Mehrseitig sichere Ad-hoc-Vernetzung von Fahrzeugen || Schutzziele, Anwendungen und Angreifermodelle

KAPITEL 3

Schutzziele, Anwendungen undAngreifermodelle

Dieses Kapitel beschäftigt sich zuerst in Abschnitt 3.1 mit den für das VANET relevantenSchutzzielen und nimmt dann in Abschnitt 3.2 eine Kategorisierung der im VANET mögli-chen Anwendungen nach deren Schutzbedarf vor. Eine solche Kategorisierung nach Schutz-bedarf wurde bisher für das VANET noch nicht vorgeschlagen, ist aber für die später folgendeAuswahl geeigneter Schutzmechanismen sehr hilfreich.

Auch die an eine mehrseitig sichere VANET-Sicherheitsinfrastruktur gestellten Anforderun-gen (siehe Abschnitt 6.1) basieren auf den hier vorgestellten Schutzzielen und der vorgenom-menen Kategorisierung der Anwendungen. Das Kapitel schließt mit der Definition einigerAngreifermodelle in Abschnitt 3.3, die für spätere Bewertungen herangezogen werden kön-nen.

3.1 Schutzziele

Grundsätzlich kann man bei der Sicherheit informationstechnischer Systeme nach der Art derEreignisse unterscheiden, gegen die die ergriffenen Schutzmechanismen wirken sollen. Aufder ersten Ebene unterteilt man dabei zwischen beabsichtigten Angriffen, wie z.B. Abhören,Manipulation und Zerstören von Informationen, Software und/oder Hardware, und unbeab-sichtigten Ereignissen, wie z.B. höherer Gewalt, technischen Fehlern, Fahrlässigkeit, Program-mierfehlern, Verschleiß oder Havarien (vgl. z.B. [FP97], [Eck08]). Im Englischen werden dieBegriffe Security für beabsichtigte und Safety für unbeabsichtigte Ereignisse verwendet.

Safety: Safety beschäftigt sich hauptsächlich mit der Funktionssicherheit, d.h. die realisierteIst-Funktionalität eines Systems soll mit der spezifizierten Soll-Funktionalität übereinstimmen(vgl. [Eck08]). Das System soll also zuverlässig arbeiten und möglichst alle Gefährdungen fürdie Sicherheit der Umgebung des Systems ausschließen. Die zu schützende Umgebung desSystems im Fall des VANETs wären z.B. die Fahrzeugführer, andere Fahrzeuge, Passanten,

20 Kapitel 3 Schutzziele, Anwendungen und Angreifermodelle

Vertraulichkeit

Schutz der Kommunikationsinhalte

Anonymität

Unbeobachtbarkeit

Pseudonymität

Unverkettbarkeit

Sicherheit gegen unbefugten Gerätezugriff

Integrität und Zurechenbarkeit

Unabstreitbarkeit

Übertragungsintegrität

Abrechnungssicherheit

Verfügbarkeit

Ermöglichen von Kommunikation

Tabelle 3.1: Schutzziele vor beabsichtigten Angriffen nach [FP97]

Häuser usw. Zu den verwendeten Mechanismen gehören hauptsächlich Fehlertoleranz, z.B.durch redundant ausgeführte Systeme, und das Fail-Safe-Prinzip, nach dem das System beimAuftreten eines unvorhergesehenen oder nicht tolerierbaren Fehlers in einen sicheren, d.h. fürdie Umgebung ungefährlichen, Zustand gehen soll. Auch Maßnahmen beispielsweise gegenhohe Gesundheitsbelastung beim Betrieb des Systems fallen in den Bereich der Safety.

Security: Im Gegensatz dazu möchte man im Bereich der Security Gefährdungen für die Da-ten des Systems durch beabsichtigte Angriffe abwehren. Diese Arbeit folgt dem in der Litera-tur gängigen Verständnis, nach dem alle Schutzziele zum Schutz gegen beabsichtigte Angriffevollständig durch die drei grundlegenden Schutzziele Vertraulichkeit, Integrität und Verfüg-barkeit dargestellt werden können (vgl. z.B. [FP97], [Fed99], [Fed08], [Pfi00b]). Wie im Fol-genden genauer ausgeführt wird, lässt sich jedes andere Schutzziel als Teilaspekt eines derdrei genannten darstellen. Tabelle 3.1 aus [FP97] stellt die Schutzziele des Security-Bereichsund deren untergeordnete Schutzziele systematisch dar.

Da sich diese Arbeit mit der Kommunikationssicherheit im VANET beschäftigt, liegt derSchwerpunkt auf der Security. Die Safety wird nicht weiter betrachtet, wenngleich natürlichMaßnahmen der Safety wie z.B. die Redundanz auch die Verfügbarkeit im Sinne der Securityerhöhen können.

3.1.1 Vertraulichkeit

Nach [Pfi00b] bedeutet Vertraulichkeit, dass Daten und Informationen nur Berechtigten be-kannt werden. Damit ist einerseits der Schutz der Kommunikationsinhalte vor Unbefugtengemeint. Andererseits versteht man darunter auch die Geheimhaltung der Kommunikations-umstände bzw. –teilnehmer, welche sich mit Begriffen wie Anonymität, Unbeobachtbarkeit,

3.1 Schutzziele 21

Pseudonymität usw. umschreiben lässt. Auf beide Aspekte wird im Folgenden genauer einge-gangen.

Schutz der Kommunikationsinhalte

Außenstehende, die nicht an einer Kommunikation beteiligt sind, dürfen den Inhalt der aus-getauschten Nachrichten nicht erfahren. Wird in einem VANET z.B. ein entgeltlicher Infor-mationsdienst genutzt, möchte weder der Nutzer noch der Anbieter des Dienstes, dass dieübertragenen Informationen unbeteiligten (aber vielleicht interessierten) Dritten zugänglichwerden, die nicht für die Information bezahlen. Zum Schutz der Inhalte einer Kommunikationwerden in der Praxis meist symmetrische oder asymmetrische kryptographische Konzelations-systeme bzw. eine Kombination aus beiden (hybrides kryptographisches Konzelationssystem)verwendet (vgl. [FP97], [Sta02]).

