KI, die Kreative Intelligenz jetzt in der neuesten Folge SMART&nerdy! Podcastfolge #23.

Sicherheit auf Rädern

Auto vor Stadt

[vc_row][vc_column][vc_custom_heading text=“Sicherheit auf Rädern“ font_container=“tag:h1|font_size:48|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1692865309365{margin-top: -25px !important;}“][vc_custom_heading text=“Cybersecurity in der Automobilindustrie“ font_container=“tag:h2|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1692865320593{padding-bottom: 10px !important;}“][vc_column_text]Klaus Kainrath, MAGNA STEYR Fahrzeugtechnik GmbH & Co. KG

(Titelbild: © MAGNA)[/vc_column_text][ultimate_spacer height=“15″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][/vc_column][/vc_row][vc_row][vc_column][vc_custom_heading text=“Kurz und Bündig“ font_container=“tag:h2|font_size:34|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1661761237969{margin-top: -25px !important;}“ el_class=“box-headline“][vc_row_inner el_class=“box-content-wrapper“][vc_column_inner][vc_column_text]Die zunehmende Vernetzung von Fahrzeugen untereinander und mit ihrer Umgebung macht das Thema Cybersecurity immer bedeutender. Um wichtige Fahrzeugsysteme zu schützen, ist ein CSMS mittlerweile für die Zulassung von neuen Fahrzeugen erforderlich. Fahrzeughersteller und Zulieferer müssen daher das Thema durch den gesamten Entwicklungsprozess und auf allen Fahrzeugebenen berücksichtigen.[/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row css=“.vc_custom_1519752670572{margin-top: -10px !important;}“][vc_column][ultimate_spacer height=“30″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][vc_column_text]Die Fahrzeugindustrie ist im Wandel. Auf der einen Seite lässt die EU ab 2035 keine Fahrzeuge mehr zu, die mit Benzin oder Diesel fahren, auf der anderen Seite soll auch das autonome Fahren in naher Zukunft real werden. Dazu kommt als weiteres wichtiges Thema die Cybersecurity. In der Europäischen Union ist ein Cybersecurity-Management-System (CSMS) seit Juli 2022 für alle neuentwickelten Fahrzeugtypen und mit Juli 2024 für alle Neufahrzeuge verpflichtend. Für die Fahrzeugentwicklung bedeuten diese Vorschriften, dass in einer sehr frühen Phase das Thema Cybersecurity berücksichtigt werden muss.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]Bei dem Begriff „Cybersecurity“ denkt man zunächst an PCs und Rechenzentren. Warum das Thema allerdings auch in der Automobilindustrie relevant ist und sogar immer relevanter wird, zeigt ein Blick auf die Geschichte des Autos und darauf wie es sich bis heute weiterentwickelt hat: Die Geschichte begann im 19. Jahrhundert. Lange Zeit war das Automobil ein mechanisches Fortbewegungsmittel. Wurden Autos anfangs noch durch Gas, Dampf oder sogar elektrisch angetrieben, setzte sich im 20. Jahrhundert der Verbrennungsmotor durch [1]. Bis in die 1970er-Jahre blieb das Auto auch etwas rein Mechanisches. Zu diesem Zeitpunkt wurde die erste elektronische Steuereinheit (Electrical Control Unit – ECU) serienmäßig verbaut [2]. In weiterer Folge nahm der Einzug an elektronischen Komponenten im Fahrzeug stetig zu. Immer mehr vor allem sicherheitsrelevante Funktionen wurden mithilfe von elektronischen Steuergeräten unterstützt oder teilweise ganz übernommen. Zu den bekanntesten Funktionen zählen das Antiblockiersystem (ABS), die elektronische Kraftstoff-einspritzung (Electrical Fuel Injection – EFI), das elektronische Stabilitätsprogramm (ESP), die Antriebsschlupfregelung (ASR) und viele mehr.

