Die Automobilindustrie steht vor einer grundlegenden Transformation. Mit der Einführung von Software Defined Vehicles (SDVs) werden Fahrzeuge immer stärker durch Software geprägt, was eine Vielzahl neuer Möglichkeiten eröffnet – aber auch erhebliche Risiken birgt. Die zunehmende Vernetzung, die massive Erhebung von Daten und die fortschreitende Automatisierung bringen neue Herausforderungen im Bereich Cybersicherheit, Datenschutz und technologischer Verantwortung mit sich.
Die Ära der Software Defined Vehicles
In den vergangenen fünf Jahren hat sich der Begriff „Software Defined Vehicle“ fest in der Automobilindustrie etabliert. Obwohl keine einheitliche Definition existiert, besteht Einigkeit über einige zentrale Merkmale. Diese basieren stark auf der Konnektivität der Fahrzeuge und der Integration von Cloud-basierten Backend-Systemen.
Abbildung 1: Dank SDV erstreckt sich die Entwicklungsumgebung eines Fahrzeugs außerhalb des Embedded Bereichs (Quelle: msg for automotive)
Dank dieser Konnektivität können Fahrzeuge unter anderem ihre Software over the air (OTA) aktualisieren oder sogar neue Funktionalitäten erhalten, ohne dass Werkstattbesuche erforderlich sind. Dies eröffnet völlig neue Möglichkeiten: Funktionen können nachträglich hinzugefügt, aktiviert oder deaktiviert werden, was flexible Pay-per-Use-Modelle gestattet. Die vernetzten Fahrzeuge sammeln zudem große Mengen an Daten, die zusammen mit Informationen aus der Infrastruktur und mobilen Endgeräten völlig neue Anwendungen ermöglichen.
Diese Entwicklung steigert nicht nur die Verkehrssicherheit durch präzise Vorhersagen von Gefahrensituationen, sondern verwandelt das Auto in ein vielseitiges IoT-Gerät. Von der Straßenüberwachung über die Erfassung biometrischer Daten bis hin zu kontaktlosen Bezahlsystemen für Ladestationen, Mautgebühren oder Streaming-Dienste – die Einsatzmöglichkeiten scheinen grenzenlos.
Hacker-Alarm!
Mit der wachsenden Bedeutung der Software und deren Komplexität steigt auch das Risiko von Cyberangriffen. Hacker können sich unbefugten Zugang zu gesperrten Funktionen verschaffen, sensible Nutzerdaten abgreifen oder Fahrzeuge ohne physischen Einbruch stehlen. Ein erfolgreicher Angriff kann nicht nur den Ruf eines Herstellers nachhaltig schädigen, sondern in vernetzten Verkehrssystemen auch weitreichende gesellschaftliche Folgen haben. Besonders alarmierend ist die Möglichkeit, dass Angreifer Zugriff auf sicherheitskritische Systeme wie Antrieb, Bremsen oder Lenkung erlangen könnten.
Die Automobilhersteller stehen daher vor einer enormen Herausforderung: Die vielfältigen Möglichkeiten und Use Cases in SDVs so zu integrieren, dass gleichzeitig Flexibilität und Security gewährleistet werden – und das immer unter Einhaltung von wirtschaftlichen Aspekten und dem in der Automobilindustrie traditionell hohen Kostendruck. Dabei müssen sie sorgfältig abwägen, welche Funktionen für ihre Kunden den größten Mehrwert bieten und wie sie ihr System auch für Drittanbieter öffnen können. Den meisten Menschen ist die schiere Komplexität der Fahrzeugsoftware vermutlich nicht bewusst: Bereits jetzt „fahren“ in modernen Fahrzeugen über 100 Millionen Zeilen Code mit, Tendenz stark steigend. Dies bietet eine enorme Angriffsfläche, denn die Wahrscheinlichkeit, dass ein Angreifer Bugs mit Security-Bezug finden wird, ist hoch. Zum Vergleich: Die Software einer Boeing 737 besteht aus etwa 15 Millionen Lines Of Code und der Linux Kernel wird mit etwa fünf Millionen Lines Of Code bewertet.
Cybersicherheit als Zulassungsvoraussetzung
Angesichts dieser Bedrohungen investieren Automobilhersteller erheblich in Cybersicherheit – sowohl aus Eigeninteresse als auch aufgrund regulatorischer Anforderungen. Die neuen Normen ISO/SAE 21434 und 24089 sowie die dazugehörigen UNECE-Regelungen R155 und R156 erfordern ein umfassendes Cyber Security Management System (CSMS) und ein Software Update Management System (SUMS). Ohne Nachweis der Einhaltung dieser Regularien ist keine Fahrzeugzulassung mehr möglich.
Die ISO/SAE 21434 definiert dabei die technischen Anforderungen für das Risikomanagement über den gesamten Fahrzeuglebenszyklus hinweg. Die UNECE R155 fordert eine Zertifizierung des CSMS zur Identifikation und Bewältigung von Risiken, während die R156 die sichere Durchführung von Software-Updates regelt. Letzteres ist besonders wichtig, um die Fahrzeugflotte durch regelmäßige Over-the-Air-Updates mit sicherheitsrelevanten Patches aktuell zu halten.
Agile DevSecOps als Schlüssel zur Cybersicherheit
Die Hersteller reagieren auf diese Herausforderungen mit umfassenden Maßnahmen, um das sogenannte Security-Shift-Left zu erreichen – sowohl auf organisatorischer als auch auf technischer Ebene.