Sicherheit vor unbefugtem Gerätezugriff

Da zum Schutz der Kommunikationsinhalte Geheimnisse (z.B. private Schlüssel) benötigtwerden, die irgendwo gespeichert werden müssen, ist im VANET auch die Sicherheit vorunbefugtem Gerätezugriff wichtig. Dieser Schutz ist, verglichen mit der Situation in anderenNetzen, relativ schwer zu erreichen, da Fahrzeuge und stationäre Knoten oft in periodischenoder für Angreifer vorhersehbaren Zeitabständen den persönlichen Vertrauensbereich verlas-sen (z.B. Bau eines Fahrzeugs, Reparaturen, Kundendienste, Polizeikontrollen, Wechseln vonFirmenfahrzeugen unter den Mitarbeitern eines Unternehmens usw.). Davon abgesehen ist essehr schwer den Vertrauensbereich überhaupt zu definieren, da im Prinzip jeder Angreifer seinkann (siehe Abschnitt 3.3). Abschnitt 4.3 diskutiert, wie ein Vertrauensbereich im VANETrealisiert werden kann.

Schutz der Privatsphäre

Der Schutz der Privatsphäre zielt, wie oben schon angedeutet, hier hauptsächlich auf die Ge-heimhaltung der Kommunikationsumstände bzw. –teilnehmer ab. Er ist im DatenschutzgesetzDeutschlands und in anderen Gesetzen und Urteilen fest verankert und rückt mit fortschreiten-der Entwicklung in der maschinellen Informationsspeicherung und -verarbeitung stärker in dasBewusstsein der Menschen. Offen sichtbare Überwachungskameras in den Innenstädten, Dis-kussionen über den polizeilichen Lauschangriff oder die Big-Brother-Phänomene tragen dazubei, dass die Menschen in Bezug auf den Schutz ihrer Privatsphäre wieder sensibler werden(vgl. z.B. [RH05c], [Wit08]).

Gesetzeslage: Als Beispiele für den neuerdings wieder gestärkten Anspruch auf den Schutzder Privatsphäre der Bürgerinnen und Bürger seien folgende Gesetze und Urteile aus der jün-geren Vergangenheit angeführt:


• Bundesdatenschutzgesetz (BDSG), § 1 Absatz 11: „Zweck dieses Gesetzes ist es, denEinzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenenDaten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

• Teledienstedatenschutzgesetz (TDDSG), § 4 Absatz 6: „Der Diensteanbieter hat demNutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unterPseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzerist über diese Möglichkeit zu informieren.“

• Das Autobahnmautgesetz sieht eine Zweckbindung der anfallenden Daten vor, die jedeandere Verwendung als für die Mautabrechnung ausdrücklich ausschließt. Es werdenallerdings immer wieder Forderungen nach einer Lockerung bzw. Aufhebung dieserZweckbindung für Strafverfolgungszwecke laut, denen bisher aber noch nicht endgültiggefolgt wurde (vgl. z.B. [Hei03], [Hei06d], [Hei06c], [Ott06], [Hei07a]).

• Das Bundesverfassungsgericht hat im Februar 2008 eine Klausel zur Ausforschung „in-formationstechnischer Systeme“ im nordrhein-westfälischen Verfassungsschutzgesetz,das erstmals in Deutschland verdeckte Online-Durchsuchungen erlaubte, für verfas-sungswidrig erklärt (siehe z.B. [Hei08a]). In diesem Zusammenhang hat das höchstedeutsche Gericht ein neues Grundrecht auf „Gewährleistung der Vertraulichkeit und In-tegrität“ informationstechnischer Systeme etabliert. Hans-Jürgen Papier, Präsident desBundesverfassungsgerichts, erklärte bei der Verkündung des Grundsatzurteils, dass die-ses Grundrecht zu den anderen Freiheitsrechten wie dem Schutz des Telekommunikati-onsgeheimnisses, dem Recht auf Unverletzlichkeit der Wohnung und der informationel-len Selbstbestimmung hinzu tritt [Hei08a]. [Lan08] führt aus, dass dieses Grundrechtallerdings nicht schrankenlos gewährleistet ist, sondern unter bestimmten strengen Vor-aussetzungen eingeschränkt werden darf. Diese Einschränkungen sind möglich, wennbestimmte höchstrangige Rechtsgüter in Gefahr sind und Vorgaben beachtet werden.Einerseits muss bereits die Erhebung kernbereichsrelevanter Daten soweit möglich ver-mieden werden, andererseits müssen solche Daten, sofern sie dennoch erhoben wurden,gelöscht werden (vgl. [Lan08]).

• Im März 2008 wurde die in Hessen und Schleswig-Holstein praktizierte massenhafteautomatische Erfassung von Autokennzeichen vom Bundesverfassungsgericht als nichtmit dem Grundgesetz vereinbar erklärt2. Die entsprechenden Regelungen in den Po-lizeigesetzen verletzten Autofahrer in ihrem Grundrecht auf informationelle Selbstbe-stimmung und seien verfassungswidrig, führten die Richter aus. Ein solcher Eingriffin die Grundrechte der Bürger sei nur auf Grundlage klarer Gesetze zulässig. So dürfe

1Im Volkszählungsurteil wurde vom Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung,d.h. das „Grundrecht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichenDaten zu bestimmen“ [Wit08], als Ausprägung des allgemeinen Persönlichkeitsrechts ausgelegt; vgl. [Sch00].

2Bei dem angegriffenen Scannen von KFZ-Kennzeichen werden auf ausgewählten öffentlichen Straßen alle Fahr-zeuge automatisch mit einer Videokamera ohne besonderen Anlass oder Verdacht erfasst. Das Nummernschildwird dann automatisch mit dem Fahndungsbestand der Polizei abgeglichen, in der Regel mit Dateien des Bundes-kriminalamts. [Hei08c]

3.1 Schutzziele 23

etwa die automatisierte Erfassung von Kraftfahrzeugkennzeichen nicht anlasslos erfol-gen oder flächendeckend durchgeführt werden. Auch müssten sog. Nichttreffer sofortspurenlos gelöscht werden. (vgl. [Hei08c], [Hei08b])

Anspruch der Nutzer: Aber nicht nur aufgrund der Gesetzeslage, sondern auch aufgrunddes Prinzips der mehrseitigen Sicherheit, ist der Schutz der Privatsphäre im VANET wichtig:Wie in der Einleitung schon angedeutet und im Folgenden (siehe Abschnitt 3.2) noch ge-nauer ausgeführt, basieren viele der Anwendungen des VANETs, die die Verkehrssicherheiterhöhen sollen, darauf, dass man (richtige) Informationen über den Aufenthaltsort und ggf.die Bewegung anderer Verkehrsteilnehmer erhält, um sich daraus ein globales Bild der aktu-ellen Verkehrssituation bilden zu können. Viele der Nachrichten im VANET werden also aneine dem Sender unbekannte Empfängergruppe gesendet, wobei der Nachrichteninhalt nichtgeschützt werden kann.