Die stetige Zunahme an Steuergeräten erforderte auch eine Kommunikation der Systeme im Fahrzeug untereinander. Die bekannteste Technologie hierbei ist das 1983 entwickelte serielle Bussystem CAN (Controller Area Network). Die Summe der elektronischen Komponenten ergab das elektrische/elektronische (E/E) Netzwerk, das zunehmend komplexer wurde. Ab etwa 1990 wurde zudem das Fahrzeugdiagnosesystem eingeführt, womit unter anderem die korrekte Funktionsweise der ECUs überwacht werden konnte, und das seit 2004 werkzeuglos per OBD2-Schnittstelle im Cockpit jedes Fahrzeugs ausgelesen wird. Die rasante technische Weiterentwicklung führte bis heute dazu, dass moderne Autos bis zu 100 verbaute Steuergeräte aufweisen – Autos sind im Grunde Computer auf vier Rädern [3].

Wichtige Fahrzeugfunktionen wurden im Laufe der Zeit rein digital oder zumindest digital unterstützt umgesetzt wie das Gaspedal, die Bremsen beziehungsweise die Bremsunterstützung, die elektrische Handbremse, die elektrische Lenkunterstützung und die gesamten Fahrassistenzsysteme. Die wachsende Anzahl an elektrischen Funktionen machte eine verstärkte Vernetzung notwendig, was beispielsweise bis zu 2,5 km Einzeladerlänge für die Verkabelung eines Mittelklassefahrzeugs [3] bedeutet.

Viele der Features, die derzeit bei Fahrzeugen angeboten werden, verlangen eine ständige Internetanbindung. Allen voran zählen dazu Smartphone-Apps, WLAN-Hotspots, Multimedia (Streamingdienste), der automatische Notruf und viele mehr. Um diese Vielzahl an Funktionen überhaupt umsetzen zu können, müssen diese von den Komponentenherstellern in Software geschrieben werden. Somit stecken in einem modernen Fahrzeug um die 100 Millionen Programmzeilen (Line of Code – LOC). Das bedeutet, ein Auto hat mehr LOCs als eine Boeing 787, wie in Abbildung 1 zu sehen ist.
Doch damit ist das Ende dieser Entwicklung noch lange nicht erreicht. Bis 2050 prognostiziert der ADAC [5], dass bis zu 70 % des Individualverkehrs autonom ablaufen wird. Dazu sind eine vollständige Vernetzung der Fahrzeuge untereinander sowie der Infrastruktur notwendig. Das Schlagwort dazu ist die Vehicle-to-Everything-Kommunikation (V2X). Dadurch werden die Autos von morgen richtig gesprächig und sollen nicht nur untereinander (Vehicle to Vehicle – V2V), sondern auch mit der Cloud (V2C), Fußgängern (V2P), der Infrastruktur (V2I) und vielem mehr kommunizieren, wie in Abbildung 2 zu sehen ist. Dazu werden unzählige Drahtlostechnologien integriert und sorgen für ein dauerhaft vernetztes Fahrzeug mit immer mehr Kommunikationsschnittstellen, das sozusagen „always online“ ist.

Mit dieser Entwicklung wird auch die Möglichkeit von Software-Updates, die über das Internet, also „over the air“ (OTA-Updates), ins Fahrzeug geladen werden können, immer wichtiger. Einerseits können die Fahrzeughersteller so ihre Systeme technisch auf dem neuesten Stand halten, ohne dass ein Werkstattbesuch erfolgen muss. Andererseits ist es technisch möglich, auch nach dem Autokauf neue Funktionen zu erwerben und freischalten zu lassen – eine neue Einnahmequelle für die Fahrzeughersteller [6].

Zusammenfassend kann man festhalten, dass moderne Autos aus bis zu 100 vernetzten Einzelkomponenten bestehen, die jede Menge Software enthalten und die permanent online sind. Die Daten eines Fahrzeugs gehen über das Internet an ein IT-Backend des Herstellers. Auf diese Weise können Smartphone-Applikationen zum Beispiel Fahrzeugparameter nicht nur anzeigen, sondern auch Anweisungen an das Fahrzeug senden, um etwa die Fenster zu öffnen. Somit wird automatisch auch jeder Fahrzeughersteller zu einem IT-Unternehmen, das eine sehr große Menge an Daten beherbergt – und damit zu einem begehrten Ziel für Cyberangriffe.

