HINTERGRUND

Fahrzeugsysteme kommunizieren mit ihrer Umgebung über verschiedene Schnittstellen der gängigen Infrastruk-turen für Datenkommunikation, wie GSM, GPRS, UMTS, WLAN, Bluetooth oder auch über diverse Car-to-Car-Kom-munikationskonzepte. Als Treiber dieser Entwicklung können speziell im Nutz-fahrzeug-Umfeld folgende Applikationen beziehungsweise Dienste genannt werden: : Fernsteuerung von Fahrzeugfunktio-

nen über abgesetzte mobile User- Terminals (zum Beispiel Smartphones oder Tablet-Computer)

: Mauterhebung : Navigation : Flottenmanagement : Fahrzeugmanagement : Sicherheitssysteme.Die Anzahl solcher Dienste wird weiter ansteigen – und damit die Bedrohung, dass derartige Systeme durch Manipula-tionen beeinträchtigt werden oder dass

ein Datenmissbrauch stattfindet. Vor diesem Hintergrund ist die IT-Sicherheit ein essentieller Punkt des sogenannten vernetzten Fahrzeugs.

Es gilt, valide Daten sicherzustellen, damit Funktionen nicht manipuliert werden können. Die Datensicherheit hängt dabei sehr stark von den gewähl-ten Architekturen ab. Es geht darum, Autorisierungsmöglichkeiten zu schaf-fen und Sicherheitselemente für die Interaktion zwischen Fahrer, Geräten und Fahrzeug zu implementieren, um Schad-Software oder Viren abzuwenden. Gleichzeitig muss der Aufwand für Wartbarkeit durch den Endbetreiber (zum Beispiel den Speditionsbetrieb) in einem vernünftigen Maß gehalten werden.

INTEGRATION VON FAHRZEUGEN IN GLOBALE IT-INFRASTRUKTUREN

Zum Leistungsbereich Automotive-Con-nectivity gehört die Vernetzung des Fahrzeugs mit seiner Umwelt ebenso wie

AUTOREN

DIPL-ING. HELMUT VISEList Teamleiter und verantwortlich für

Elektronikentwicklung, Elektronik-integration und Software-Validierung

mit Schwerpunkt Nutzfahrzeug bei der Bertrandt Technikum GmbH

in Ehningen.

SABRINA WINKELMANNist Diplomandin und arbeitet im

Themenfeld Fahrzeugspezifische IT-Sicherheit bei der

Bertrandt Technikum GmbH in Ehningen.

DATENSICHERHEIT IM VERNETZTEN LKW Automobile Systeme bestehen aus komplexen, verteilten Strukturen mit einer Vielzahl von elektronischen Steuer-

geräten. Die lokale, fahrzeugseitige Vernetzung der Komponenten tritt hier zunehmend in den Hintergrund. Denn

heute ist eine wachsende Tendenz in Richtung globaler Vernetzung zu verzeichnen. Speziell im Nutzfahrzeug-

umfeld werden diverse Applikationen eingesetzt, beispielsweise Echtzeit-Informationssysteme für Verkehrs- und

Wettersituationen. Parallel zur steigenden Anzahl dieser Dienste wächst allerdings das Bedrohungspotenzial.

IT-Sicherheit wird deswegen zu einem wichtigen Faktor im vernetzten Lkw. Am Beispiel einer Fernsteuerung von

Fahrzeugfunktionen zeigt Bertrandt mögliche Konzepte, um Datensicherheit in Systeme zu integrieren.

TITELTHEMA VERNETZUNG

Vernetzung

20

die nahtlose Integration von mobilen Endgeräten und Diensten. Kommunika-tion erfolgt heutzutage nicht nur zwi-schen den Komponenten im Fahrzeug, sondern mit der kompletten Fahrzeug-infrastruktur, den Fahrzeugen unterein-ander und dem Internet.