Um vor der Erstellung von Bewegungs-, Verhaltens- und Dienstnutzungsprofilen, die für diegewerbliche bzw. kriminelle Nutzung oder die Exekutive ohne richterlichen Beschluss vonInteresse sein können, zu schützen, ist also darauf zu achten, dass die Verbindungsdaten aus-reichend geschützt und die einzelnen Nachrichten möglichst nicht verkettbar sind. Folgendebeispielhaft angeführte „Angriffe“ sind ansonsten denkbar:

• Überwachung von Arbeitnehmern

• Verfolgung von Zielpersonen durch Kriminelle

• Verfolgung von Verdächtigen durch Polizei, Zoll usw.

• Automatisierte Verkehrsüberwachung, insbesondere Geschwindigkeitskontrollen durchdie Polizei

• Platzierung von (unerwünschter) Werbung

• Erpressung oder unerwünschte Preisgabe persönlicher Informationen aufgrund des Wis-sens über (regelmäßig) besuchte Orte, wie z.B. regelmäßige Arztbesuche, Besuche vonNachtklubs oder politischen Organisationen etc. (vgl. [GG03])

Als Verbindungsdaten, die Aufschluss über Quelle und ggf. Ziel der Nachrichten geben, kom-men üblicherweise MAC-Adresse3, IP-Adresse4 und bei signierten Nachrichten Zertifikate(siehe Abschnitt 4.4) in Frage (vgl. [Why05]). Aufgrund der Besonderheiten des VANETsgibt es aber auch noch andere sog. „Identifying Marks“ (siehe z.B. Abschnitt 3.2.3), die es zuschützen gilt.

Um der erläuterten Gesetzeslage und dem Anspruch der zukünftigen Benutzer gerecht zu wer-den, wird der Schutz der Privatsphäre in dieser Arbeit als sehr wichtiges Schutzziel angesehen.

3Die MAC- oder Adapteradresse identifiziert eindeutig die Sendehardware und dient auf der untersten Schichtdes ISO/OSI-Referenzmodells der Adressierung von Paketen. Sie ist nicht zu verwechseln mit dem MessageAuthentication Code (MAC, siehe Abschnitt 3.1.2).

4IP-Adressen erlauben eine logische Adressierung von Geräten (Hosts) in IP-Netzen wie beispielsweise dem In-ternet.


Im Rest der Arbeit wird er deswegen getrennt vom Schutzziel der Vertraulichkeit betrachtet,welches im Folgenden immer mit Inhaltsvertraulichkeit und Schutz vor unbefugtem Geräte-zugriff gleichgesetzt wird.

3.1.2 Integrität

Auch die Integrität lässt sich in eine Integrität des Inhalts (also eine unverfälschte Wieder-gabe bzw. Übertragung) und in eine Integrität der Kommunikationsumstände (beispielsweiseeine Zurechenbarkeit einer Nachricht bzw. eine Nichtabstreitbarkeit) einteilen (vgl. [FP97]).Inhaltsintegrität bedeutet dabei, dass Informationen richtig, vollständig und aktuell sind oderdies erkennbar nicht der Fall ist [Pfi00b]. In VANETs können absichtlich gefälschte oder un-verschuldet inkorrekte Daten weitreichende Folgen nach sich ziehen. Das Spektrum reicht vonVerwirrung und Irreführung bis hin zu lebensgefährlichen Verkehrssituationen. Als Beispieleseien hier angeführt:

• Ein Anwohner einer vielbefahrenen Straße, der das Verkehrsaufkommen vor seinemHaus reduzieren möchte. Er könnte falsche Staumeldungen erzeugen und so einen Groß-teil der Verkehrsteilnehmer dazu bringen, eine längere Alternativroute zu wählen.

• Ein Besitzer einer Autobahnraststätte, der ebenfalls falsche Staumeldungen verschickenund darauf hoffen könnte, dass viele Autofahrer das Ende des vermeintlichen Staus inseiner Raststätte abwarten und ihm zusätzlichen Umsatz bescheren.

• Ein Krimineller, der sich als Polizist ausgibt und Anhalteanweisungen an seine Opferverschickt.

• Ein bösartiger Dritter, der Unfälle provoziert, indem er zwei Fahrzeugen an einer Kreu-zung jeweils freie Fahrt signalisiert, obwohl sich die Fahrspuren der Fahrzeuge kreuzen.

Wie die Beispiele zeigen, kommt gerade der nachprüfbaren Korrektheit der Daten und derausgewiesenen Senderidentität besondere Bedeutung zu. Es ist also die Integrität sowohl derKommunikationspartner als auch der Daten zu betrachten, da korrekten Daten von einem nichtals vertrauenswürdig erachteten Knoten genauso wenig vertraut werden kann wie Daten, diezwar von einem vertrauenswürdigen Sender stammen, aber absichtlich oder unabsichtlich ver-fälscht wurden.

Die Zurechenbarkeit der Nachrichten zu einem Sender ist notwendig, um Fehlverhalten nach-weisen und ggf. ahnden zu können. Unter Fehlverhalten ist dabei das Senden inhaltlich oderstrukturell falscher Nachrichten zu verstehen. Der Grund dafür kann einerseits eine Fehlfunkti-on sein, andererseits besteht aber auch die Möglichkeit, dass es sich um einen gezielten Angriffauf das Netz oder einen Teilnehmer handelt. Wären Nachrichten nicht zurechenbar, könntenAngreifer beispielsweise ungestraft beliebige Daten in das Netz einspielen.

Authentifikation: Um Inhaltsintegrität und Zurechenbarkeit im VANET erreichen zu können,muss eine Nachricht einem bestimmten Sender zweifelsfrei zugeordnet werden können. Die

3.1 Schutzziele 25

Feststellung der Identität (siehe Abschnitt 4.2) des Senders wird dabei als Authentifikationbezeichnet. Ein Mensch kann sich nach [Fed08] vor einem System authentisieren bzw. iden-tifizieren, mit dem was er ist (physische Merkmale, z.B. Fingerabdruck, Retina-Muster), mitdem was er hat (Besitz, z.B. Metallschlüssel, Chipkarte) und mit dem was er weiß (Wissen,z.B. Passwort, Antworten auf Fragen). Solche Verfahren findet man auch in Fahrzeugen wie-der. Bei der Fahrzeugdiagnose muss für bestimmte Funktionen eine PIN eingegeben werden.Ähnlich ist es bei manchen Wegfahrsperren-Systemen, um die Wegfahrsperre zu deaktivieren.Auch der Zündschlüssel schützt das Fahrzeug vor unerlaubtem Zugriff.

