Suchen

Separierung, Sicherheit und das vernetzte Auto

| Autor / Redakteur: Lee Cresswell * / Franz Graser

Die Sicherheitsnorm ISO 26262 sieht vor, dass kritische Funktionen im Auto nicht von weniger kritischen beeinträchtigt werden dürfen. Um dies im vernetzten Auto zu erreichen, sind Separationstechniken nötig.

Ob Elektromobil oder vernetztes Auto: Software-Sicherheitskonzepte setzen auf Separationstechniken.
Ob Elektromobil oder vernetztes Auto: Software-Sicherheitskonzepte setzen auf Separationstechniken.
(Bild: Clipdealer)

Wer diesen Artikel liest, den wird man nicht von der Größe, Schwere und Ernsthaftigkeit der Sicherheitsfragen im Zusammenhang mit vernetzten und potentiell fahrerlosen Fahrzeugen zu überzeugen brauchen. Die Prozessnorm ISO 26262 beschreibt in Teil 6 "Produktentwicklung: Softwareebene" einen automobilspezifischen risikobasierten Ansatz um Integritätslevel festzulegen [Automotive Safety Integrity Levels (ASIL)]”. Das Prinzip der Zuweisung von ASILs für verschiedene Systeme im Fahrzeug impliziert die Annahme einer Trennung, so dass die meisten kritischen Systeme eines Fahrzeugs nicht durch anderweitige minder kritische Funktionen beeinträchtigt werden können.

Bildergalerie

Bisher war das auch in Ordnung. Motorsteuergeräte (ECUs) hatten ihre lokale Funktion zu erfüllen – Motorsteuerung, ABS, usw. Ein zunehmend holistisches Fahrzeugsteuerungskonzept bedeutete jedoch immer mehr Interaktion zwischen allen Modulen.

Als simples Beispiel dieser Interaktion mag ein Automatikgetriebe dienen, wobei der Motor dem Getriebe seine Drehzahl zu übermitteln hat, das Getriebe wiederum anderen Modulen, wenn ein Gangwechsel erfolgt. Bisher wurde derartige Kommunikation mit herkömmlichen Kabelbäumen bewerkstelligt. Doch als mit Tempomat und ABS immer mehr ähnliche Interaktionen notwendig wurden, wurde diese Aufgabe unmöglich komplex.

Die Antwort auf dieses Problem bestand in der Entwicklung von Fahrzeugnetzwerken, üblicherweise im in der Form eines Controller Area Network (CAN). Dieses Netzwerk fungiert als Medium für den Datenaustausch und erlaubt eine einheitliche Bordnetz-Architektur unabhängig von individuellen Fahrzeugoptionen, so dass die passenden Module quasi einfach eingesteckt werden können.

Solange das Fahrzeug von der Außenwelt isoliert war, stellte eine Konnektivität zwischen verschiedenen Modulen nur eine geringfügige Bedrohung der Fahrzeugsicherheit dar. Waren die Kommunikationsmechanismen eines solchen Netzwerks einmal erwiesenermaßen nicht dazu in der Lage, die Integrität irgendeines auf sie zugreifenden Systems zu kompromittieren, galten diese Systeme als separiert und demnach konform mit den Prinzipien des ISO 26262.

Mit dem vernetzten Auto wurde alles anders. Externe Zugriffsmöglichkeiten bergen ein Potential für böswillige Einflüsse von Außen auf jede Schwachstelle oder Angriffsoberfläche. Solche Angriffsoberflächen stellen selbst in einem niedrig- oder nicht-kritischen System ein signifikantes Risiko dar, weil die Verfügbarkeit des vormals gutartigen Netzwerks geradezu ein Portal zu höchstmöglichen ASIL-Systemen darstellt.

Drastisch formuliert: Wenn jemand Ihr Auto-Infotainment-System angegriffen hat, heißt das noch lange nicht, dass nicht auch die Bremsen mit betroffen sein könnten. Damit ist klar. dass ein vernetztes Auto niemals so sicher sein wird wie ein unvernetztes. Um als sicher und konform mit den Prinzipien von ISO 26262 gelten zu können, ist es unbedingt erforderlich, die Angriffsoberflächen zu minimieren und die Systeme optimal voneinander zu trennen.

Artikelfiles und Artikellinks

(ID:44602403)