In der Folge ist die Automobilindustrie zunehmend von Cyberattacken betroffen. Durchstöbert man das Internet, findet man ab den 2000er-Jahren einige wenige Angriffe. Ab etwa 2010 nahmen die Vorfälle stetig zu, was auf die zunehmende Vernetzung von modernen Fahrzeugen zurückzuführen ist. Dabei handelt es sich primär um lokale Angriffe auf Funkschlüssel. 2015 wurde auf einer Hackerkonferenz der bisher wohl bekannteste Angriff auf ein Fahrzeug präsentiert. Es handelt sich um den Hack eines SUV mit Baujahr 2014. Die Angreifer waren dabei sogenannte White Hacker, die ihre Erkenntnisse dem Hersteller bekannt gegeben haben und durch dieses Vorgehen auf die Auswirkungen von solchen Angriffen hinweisen wollten.

Den beiden Angreifern, Charlie Miller und Chris Valasek, war es gelungen, das Standard-WLAN-Passwort in nur 32 Sekunden zu knacken. Dadurch erhielten sie Zugriff auf das Multimedia-Steuergerät, die sogenannte Head Unit, und konnten dort eine manipulierte Firmware aufspielen. Diese Software ermöglichte es den Angreifern, über die Mobilfunkschnittstelle und somit über das Internet auf die Head Unit zuzugreifen. So konnten die Hacker fahrzeugrelevante Befehle über das Internet an das Auto senden. Es war ihnen möglich, nicht nur das Radio, die Lüftung oder die Waschanlage zu aktivieren, sondern sogar den Motor abzustellen oder in speziellen Fällen die Bremsen zu deaktivieren [7].

Dieser und weitere Vorfälle sowie die Tatsache, dass die zunehmende Anzahl an Kommunikationsschnittstellen die potenziellen Angriffsflächen für Hacker im Auto kontinuierlich erhöht, führten dazu, dass Cybersecurity in der Automobilindustrie immer wichtiger wird. Deshalb hat die Europäische Union über die Arbeitsgruppe 29 (WP.29) spezielle neue Regularien entwickelt und im Jahr 2021 veröffentlicht: die UNECE (United Nations Economic Commission for Europe) R155 [8] und R156 [9].

Die UNECE R155 konzentriert sich dabei auf die Implementierung eines CSMS. Solche Systeme sind ausschlaggebend für die Produktentwicklung sowie das Incident Response Management über den gesamten Fahrzeuglebenszyklus hinweg. Die UNECE R156 konzentriert sich auf Software-Updates. Die Richtlinie verlangt ein dediziertes Software-Update-Management-System (SUMS) sowie regelmäßige Security Assessments. Die Regularien wurden im Juni 2020 beschlossen und waren ab 2021 gültig. Seit Juli 2022 sind sie notwendig für alle im Geltungsbereich (derzeit 54 Länder) neuentwickelten Fahrzeugtypen, ab Juli 2024 dann für alle Neuzulassungen.

Im Einzelnen verlangt die UNECE R155 folgende Punkte von Automobilherstellern und Zulieferern:

1. Risikomanagement: Ein Unternehmen nutzt Prozesse zur Risikoerkennung, Risikobewertung und Risiko-minderung von Cybergefahren.
2. Das Risikomanagement deckt den gesamten Produktlebenszyklus ab – von der Entwicklung bis zur Betriebsphase beim Endkunden.
3. Monitoring von neuen Schwachstellen und bekannten Angriffen, um mit neuen Updates reagieren zu können.
4. Zertifizierung durch ein unabhängiges Assessment eines akkreditierten Prüfinstituts (zum Beispiel TÜV).

Die UNECE R155 gibt außerdem vor, dass im Falle von Cyberzwischenfällen mittels eines Incident Managements reagiert werden muss. Das bedeutet, dass zum Beispiel Cybergefahren per Softwareupdate (Vulnerabilitäten, Bugs) behoben werden müssen. Dieser Softwareupdateprozess wird über die Vorschrift UNECE R156 geregelt.