Eine Authentifikation zwischen Fahrzeugen bzw. Fahrzeugkomponenten kann in der Regelnur durch Wissen, in Form einer gespeicherten Information, wie z.B. einem geheimen Schlüs-sel oder einem Zertifikat, durchgeführt werden. Dabei werden in der Regel einfache kryp-tographische Mechanismen verwendet, um die Echtheit von Daten zu überprüfen, die überein unsicheres Medium übertragen wurden. Diese Echtheitsprüfung beschränkt sich dabei aufeinen Ursprungs- bzw. Urhebernachweis, ohne Aussagen über die Funktionalität des Senderszu treffen (vgl. [Eck08]). Nach erfolgreicher Authentifikation kann auch die Autorisation, d.h.die Berechtigung, des Senders zum Senden bestimmter Nachrichten geprüft werden.

Im Folgenden soll kurz erklärt werden, wie die Authentifikation und damit auch die Sicherungder Integrität im VANET erfolgen kann. Grundsätzlich kommt dafür wieder symmetrischeoder asymmetrische Kryptographie in Frage. Die Vorverteilung des benötigten kryptograpi-schen Materials ist hier kein so großes Problem, wie in anderen Ad-hoc-Netzen, da sich imLebenszyklus eines Fahrzeugs mindestens die Zeitpunkte „Herstellung“ und „Zulassung/Um-schreibung bei der Zulassungsbehörde“ dafür eignen. Im Zuge der periodischen Inspektioneneines Fahrzeugs kann auch geprüft werden, ob die Schlüsselspeicher in der Zwischenzeit ma-nipuliert wurden (vgl. [PP05], [RH05b]). Mehr zu diesem Schlüsselspeicher ist in Abschnitt4.3 zu finden.

Message Authentication Code (MAC)

Realisiert werden kann ein auf symmetrischer Kryptographie basierender Message Authenti-cation Code (MAC) mittels symmetrischer Verschlüsselungsverfahren (z.B. DES) oder durchschlüsselabhängige Hashfunktionen5 (Hashed Message Authentication Code, HMAC) (vgl.

5In dieser Arbeit wird unter einer Hashfunktion h(x) = y immer eine Funktion h verstanden, die eine Zeichenfolgebeliebiger Länge x effizient in eine Zeichenfolge fester Länge (den Hash, y) überführt, und folgende Eigenschaftenbesitzt (vgl. [MVO96]):

1. Einwegeigenschaft: Es ist nur mit sehr großem Aufwand möglich, ein x′ zu einem gegebenen y zu finden,so dass h(x′) = y.

2. Starke Kollisionsresistenz: Es ist nur mit sehr großem Aufwand möglich, zwei beliebige unterschiedlicheWerte x und x′ zu finden, so dass h(x) = h(x′).

3. Gleichverteilung: Für einen beliebigen Eingabewert x ist jeder Funktionswert y aus der Ausgabemengevon h gleich wahrscheinlich.


[Eck08], [KBC97]). Dabei wird die Nachricht nicht mit dem kryptographischen Algorithmusverschlüsselt, sondern es wird ein Prüfteil (eben der Message Authentication Code) an dieNachricht angehängt. Der HMAC für eine Nachricht m wird unter Verwendung der Hashfunk-tion h und des Schlüssels k folgendermaßen gebildet:

HMAC(k,m) = h(k⊕opad,h(k⊕ ipad,m)) (3.1)

Dabei ist in [KBC97] ipad als 0x36 und opad als 0x5C definiert.

Der Empfänger kann anhand der Nachricht ebenfalls einen MAC bilden und prüfen, ob diebeiden MACs übereinstimmen [FP97]. Die zwei Kommunikationspartner A und B verwen-den denselben Schlüssel, d.h. beide kennen den Authentifikationsschlüssel. Dies wird zumProblem, wenn die Authentifikation nicht gegenüber einer vertrauenswürdigen Stelle (TrustedThird Party, TTP) erfolgt. Dann nämlich kennt der (nicht vertrauenswürdige) Kommunikati-onspartner B den Authentifikationsschlüssel von A und kann sich in Folge als A ausgeben.Man verliert ohne weiterführende Maßnahmen die Zurechenbarkeit bzw. Nichtabstreitbarkeitder Nachrichten. Abgesehen davon wäre es, wie angesichts der Menge der Fahrzeuge alleinin Deutschland leicht einzusehen ist, sowieso nicht machbar in allen Fahrzeugen die Schlüsselaller anderen Fahrzeuge zu speichern.

Möglich wäre symmetrische Kryptographie zur Authentifikation in Verbindung mit einer TTP,die dann die Autorisierung zur Teilnahme am VANET bestätigt (z.B. durch spezielle Schlüs-sel oder Zertifikate). Nachteil dieser Variante ist, dass man am VANET erst teilnehmen kann,nachdem man sich bei der TTP authentifiziert hat. Die zuverlässige Erreichbarkeit einer sol-chen TTP kann in einem Ad-hoc-Netz aber nicht vorausgesetzt werden, d.h. eine Teilnah-me am VANET sollte (zumindest eingeschränkt auf verkehrssicherheitskritische Nachrichten)auch möglich sein, ohne sich bei einer zentralen TTP authentifizieren zu müssen. Genau dieseMöglichkeit bietet Authentifikation auf Basis von asymmetrischer Kryptographie, die digitaleSignatur.

Digitale Signatur

Hier besitzt jeder Teilnehmer seinen eigenen privaten Schlüssel und den dazugehörigen öffent-lichen Schlüssel. Der Sender signiert eine Nachricht (bzw. den Hashwert der Nachricht) mitseinem privaten Schlüssel und fügt seinen öffentlichen Schlüssel bei. Jeder Empfänger kanndie Integrität dieser Nachricht mit Hilfe des öffentlichen Schlüssels prüfen, soweit er dessenVertrauenswürdigkeit feststellen kann (vgl. [Eck08]). Um diese Vertrauenswürdigkeit prüfenzu können, kann z.B. mit Hilfe einer Public-Key-Infrastruktur (PKI, siehe Abschnitt 4.4) ineinem Zertifikat ein öffentlicher Schlüssel einer Identität zugeordnet werden. Ein Kommu-nikationspartner kann dann mit Hilfe des Zertifikats und dem darin enthaltenen öffentlichen

3.1 Schutzziele 27

Schlüssel die Authentifikation (Signatur) einer Nachricht prüfen, selbst aber keine (gefälsch-te) Authentifikation vornehmen. Anders ausgedrückt, es kann damit Zurechenbarkeit erreichtwerden.

