen Fahren erfordern ein Upgrade.
(Foto: shutterstock – metamorworks, #1)
Auch auf bekannt gewordene Security-Fälle geht man im Forschungsbericht ein. Die Ursache der Zwischenfälle sieht man vor allem im Vorgehen der Fahrzeughersteller bei der Entwicklung von neuen Funktionen der Fahrzeuge. Hier sieht man die Entwicklung ohne die notwendigen Implementierungen der Cyber Security, wie sie auch in SAE J3061 empfohlen gewesen wäre. Geschickter wäre es gewesen, die gewünschte Sicherheit durch Security by Design zu entwickeln. Letzteres hätte die Angriffsmöglichkeiten der Hacker minimiert.
Die Angriffsszenarien der OTH Amberg-Weiden sehen den High-Speed-CAN-Bus als Schwachstelle im Fahrzeug. Darüber hinaus sieht man bestimmte Komponenten als gefährdet an: Aktuatoren, Externe Kommunikation/V2X, das Energieversorgungs- und Verteilsystem, Motor, Sensoren, Karten, und Infotainment.
Fazit
Die Automotive Security Standards sind im Jahr 2019 noch nicht auf dem nötigen Stand angekommen. Allerdings ist es auch schwer, die Standards zu entwickeln, da sich die Situation, in welcher sie angewendet werden sollen, ständig verändert. Sicher ist, dass das Autonome Fahren die Marschrichtung vorgibt. Eventuell wäre es ein Vorgehen, statt die Gegenwart zu betrachten, von diesem Ziel ausgehend den dorthin führenden Weg zu ebnen. Ganz offenbar ist Automotive Security nur als Teamarbeit zu bewerkstelligen. Alle Player im Entwicklungsbereich tragen dazu bei, wie jetzt Continental mit dem High-Performance Computer. Und klar ist auch, dass Tesla mit seiner Entwicklung auf der grünen Wiese beginnen konnte und die bekannten Fahrzeughersteller noch den bremsenden Ballast aus der Entwicklung der vergangenen Jahrzehnte mit sich schleppen und nicht einfach über Bord kippen können. Diese Freiheit besitzt eben nur ein Startup.
Bildnachweis: © shutterstock – Titelbild TierneyMJ, #1 metamorworks, #2 Continental AG