Auf der einen Seite können Fahrzeuge somit als Netzknoten in vielschichtigen Netzwerken angesehen werden. Auf der anderen Seite werden zwischen unter-schiedlichsten Endgeräten, beispiels-weise Tablet-PC und Fahrzeugsystemen, direkte Verbindungen implementiert, um Remote-Funktionen komfortabel und ortsunabhängig zu realisieren. Stellver-tretend für die Vielzahl möglicher Fern-steuerungsfunktionen, auf die der Fahr-zeugführer eines Nutzfahrzeugs über sein Tablet-PC zugreifen kann, sind hier einige Beispiele genannt: : Niveauregulierung der Ladefläche : Beleuchtungs- und Signalfunktionen : Steuerung von Anbausystemen wie

Manipulatoren, Kranauslegern, Seilwinden.

MOTIVATION: WARUM IT-SICHERHEIT?

Erfahrungen haben gezeigt, dass neue Informationstechniken auch immer der steigenden Gefahr durch Angriffe mit erheblichem kriminellem Energiepoten-zial ausgesetzt ist. Hacker versuchen, in neue Systeme einzudringen, deren Funk-tionsweisen zu beeinflussen sowie uner-laubt Daten abzugreifen. Durch derartige Eingriffe steigt die Gefahr von Fehlfunkti-onen. Ist eine sicherheitsrelevante Kompo-nente oder Software-Funktion betroffen, können im schlimmsten Fall Menschen zu Schaden kommen. Aber auch generell kann eine Fehlfunktion einen Imagever-lust sowie signifikante finanzielle Einbu-ßen bedeuten, da die Systeme sicherheits-technisch nachgerüstet werden müssen.

LÖSUNGSANSÄTZE

Neben einer sicheren Funkverbindung zwischen Bedienterminal und Fahrzeug ist eine sichere Datenverbindung not-

wendig. Erstere wird durch eine WLAN-Verbindung nach dem Standard IEEE 802.11 unter Verwendung von WPA2 dar-gestellt. Zweitere wird als VPN alternativ unter Verwendung von IPsec oder Open-VPN realisiert. IPsec ist in zahlreichen RFCs dokumentiert und stellt einen inter-nationalen Standard dar, der aus einer Erweiterung des klassischen Internetpro-tokolls hervorgeht. Bei OpenVPN handelt es sich um eine unter GNU GPL frei ver-fügbare Open-Source-Software.

Auf Basis des OSI-Modells lassen sich die beiden Alternativansätze über Open-VPN beziehungsweise IPsec wie folgt dar-stellen: Die obersten drei Schichten des OSI-Modells sind bei beiden Ansätzen der Anwendung zugeordnet und werden hier nicht weiter betrachtet. Erwähnt werden muss allerdings, dass die Applikationen entsprechend den Anforderungen der funktionalen Sicherheit nach den Stan-dards ISO 26262 beziehungsweise IEC 61508 zu entwickeln sind.

Unterhalb der Anwendungsebene folgt die VPN-Technik OpenVPN, ➊. Mittels

21 04I2014 9. Jahrgang

Vernetzung

TLS gewährleistet OpenVPN eine sichere Kommunikation. TLS fügt eine zusätzli-che Schicht zwischen der Transport-ebene und der Anwendung ein. ① macht deutlich, dass diese zusätzliche Schicht aus fünf Teilprotokollen besteht.

Das klassische Internetprotokoll ist in Schicht 3 angesiedelt, ➋. Wahlweise kann in dieser Schicht unter Einsatz von IPsec ebenfalls ein VPN realisiert werden. In Schicht 4 werden über das Transportprotokoll UDP die Schlüssel ausgetauscht. Die beiden untersten Schichten sind sowohl beim OpenVPN-Ansatz als auch beim IPsec-Ansatz dem WLAN zugeordnet. Auf der untersten Schicht, der Physical Layer, erfolgt die Übertragung der Informationen auf dem physikalischen Medium.

WLAN IM FOKUS

Das WLAN stellt einen hohen Risikofaktor für eine mögliche Kompromittierung der Verbindung zwischen Nutzfahrzeug und Client dar. Sobald ein Access Point (AP)

seine SSID durch Aussenden seiner Bea-con Frames bekannt gibt, kann sich jeder mit dem AP verbinden. Dies könnte auch unterbunden werden, indem am AP das Aussenden der SSID verhindert wird. Die-ses Vorgehen bietet jedoch keinen ausrei-chenden Schutz, da ein potenzieller Angreifer die SSID mit entsprechenden Werkzeugen trotz allem detektieren kann.