Die Zertifikate der Kommunikationspartner können mit den Nachrichten übermittelt werden.Es ist ausreichend, das jeweils eigene Schlüsselpaar samt Zertifikat und die Wurzelzertifikateder PKI in den Fahrzeugen zu speichern. Ein weiterer Vorteil besteht darin, dass der priva-te Schlüssel das Fahrzeug nicht zwangsweise verlassen muss. Er kann in sicherer Hardwareim Fahrzeug (bzw. ggf. auch in einem elektronischen Führerschein) erzeugt und gespeichertwerden.

Der wohl gravierendste Nachteil dieser Variante sind die im Vergleich zu symmetrischer Kryp-tographie sehr langen Zeiten, die zur Signaturgenerierung bzw. -verifizierung benötigt werden(siehe Abschnitt 5.2.9). Ein weiterer Nachteil ist, dass Informationen zu Zertifikatsrückrufenverteilt werden müssen. Mehr dazu in Abschnitt 4.4.

Time Efficient Stream Loss-tolerant Authentication (TESLA)

Neben den beiden Standardverfahren MAC und digitale Signatur existieren auch alternativeAnsätze, wie das in [PCTS00] vorgestellte Time Efficient Stream Loss-tolerant Authentication(TESLA). Nach [Sta02] ist die auf [Lam81] basierende Grundidee dabei folgende: Ein Sen-der generiert sich vorab eine Schlüsselkette, z.B. mittels einer Hashfunktion. Diese Hashketteergibt sich dann durch zufälliges Wählen eines Startwerts k0 und der iterativen Berechnungki+1 = h(ki) für i= 0, ...,n−1 wobei h eine Hashfunktion und n+1 die gewünschte Länge derHashkette ist.

Ein Paket Pj (mit 0≤ j ≤ n) enthält Nachricht mj undMACkn− j(mj), mit dessen Hilfe mj vali-diert werden kann. Diese Validierung wird erst durch den Schlüssel kn− j möglich, der in einemspäteren Paket Pj+d enthalten ist (mit d > 0). Teilnehmer können also die Integrität von mj ve-rifizieren, solange sie Paket Pj vor Paket Pj+d empfangen. Verzögerungen bei der Übertragung,z.B. durch unterschiedlich weit entfernte Empfänger, können mit Hilfe mehrerer Schlüsselket-ten mit verschiedenen Werten für d gelöst werden. So wird einerseits Empfängern, die dasPaket früher erhalten, ermöglicht, dies schon zu validieren, während Empfänger, die das Paketerst später erhalten, in der Lage sind, es noch zu validieren (vgl. [Sta02]). Initial muss daserste Paket authentisch übertragen werden, wobei [PCTS00] eine digitale Signatur vorschlägt.Ferner muss eine lose Zeitsynchronisation zwischen dem Sender und dem Empfänger gegebensein.

Aufgrund der Hashkette kann der Empfänger eines Paketes Pj den enthalten Schlüssel kn− j

durch einen beliebigen bekannten (gültigen) Schlüssel kn−( j+e) validieren, indem er ihn e-malmit h hasht und das Ergebnis mit kn− j vergleicht (mit e> 0 und n−( j+e)≥ 0). So ist auch derVerlust einzelner Pakete bis zum Empfänger aus Sicht der Integrität tolerierbar (vgl. [Sta02]).

Der Vorteil von TESLA besteht im Vergleich zu digitalen Signaturen in den wenig rechen-intensiven Operationen. Das wird mit dem Nachteil erkauft, dass jeder Empfänger initial ein


authentisches Paket empfangen haben muss, bevor er weitere Pakete mit Hilfe von TESLAvalidieren kann. Ein solches Initial-Paket muss auch nach Erreichen von k0 und erneuter Be-rechnung der Hashkette verschickt werden. Aufgrund der hohen Mobilität in VANETs wärenbei den meisten Anwendungen sehr viele Inital-Pakete nötig, so dass wieder sehr viele digitaleSignaturen erzeugt werden müssten. In Situationen, in denen eine relativ lange Kommuni-kationsbeziehung besteht, stellt TESLA allerdings eine interessante Alternative zu digitalenSignaturen dar.

Zeitstempel

Um die Zurechenbarkeit bzw. Nichtabstreitbarkeit einer Nachricht zu erreichen, muss in dieSignatur oder in den MAC zusätzlich die Dimension der Zeit einfließen6, die von einem unab-hängigen und zuverlässigen Zeitgeber bereitgestellt wird. Fehlt in der Signatur oder im MACdie Zeitangabe, ist ein Teilnehmer in der Lage, nachträglich seinen Schlüssel zu zerstören undzu behaupten, ein Angreifer hätte ihm seinen Schlüssel gestohlen und damit die Signatur/denMAC erzeugt (vgl. [NDJB02]). Darüber hinaus lassen sich über zuverlässige und synchroni-sierte Zeitstempel auch Replay-Angriffe7 effizient verhindern.

Unerlaubter Zugriff über die Funkschnittstelle

Im Rahmen der Authentifikation und Autorisation stellt sich auch die Frage, wie ein Fahr-zeug vor unerlaubtem Zugriff von außen durch die Funkschnittstelle geschützt wird. Andersausgedrückt: Wenn Fahrzeuge miteinander vernetzt werden, um kabellos zu kommunizieren,können Angreifer versuchen, sich unautorisierten Zugriff auf das Fahrzeug zu verschaffen, umauf diesem Weg Schadcode einzuschleusen (siehe dazu auch [ZM05], [Wag05b], [Sch06]).Eine Beantwortung dieser Frage würde allerdings Kenntnisse des spezifischen Systems vor-aussetzen, die nicht gegeben sind. Deshalb entfällt eine weiterführende Betrachtung und derinteressierte Leser sei auf [Wag05a] und [Fib04] verwiesen.

3.1.3 Verfügbarkeit

Nach [Pfi00b] bedeutet Verfügbarkeit, dass Daten und Informationen dort und dann zugäng-lich sind, wo und wann sie von Berechtigten gebraucht werden. Die Formulierung „gebrauchtwerden“ bekommt im VANET eine neue Bedeutung: Wenn Dienste und Informationen, aufdie sich Fahrer gelernt haben zu verlassen, nicht verfügbar sind, kann dies nicht nur den Ruf

6Dies ist auch im Deutschen Signaturgesetz vom 22.05.2001 verankert (vgl. [Eck08])7Bei einem solchen Replay-Angriff spielen Angreifer gültige Datenpakete anderer Teilnehmer (oft in hoher Zahl)wieder in das Netz ein, um z.B. bei einem Server bestimmte Reaktionen auszulösen, die den Angreifern in ihremVorhaben zuträglich sind. Ein Beispiel könnte das Wiedereinspielen eines abgefangenen Authentifikationspaketssein, wodurch sich der Angreifer für einen berechtigten Nutzer des Systems ausgibt (vgl. [Bun04]).