Auch die beiden Organisationen Society of Automotive Engineering (SAE) und die International Organization for Standardization (ISO) haben gemeinsam eine Industrienorm für Cybersicherheit im Fahrzeug entwickelt. Die ISO/SAE 21434 wurde im Jahr 2021 veröffentlicht und ist ein Werkzeug, um ein CSMS zu implementieren. Die grundlegende Herangehensweise ist „Security by Design“, also bereits in der Produktentwicklung möglichst früh mit der Implementierung von Cybersecurity-Maßnahmen zu starten. Die Regularien geben auch vor, dass das CSMS ein Cybersecurity-Monitoring über den gesamten Produktlebenszyklus bereitstellt. Das bedeutet, dass von der Entwicklung über die Produktion bis zum Ende der Lebensdauer eines Fahrzeugs die Einflüsse von möglichen Schwachstellen oder Cyberangriffen berücksichtigt werden müssen. Um Cybergefahren abschätzen und einordnen zu können, schlägt die ISO/SAE 21434 eine Risikoanalyse vor, wie sie auch in anderen Sparten, beispielsweise aus der IT oder der Industrie, bekannt ist: eine Threat Analysis und Risk Assessment (TARA). Diese soll helfen, anhand von Risikoabschätzungen einerseits potenzielle Gefahren frühzeitig zu erkennen und andererseits in späterer Folge implementierte Gegenmaßnahmen und ihre Auswirkungen entsprechend zu bewerten.

Durch ein unabhängiges Assessment einer akkreditierten Prüfstelle, etwa dem TÜV, kann ein Unternehmen die installierten Prozesse prüfen lassen und auf diesem Wege eine Zertifizierung erhalten. Für die Produktentwicklung von neuen Fahrzeugen bedeuten diese Vorschriften, dass schon in der frühen Phase der Entwicklung ein zusätzlicher Fokus auf das Thema Cybersecurity gelegt werden muss. In regelmäßigen Abständen müssen TARAs durchgeführt werden, um möglichst früh in der Entwicklung die passenden Anforderungen an Komponenten definieren zu können. Im Zuge der Fahrzeugentwicklung müssen die implementierten Anforderungen in Bezug auf Cybersecurity getestet und integriert werden. Die gesamte Implementierung sowie das Testing müssen anhand der Prozesse des CSMS dokumentiert werden, denn diese Dokumentation ist in weiterer Folge die Grundlage für die Cybersecurity-Zulassung des Fahrzeugs, die sogenannte Homologation. Das bedeutet, dass ein aktuell neu entwickeltes Fahrzeug nicht mehr ohne Cybersecurity-Maßnahmen zugelassen wird.

Der Automobilzulieferer und Entwicklungspartner Magna verfügt als eines von wenigen Unternehmen weltweit bereits über eine CSMS-Zertifizierung nach ISO/SAE 21434 [10]. Die langjährige Erfahrung von Magna in der Gesamtfahrzeugentwicklung ermöglicht es, das Thema Cybersecurity gemäß dem „Security by Design“-Ansatz durch den kompletten Entwicklungsprozess und durch alle Ebenen von der Komponenten- über die System- bis zur Gesamtfahrzeugebene umzusetzen und ins Fahrzeug zu integrieren.

Bei der Implementierung von Cybersecurity-Maßnahmen müssen in der Produktentwicklung von Anfang an TARAs durchgeführt werden. Der Standard ISO/SAE 21434 gibt hierzu zwar die generellen Werkzeuge vor, jedoch liegt dabei der Fokus auf der Risikobetrachtung von (Teil-)Systemen oder Komponenten. Möchte man diese Werkzeuge für ein gesamtes Fahrzeug anwenden, das aus vielen Teilsystemen und Komponenten besteht, muss das CSMS dahingehend erweitert werden.