Um dem hohen Schutzbedarf gerecht zu werden, wird eine Absicherung mit-tels WPA2 empfohlen. Aber auch ein durch WPA2 abgesichertes WLAN birgt Gefahren. Problematisch ist der WPA2-Handshake. Er ermöglicht einem Angrei-fer, einen Handshake während des Ver-bindungsaufbaus aufzuzeichnen und diesen zu entschlüsseln. Wurde ein Handshake aufgezeichnet, bleibt ausrei-chend Zeit, diesen zu entschlüsseln. Umso wichtiger ist eine zusätzliche Absi-cherung über ein VPN. Gerade in einem Bereich, in dem neben wirtschaftlichen auch personelle Schäden drohen, ist ein zuverlässiges und umfassendes Sicher-heitskonzept essentiell.

VPN AUF BASIS IPSEC UND OPENVPN IM FOKUS

IPsec ist ein von der IETF entwickelter Standard zur Verschlüsselung von IP-Paketen. Seine Bestandteile sind AH (Authentication Header) und ESP (Encapsulating Security Payload). Eng verbunden mit IPsec ist IKE (Internet Key Exchange) – ein zusätzliches Proto-koll, das für den Schlüsselaustausch und das Management von Sicherheitsassozia-tionen verantwortlich ist. OpenVPN hin-gegen ist eine freie Software unter der GNU GPL.

Die generellen Schutzziele eines VPN lassen sich mit Authentizität, Vertrau-lichkeit und Integrität beschreiben.

AUTHENTIZITÄT

Der sichere Betrieb eines VPNs ist abhängig von einer guten Authentifizie-rung. Diese kann mittels Zertifikaten oder Pre-Shared Keys erfolgen. Zertifi-kate erfordern den Aufbau einer PKI (Public-Key-Infrastruktur). Dabei handelt es sich um ein kryptografisches System, das es ermöglicht, digitale Zertifikate zu erzeugen, zu verwalten, aufzubewahren, zu verteilen und zu widerrufen. Die Ver-wendung einer PKI unterliegt einem hohen organisatorischen und techni-schen Aufwand. Eine weitere Möglich-keit ist die Autorisierung mit Pre-Shared Keys. Es handelt sich dabei um einen symmetrischen Schlüssel, der auf beiden Endpunkten gleich ist.

Ist eine fundierte Organisation gege-ben, kann sicherheitstechnisch gesehen bei IPsec beides verwendet werden. Anders als bei IPsec handelt es sich bei dem Pre-Shared Key von OpenVPN um einen statischen Schlüssel, mit dem die Daten verschlüsselt werden. Ein Verbin-dungsaufbau mit Handshake, um geheime Sitzungsschlüssel zu generie-ren, findet nicht statt. Die Daten werden also konsequent mit demselben Schlüs-sel kodiert. Daher ist sicherheitstech-nisch von diesem Modus abzuraten. Werden Pre-Shared Keys verwendet, so sollte es pro Fahrzeug einen Schlüssel geben. Diejenigen Clients, die mit mehre-ren Fahrzeugen kommunizieren, erhal-ten in diesem Fall mehrere Konfiguratio-nen zugewiesen, ➌.

Sollte Client 1 kompromittiert werden, so muss die Konfiguration nur auf den Fahrzeugen 1 und 2 geändert werden.

➋ WLAN und IPsec im OSI-Modell

➊ WLAN und OpenVPN im OSI-Modell (Erläuterungen der Abkürzungen siehe ④)

TITELTHEMA VERNETZUNG

22

Eine andere Möglichkeit wäre, den Schlüssel an den Client zu binden. Da der Key jedoch mehreren Fahrzeugen zugeordnet ist, müssten auch bei dieser Betrachtung mehrere Steuergeräte geändert werden. Eine Konfiguration pro Fahrzeug hat den Vorteil, dass wei-tere Clients hinzugefügt werden kön-nen, ohne die Konfiguration am Fahr-zeug zu ändern. Wird ein Client kom-promittiert, müssen die Pre-Shared Keys auf allen kommunizierenden End-geräten ausgetauscht werden. Bei einem Steuergerät lässt sich diese Änderung unter Umständen nur am Diagnosegerät einer Fachwerkstatt durchführen. Von diesem Aspekt aus betrachtet sind Zertifikate vorteilhaf-ter. Hier bekommt jedes Gerät ein per-sönliches Zertifikat. Muss ein Zertifikat gesperrt werden, erfolgt dies mittels einer Zertifikatssperrliste, die allen Geräten mitgeteilt werden muss.