3.1 Schutzziele 29

ISO/OSI-Schicht Angriff VerteidigungsmöglichkeitenBitübertragung Jamming Bandspreizung, Priorisierung von Nachrichten etc.

Tampering Tamper-Proofing, Verstecken

Sicherung Collision Fehlerkorrigierende Kodierung

Exhaustion Bandbreitenlimitierung

Unfairness Kleine Frames

Vermittlung Neglect and Greed Redundanz, Probing

Homing Verschlüsselung

Misdirection Egress Filtering, Autorisation, Monitoring

Black holes Autorisation, Monitoring, Redundanz

Transport Flooding Client Puzzles

Desynchronization Authentifikation

Tabelle 3.2: DoS-Angriffe und Sicherungsmaßnahmen in Sensornetzen nach [WS02]

dieses speziellen Dienstes und des gesamten VANETs nachhaltig schädigen, sondern bei ver-kehrssicherheitskritischen Anwendungen sogar Fahrzeuge und Leben der Verkehrsteilnehmergefährden.

Da die Anwendungen im VANET auf der Kooperation der Teilnehmer (z.B. bei der Weiterlei-tung der Nachrichten) beruhen, stellen solche Teilnehmer eine Bedrohung für die Verfügbar-keit dar, die ihre Geräte abgeschaltet haben, sich egoistisch8 verhalten, jedwede Kommunika-tion über ihre eigene Sendeeinheit „schlucken“ (sog. Black-Hole-Attacke, siehe [WS02]) oderden Kanal fluten (vgl. [RH05b]). Andere Angriffe auf die Verfügbarkeit wären der Einsatz vonStörsendern und das Abschalten oder Zerstören von Basisstationen.

Aus den genannten Beispielen für Denial-of-Service-Attacken (DoS-Attacken) ist ersicht-lich, dass es eine große technische Herausforderung darstellt, Verfügbarkeit zu sichern. Inder Literatur, die sich mit der Sicherung der Verfügbarkeit in VANETs beschäftigt, gibt eseinige Untersuchungen, wie solche Ad-hoc-Netze auf DoS-Angriffe reagieren. [AHK04] ver-anschaulicht beispielsweise die Auswirkungen von Jellyfish- und Blackhole-Attacken in ei-nem VANET, [WS02] erläutert Angriffe auf die Verfügbarkeit in Sensornetzen. Tabelle 3.2aus [WS02] zeigt mögliche DoS-Attacken und Gegenmaßnahmen gegliedert nach ausgewähl-ten Netzwerkschichten des ISO/OSI-Referenzmodells. Die Tabelle dient hier nur der Veran-schaulichung der vielen Möglichkeiten für DoS-Attacken und es soll nicht weiter darauf ein-gegangen werden. [WS02] erklärt die einzelnen Angriffe und Schutzmaßnahmen im Detail.

Konkrete Lösungen gestalten sich bei diesem Schutzziel als schwierig. In [RH05b] wird ledig-lich vorgeschlagen, auf alternative Funktechnologien wie UTRA-TDD oder Bluetooth auszu-

8Egoistische Teilnehmer wenden nur einen geringen (oder gar keinen) Teil ihrer Ressourcen für die Funktionsfä-higkeit des Netzes auf, d.h. sie weigern sich beispielsweise Nachrichten anderer Teilnehmer weiterzuleiten. InTauschbörsen wäre egoistisches Verhalten z.B. nur Dateien herunter zu laden, aber keine Dateien zum Upload zurVerfügung zu stellen. Eine genaue Erläuterung zu fehlerhaften, egoistischen und böswilligen Teilnehmern findetsich in [Kar03].


weichen, wenn das Übertragungsmedium durch Angriffe nicht oder nicht ausreichend verfüg-bar ist. Dies deckt sich mit der Aussage in [FP97], dass ein diversitäres Kommunikationsnetzmit mehrfach redundanter und unterschiedlicher Leitungsführung unter Umständen den Total-ausfall von Teilen des Netzes vermeiden kann. Weiter wird dort ausgeführt, dass bei Funk aufandere Frequenzbänder ausgewichen werden könnte, sobald Störungen auftreten. Eine andereMöglichkeit, Verfügbarkeit zu erhalten, besteht darin, Anreize für Benutzer zu schaffen, sichkorrekt und netzfördernd zu verhalten. Weitere Informationen zu solchen Anreizsystemen sindin Abschnitt 4.8 zu finden.

Effizienz der verwendeten Schutzmechanismen

Unter dem Gesichtspunkt der zeitnahen Verfügbarkeit der Informationen ist zu berücksich-tigen, dass die Mechanismen zur Erfüllung der Schutzziele Integrität und Vertraulichkeit zueiner Verzögerung bei der Verarbeitung und einer Vergrößerung der zu speichernden bzw.übertragenden Datenmenge führen. Eine digitale Signatur zur Integritätssicherung muss bei-spielsweise zuerst vom Sender berechnet und dann vom Empfänger geprüft werden. Die Si-gnatur und das für die Prüfung benötigte Zertifikat inklusive öffentlichem Schlüssel brauchenSpeicherplatz und Übertragungskapazität.

Der Verarbeitungsgeschwindigkeit beim Senden und Empfangen von Nachrichten und derGröße der verschickten Nachrichten kommt im VANET eine kritische Rolle zu. Verzögerun-gen von einigen Sekunden sind nicht tragbar, da sich in dieser Zeit die gesamte Verkehrssitua-tion schon grundlegend geändert haben kann. Dabei sind zwei Extremfälle zu beachten: Einer-seits bleibt z.B. auf Autobahnen mit potentiellen Höchstgeschwindigkeiten von 250 km/h nurein sehr kurzes Zeitfenster, um Nachrichten auszutauschen9. Andererseits werden beispiels-weise in Stausituationen oder im Stadtbereich sehr viele Nachrichten unterschiedlicher Her-kunft, wie z.B. Nachrichten von anderen Fahrzeugen, stationärer Infrastruktur, Einsatzkräftenetc., gleichzeitig gesendet, die sich die zur Verfügung stehende Übertragungskapazität teilenund schnell verarbeitet werden müssen. Der Effizienz der verwendeten Schutzmechanismenkommt also eine sehr große Bedeutung zu.