Auf der organisatorischen Ebene überarbeiten sie ihre internen Prozesse, investieren in robuste Managementsysteme (insbesondere TISAX, ISMS, ASPICE) und gehen strategische Partnerschaften mit Technologieanbietern ein.
Die Integration von agilen Methoden und DevSecOps in der Softwareentwicklung im Automobilbereich unterstützt insbesondere die Umsetzung der regulatorischen Anforderungen optimal. Agile Entwicklungsteams können in kurzen Iterationen arbeiten und Sicherheitsaspekte von Beginn an berücksichtigen. DevSecOps ergänzt diesen Ansatz durch die Integration von umfangreich automatisierbaren Sicherheitspraktiken in jeder Phase des Entwicklungszyklus. So können z.B. statische (SAST) und dynamische (DAST) Source-Code-Analysen in die CI/CD-Pipelines integriert werden und damit auch bekannte Security-Schwachstellen (CVE) in den verwenden Open-Source Bibliotheken gefunden werden.
Parallel dazu fördern Automobilhersteller durch Schulungen und Sensibilisierungsprogramme eine unternehmensweite Cybersecurity-Kultur. Denn nur wenn alle Mitarbeiter ein notwendiges Awarenessniveau haben, proaktiv handeln können, und potenzielle Risiken erkennen, kann die Entwicklung sicherer Fahrzeuge gelingen. Die Sicherheit eines Systems ist immer so gut wie ihr schwächstes Glied – das gilt ebenso für die Sicherheit von Fahrzeugen und mit ihrer verbundenen Infrastruktur.
Technologie als Schlüssel zum sicheren Fahrzeug
Natürlich basiert die Sicherheit von SDVs nicht nur auf Prozessen und der Awareness der Mitarbeiter in der Entwicklung. Am Ende braucht es richtig platzierte Security Features, dedizierte Hardware, die das Sicherheitsniveau fördern, wie z.B. Hardware Security Moduls (HSMs), eine robuste Architektur und nicht zuletzt die Erfahrung der Entwickler, um ein sicheres Fahrzeug bauen zu können.
State-of-the-Art Security-Lösungen (u. a. 2-way-TLS, OCSP, IPSec, PKI, …) und Automotive-spezifische Technologien (u .a. SFD[1], VKMS[2], SOK[3], …) werden selbstverständlich als Maßnahme für die erkannten Risiken implementiert. Zum Beispiel sind heutzutage verschiedene kryptographische Standards für Ver- und Entschlüsselung, Signierung und Verifikation in den Fahrzeugen selbstverständlich. Im Vergleich zu einer Cloudanwendung oder Smartphone-App ist der Einsatz teilweise durchaus komplexer – denkt man nur an die Hardwarelimitierung in Fahrzeugen und die unter Umständen sehr lange Lebensdauer (20+ Jahre) von Fahrzeugen im Vergleich zu einer einfachen App: Wie lange wird die eingesetzte Bibliothek wohl als sicher einzustufen sein? Wie lange wird sie vom Hersteller oder von der Community gepflegt und aktualisiert? Wie lange sind die benutzten Zertifikate gültig? Und noch viel spannender: Wie werden diese ausgetauscht, z. B. wenn das Fahrzeug in der Tiefgarage und somit offline ist?
Crypto-Agilität ist daher ein weit verbreitetes Muster: Es beschreibt die Möglichkeit Crypto-Algorithmen und -Protokolle während der Lebensdauer eines Fahrzeuges auszutauschen, z. B. wenn ein Algorithmus als unsicher betrachtet werden muss. In diesem Zusammenhang gewinnt die Post-Quanten-Kryptographie (PQC) insbesondere in der Automobilbranche an Einfluss – die Automobilhersteller werden vielleicht schon bald gezwungen sein, zum Tag X auf PQC-Algorithmen umzuschwenken – nämlich dann, wenn ein Quantencomputer in der Lage ist, die derzeitigen Crypto-Standards zu brechen.
Auch die Wahl der Programmiersprache kann essenziell sein, für die Sicherheit eines Fahrzeuges oder Steuergerätes: Mit dem Einsatz von neuen Sprachen wie Rust können z. B. viele der Sicherheitslücken herkömmlicher Sprachen wie C/C++ eliminiert werden.
Fazit
Trotz dieser Fortschritte bestehen weiterhin Herausforderungen. Eine davon ist das Fehlen einer Standardisierung und Methodik für die Kommunikation zwischen Fahrzeugen oder zwischen Fahrzeugen und der Infrastruktur (Car-to-X), um gegenseitiges Vertrauen (Trust) beim Austausch von Daten zu gewährleisten.
Zusammenfassend lässt sich sagen, dass Cybersecurity mittlerweile in der Automobilbranche angekommen ist. Der große „Hack“ ist bisher zum Glück noch ausgeblieben und es wurden noch keine ganzen Flotten von Fahrzeugen lahmgelegt. Cybersecurity bleibt jedoch eine der größten Herausforderungen in der Entwicklung von SDVs und wird in Zukunft sicherlich noch weiter an Fahrt aufnehmen (müssen).
Autor: Korbinian Pauli (Senior Consultant Automotive Cybersecurity) und Dr. Lorenzo Guerrasio (Lead Business Consultant), msg for automotive
[1] Sichere Fahrzeugdiagnose
[2] Vehicle Key Management System
[3] Sichere Onboard-Kommunikation