VERTRAULICHKEIT

Vertraulichkeit steht für den Schutz der vertraulichen Informationen vor unbe-rechtigter Kenntnisnahme. Die eigentli-che Verschlüsselung findet symmetrisch statt. Beide Kommunikationspartner haben einen identischen Schlüssel, der zuvor dynamisch berechnet wurde und in regelmäßigen Abständen erneuert wird. Das Brechen eines einzelnen Sit-zungsschlüssels liefert nur Zugang zu den Daten der betroffenen Nachricht, nicht aber zu anderen Nachrichten oder Schlüsseln. Dies wird erreicht, indem Sitzungsschlüssel regelmäßig erneuert werden und einzelne Schlüssel nicht voneinander abgeleitet sein dürfen.

INTEGRITÄT

Die Integrität der Daten wird bei beiden Techniken mit Hash-Funktionen sicher-gestellt. Das Prinzip basiert auf dem Mit-senden von Kontrollinformationen, mit denen ein Empfänger die Unverfälscht-heit einer Nachricht kontrolliert. Die Informationen werden mittels eines mathematischen Algorithmus aus einer Nachricht erzeugt.

FAZIT

Um sicherheitsrelevante Fernsteuerungs-funktionen zu schützen, bedarf es eines mehrstufigen Sicherheitskonzepts. WLAN mit WPA2 auf unterster Ebene allein ist nicht ausreichend. Zusätzlich ist eine VPN-Struktur mit entsprechenden Sicher-heitsmechanismen vorzusehen. Nur so kann ein ausreichender Schutz vor bös-willigen Angriffen gewährleistet werden.

Im Rahmen einer Testimplementie-rung von IPsec und OpenVPN wurden beide Konzepte miteinander verglichen. Die Schutzziele eines VPN werden von IPsec und OpenVPN gleichermaßen erreicht. Beim Performancetest hat Open-VPN etwas schlechter abgeschnitten. Das liegt am größeren Overhead und am zeit-lich anspruchsvolleren Verbindungsauf-bau. Im Gegensatz dazu ist IPsec deut-lich komplexer. Es müssen eine größere Anzahl an Hürden bewältigt werden, bis zwei Systeme miteinander kommunizie-ren können. Bei IPsec handelt es sich um einen Standard, der von Experten in zahlreichen RFCs dokumentiert ist. Die-ser Sachverhalt vereinfacht die Entwick-lung einer VPN-Technik für ein Automotive-Steuergerät.

➌ Konfigurations-Mapping zwischen Fahrzeugen und Endgeräten (Clients)

LEGENDE FÜR BILDER 1 BIS 3

AH Authentication Header

AP Access Point

ECU Electronic Control Unit

GNU GPL GNU General Public License

GPRS General Packet Radio Service

GSM Global System for Mobile Communications

IEC International Electrotechnical Commission

IEEE Institute of Electrical and Electronics Engineers

IETF Internet Engineering Task Force

IKE Internet Key Exchange

IP Internet Protocol

IPsec Internet Protocol Security

IPv4 Internet Protocol Version 4

IPv6 Internet Protocol Version 6

ISO International Organisation for Standardisation

IT Information Technology

MAC Media Access Control

OEM Original Equipment Manufacturer

OSI Open Systems Interconnection

PC Personal Computer

PFS Perfect Forward Secrecy

PKI Public Key Infrastructure

RFC Requests for Comments

SSID Service Set Identifier

SSL Secure Sockets Layer

TCP Transmission Control Protocol

TLS Transport Layer Security

UDP User Datagram Protocol

UMTS Universal Mobile Telecommunications System

VPN Virtual Private Network

WLAN Wireless Local Area Network

WPA2 Wi-Fi Protected Access 2

READ THE ENGLISH E-MAGAZINEorder your test issue now: springervieweg-service@springer.com

DOWNLOAD DES BEITRAGSwww.springerprofessional.de/ATZelektronik

➍ Erläuterungen der Abkürzungen

23 04I2014 9. Jahrgang