3.2 Anwendungen

Das Spektrum der im VANET vorgesehenen bzw. denkbaren Dienste und Anwendungen istsehr groß. Im März 2005 veröffentlichte z.B. das Vehicle Safety Communications Consortium(VSCC) eine umfassende Liste (siehe [CAM05]) an möglichen Anwendungen für automobileAd-hoc-Netze. Es wurden über 75 Einsatzszenarien unterteilt in „Safety-Related Applicati-ons“ und „Non-Safety-Related Applications“ identifiziert.

9Im Extremfall – zwei Fahrzeuge mit 250 km/h fahren in entgegengesetzte Richtungen – bleibt eine rechnerischeKontaktzeit von etwa 14s bei einer Funkreichweite von 1000m. Sinkt die Funkreichweite auf 300m bleiben nurnoch etwa vier Sekunden. Zur Funkreichweite siehe Abschnitt 4.6.

3.2 Anwendungen 31

Ausgehend von dieser relativ einfachen Einteilung werden in diesem Abschnitt vier An-wendungskategorien („Beacons“, „Warnungen“, „Alarmsignale und Anweisungen“ und„Komfort-Dienste“) vorgestellt und die dafür zur Verfügung stehenden Daten erläutert unddurch Beispiele (Quellen: [CAM05], [Why05]) veranschaulicht. Bei der Kategorisierung wirddarauf geachtet, welche Anforderungen jeweils in Bezug auf die Schutzziele Integrität, Ver-traulichkeit und Verfügbarkeit sowie den Schutz der Privatsphäre bestehen und welchen Anteildie jeweiligen Anwendungen am gesamten Datenverkehr im VANET ausmachen. Diese Artder Kategorisierung ist für die Arbeit besser geeignet als die existierenden Kategorisierungen,da der Schutzbedarf schon in den Kategorien berücksichtigt wird und die Schutzmechanis-men damit im Folgenden jeweils für eine ganze Kategorie betrachtet werden können. DieBerücksichtigung des anfallenden Datenvolumens ermöglicht eine Einschätzung, wie kritischdie jeweilige Kategorie in Bezug auf die Gesamtperformance des VANETs ist.

Tabelle 3.4 auf Seite 46 gibt eine Übersicht über die Anwendungskategorien und ihren jewei-ligen Schutzbedarf. – steht dabei für unwichtig, + für wichtig und ++ für sehr wichtig. Kannkeine genaue Aussage für die gesamte Kategorie getroffen werden, wird die mögliche Span-ne angegeben. –/++ bedeutet beispielsweise, dass ein Schutzbedarf von unwichtig bis sehrwichtig bestehen kann, je nach konkreter Anwendung.

3.2.1 Bestehende Kategorisierungen

Der Vollständigkeit halber sollen an dieser Stelle zwei alternative Kategorisierungen kurzvorgestellt werden. Die relativ weit verbreitete Kategorisierung nach [Her03] richtet sichnach dem Zweck der jeweiligen Dienste und ist dadurch nicht ganz trennscharf (siehe auch[Mer04]). Es wird unterschieden in

• Fahrtbezogene Dienste: Zu diesen gehören Effizienzdienste, Sicherheitsdienste undMo-bilitätsdienste. Die Effizienzdienste sollen die Verbrauchs- und Zeiteffizienz im Straßen-verkehr erhöhen, indem z.B. der Verkehr abhängig von der Gesamtverkehrssituation sogesteuert wird, dass Staus vermieden werden. Unter den Sicherheitsdiensten werdenAnwendungen wie Notbremssysteme, Ausscherwarner oder Vorfahrtassistenten subsu-miert. Die Mobilitätsdienste haben den Schwerpunkt auf dynamischer Navigation undsind insofern auch eng mit den Effizienzdiensten gekoppelt.

• Fahrzeugbezogene Dienste: Diese Kategorie unterteilt sich in Wartungsdienste, Schutz-dienste und Komfortdienste. Unter denWartungsdiensten ist hauptsächlich die Diagnosedes Fahrzeugs zu verstehen. Konkrete Beispiele wären Fehlerdiagnosen oder Erinnerun-gen an bevorstehende Wartungsarbeiten. Eng damit verknüpft sind die Schutzdienste,die Gefahren abwenden sollen, die sich nicht aus einer konkreten Fahrsituation ergeben.Ein mögliches Beispiel könnte die automatische Vereinbarung eines Termins mit derVertragswerkstatt bei nachlassender Bremswirkung sein. Unter Komfortdiensten wer-den Anwendungen wie ein Einparkassistent oder die Personalisierung der Fahrzeugein-stellungen verstanden.


• Insassenbezogene Dienste: Hierunter fallen Informationsdienste, Produktivitätsdiensteund Unterhaltungsdienste. Informationsdienste stellen den Insassen beliebige von die-sen gewünschte Informationen bereit. Dies können z.B. Details über Sehenswürdigkei-ten in der Nähe des Fahrzeugs, das Wetter der nächsten Tage oder auch allgemeineNachrichten sein. Die Produktivitätsdienste unterstützen die Insassen bei ihrer Arbeitund ermöglichen ein mobiles Büro im Fahrzeug mit Zugriff z.B. auf E-Mail, Internetoder das Firmennetz. In einem gewissen Sinn bilden die Unterhaltungsdienste das Ge-genstück dazu, indem z.B. Videostreaming oder vernetztes Spielen ermöglicht wird. DerZugriff auf E-Mail oder Internet könnte allerdings natürlich auch in diese Unterkatego-rie fallen, je nach der Absicht, die z.B. hinter einem Internetzugriff steht.

Eine weitere Kategorisierung wird von [Sch03a] vorgenommen. Darin wird zwischen Anwen-dungen aufgrund der Kommunikationspartner unterschieden. Konkret erfolgt die Unterschei-dung zwischen Anwendungen basierend auf

• Infrastruktur-zu-Fahrzeug Kommunikation, wie z.B. Warnungen vor niedrigen Brücken,Einfädelassistenten usw.

• Fahrzeug-zu-Infrastruktur Kommunikation, wie z.B. automatische Mauterhebung, Just-in-time Reparaturaufträge usw.

• Fahrzeug-zu-Fahrzeug Kommunikation, wie z.B. Unfallwarnungen, Instant Messagingusw.