Hier hat Magna durch intensive Vorbereitungen die erforderlichen Prozesse definiert, um die TARA auf unterschiedlichen Ebenen durchzuführen. Dadurch erreicht man eine konsistente Cyberrisikoanalyse basierend auf dem Gesamtfahrzeug und kann in der Folge in einem „Top-down-Ansatz“ die Cybersecurity-Anforderungen für alle geplanten Fahrzeugkomponenten definieren, während das Gesamtfahrzeug ständig im Blick bleibt.
Die Zulieferer müssen ihrerseits ebenfalls eine TARA ihrer Komponenten durchführen und bei Auslieferung bestätigen, dass alle Anforderungen korrekt implementiert wurden.

Magna fügt in der Folge alle Komponenten zu einem Gesamtsystem zusammen und führt alle notwendigen System- und Integrationstests durch. So kann am Ende garantiert werden, dass das gesamte Fahrzeug den UNECE R155 Regularien entspricht und auch die entsprechende Cybersecurity-Zulassung bekommt.

Die rasant voranschreitende technische Entwicklung trifft auch die Automobilindustrie. Zahlreiche neue Features und Kommunikationsschnittstellen verwandeln das moderne Auto zunehmend in einen mobilen Computer. Deshalb ist Cybersecurity auch auf Basis von Regularien von nun an essenzieller Bestandteil in der Entwicklung von Fahrzeugen.[/vc_column_text][vc_single_image image=“33353″ img_size=“large“ add_caption=“yes“][ult_createlink title=“Zu den Literaturangaben“ btn_link=“url:https%3A%2F%2Fbit.ly%2F418QJbi|target:_blank“][/vc_column][/vc_row][vc_row][vc_column][ult_dualbutton btn_hover_style=“Style 2″ btn_border_style=“solid“ btn_color_border=“#ffffff“ btn_border_size=“2″ btn_alignment=“left“ dual_resp=“off“ button1_text=“Einzelheft kaufen“ icon_link=“url:https%3A%2F%2Fwww.im-io.de%2Fproduct%2Fmetaverse%2F|title:Metaverse%2C%20NFTs%20%26%20Cryptos|target:_blank“ btn1_background_color=“#f3f3f3″ btn1_bghovercolor=“#f07d00″ icon=“Defaults-book“ icon_size=“22″ icon_color=“#f07d00″ icon_hover_color=“#ffffff“ button2_text=“Jetzt abonnieren“ btn_icon_link=“url:https%3A%2F%2Fwww.aws-institut.de%2Fim-io%2Fabo%2F|title:Abo||“ btn2_background_color=“#f3f3f3″ btn2_bghovercolor=“#f07d00″ btn_icon=“Defaults-chevron-right“ btn_icon_size=“22″ btn_icon_color=“#f07d00″ btn_iconhover_color=“#ffffff“ divider_text=“oder“ divider_text_color=“#f07d00″ divider_bg_color=“#ffffff“ btn1_text_color=“#f07d00″ btn1_text_hovercolor=“#ffffff“ btn2_text_color=“#f07d00″ btn2_text_hovercolor=“#ffffff“ title_font_size=“desktop:20px;“ btn_border_radius=“30″ title_line_ht=“desktop:22px;“ btn_width=“280″][/vc_column][/vc_row]

LinkedIn
WhatsApp
Telegram
Facebook

Related Posts

The Moral Compass of the Mind

Gemeinsame globale Standards: Die UNESCO-Empfehlung als ethischer Kompass für KI

Image 2: Co-founders in front of W7-X2. (Proxima Fusion)

Fusion: The Final Frontier. These are the voyages of the next-generation stellarator reactors

Eintritt Campus Schwarzwald gGmbH

Vom Köhlerhandwerk zur KI-Forschung: Die neue Innovationslandschaft im Schwarzwald

Green city

Mit Moos mehr los: Wie Biofilter und Daten die Städte entlasten

Data Raining Wald

It’s Raining Data: Wasserprognosen gewinnen an Präzision

Labyrinth und Hand. Lösungen.

Repair Culture für Bauwerke: Diagnostik, die tief unter die Oberfläche reicht

  • 1. September 2023

August-Wilhelm Scheer Institut

Entdecken Sie unsere neusten Ausgaben

Digital. Grün. Mobil.

Artikel entdecken