3.2.2 Telematik-Nachrichten

Um die folgende eigene Kategorisierung besser verstehen zu können, werden zuerst noch ei-nige Überlegungen zu der Gruppe der Telematik-Nachrichten angestellt:

Telematik-Nachrichten werden zwischen Knoten des VANETs ausgetauscht, um die ande-ren Fahrzeuge und deren Fahrer über verschiedene Ereignisse und Gefahren zu informierenund damit das Hauptziel des VANETs – die Erhöhung der Sicherheit im Straßenverkehr –zu erreichen. Diese Nachrichten beinhalten Informationen aus den Sensordaten eines Fahr-zeugs (ABS, ESP etc.), wie z.B. erkannte Vollbremsung oder Aquaplaning, ausgelöster Air-bag, aktuelle Geschwindigkeit und Beschleunigung bzw. Verzögerung usw., sowie Sendezeitund Position. Durch deren Zusammenfassung sind aggregierte Nachrichten über das Verhaltenmehrerer Fahrzeuge (z.B. stockender Verkehr) möglich. Wie schon in 2.1.2 erwähnt, könnenNachrichten nicht nur zwischen Fahrzeugen ausgetauscht werden. Daneben ist auch stationäreInfrastruktur (z.B. Notrufsäulen an Autobahnen) als Mittler, Aggregator oder Zugangspunktfür stationäre Netze denkbar.

Grundsätzlich gibt es laut [YLZV04] für ein solches Telematik-System zwei technische Mög-lichkeiten, deren Vor- und Nachteile (gekennzeichnet durch + bzw. –) kurz aufgeführt werden:

3.2 Anwendungen 33

1. Passives Telematik-System: Alle Fahrzeuge senden regelmäßig Nachrichten über ihrenaktuellen Status (sog. Beacons) aus bzw. leiten Nachrichten weiter, soweit dies erfor-derlich ist. Jedes Fahrzeug entscheidet anhand definierter Regeln selbst, wie es auf dieerhaltenen Informationen zu reagieren hat. Die Güte dieser Regeln bestimmt die Wirk-samkeit des Telematik-Systems.

+ Komplexere Problemsituationen können erkannt werden, in denen die aggregierteSicht zusätzliche Schlussfolgerungen ermöglicht. Beispielsweise lässt eine geringeGeschwindigkeit mehrerer, auf verschiedenen Spuren vorausfahrender Fahrzeugeauf zähfließenden Verkehr schließen.

+ Anomalien im Netzverkehr können erkannt werden, da hier ein reguläres Musterbekannt ist.

+ Im Vergleich zum folgenden aktiven Telematik-System sind durchgängige Infor-mationen zumindest für alle umliegenden also meist auch relevanten Fahrzeugeverfügbar.

– Durch die Vielzahl an Nachrichten (bei CarTalk2000: ca. alle 10ms ein Beacon proFahrzeug – vgl. [TMN+03]) folgt eine hohe Auslastung der Übertragungskapazitätdes VANETs.

– Beinhalten Nachrichten zusätzlich zur Position und Sendezeit auch Informationenüber die Identität des Senders, sind durch die hohe zeitliche Auflösung Bewe-gungsprofile durch Angreifer entsprechend der Positionsgenauigkeit möglich.

2. Aktives Telematik-System: Fahrzeuge senden nur dann Nachrichten, wenn sie ein Pro-blem erkennen oder um Informationen weiterzuleiten. Die Wirksamkeit hängt vor allemvon der Güte der Problemerkennung ab.

+ Eine geringe Belastung der Übertragungskapazität des VANETs ist zu erwarten(vgl. [YLZV04]).

+ Im Gegensatz zum passiven Telematik-System sind Bewegungsprofile für Angrei-fer schwerer erstellbar, da normalerweise nur unregelmäßig Nachrichten von ein-zelnen Fahrzeugen versendet werden, was die zeitliche Auflösung eines Bewe-gungsprofils verschlechtert oder sogar unbrauchbar macht.

+ Das aktive Telematik-System ist für eindeutige Problemsituationen gut geeignet,weil sofort Warnungen statt Informationen ausgegeben werden.

– Die Erkennung von Problemsituationen ist unter Umständen schwierig, z.B. wenndiese durch das Zusammenspiel von mehreren Fahrzeugen entstehen. Der koope-rative Faktor ist nur noch bedingt vorhanden.

– Die Anomalieerkennung im Netzverkehr ist schwieriger als im passivenTelematik-System, weil hier kein reguläres Muster vorhanden ist.


Um die Vorteile beider Systeme zu nutzen, geht diese Arbeit von einer Kombination aus beidenVarianten aus, in der sowohl regelmäßig Beacons als auch explizite Warnungen bei eindeuti-gen Problemen verschickt werden. Die Beacons werden dabei nicht weitergeleitet und stehensomit nur den Fahrzeugen in direkter physischer Sendereichweite zur Verfügung. Im Gegen-satz dazu werden die Warnungen nach Vorgabe des Senders auch weitergeleitet und habendamit eine höhere Reichweite. Es bleibt anzumerken, dass [DKS05] eine detaillierte Klassifi-zierung von Telematik-Nachrichten vornimmt, die zwar in anschaulicher Weise die Diversitätdieser Anwendungsklasse zeigt, aber nicht auf eine Sicherheitsbetrachtung ausgerichtet ist.

3.2.3 Anwendungskategorie 1: Beacons (A1)

Als Beacons werden periodisch versendete Telematik-Nachrichten bezeichnet. Sie enthaltenmindestens die aktuelle Position, Fahrtrichtung, Geschwindigkeit und Beschleunigung (posi-tiv oder negativ) des Fahrzeugs sowie die Sendezeit, spiegeln also eine Art aktuellen Status desFahrzeugs wider. Zusätzlich wird davon ausgegangen, dass irgendeine Art von zurechenbarerIdentität enthalten ist, um das Einspeisen falscher Informationen verfolgen und ggf. bestrafenzu können (siehe unten). Beacons werden, wie oben schon angedeutet, per Broadcast an al-le Fahrzeuge in physischer Sendereichweite verteilt und nicht weitergeleitet10 (Single-Hop).Beispiele für Anwendungen sind:

• Cooperative Adaptive Cruise Control (auch Communication-based Adaptive CruiseControl oder Communication-based Longitudinal Control genannt): Hierbei werden dieDaten aus den Beacons von den Fahrzeugen benutzt, um im Gegensatz zu aktuellen Ab-standsregelungen, die nur den direkten Vordermann beobachten, eine aggregierte Sichtüber mehrere vorausfahrende Fahrzeuge zu erhalten. Dadurch werden eine Harmoni-sierung des Verkehrsflusses sowie frühere Reaktionen der einzelnen Fahrzeuge möglich(vgl. [URL05]).

• Platooning bzw. Cooperative Driving: Diese Anwendung bietet Möglichkeiten, denVerkehrsfluss zu optimieren. Dabei verschmelzen durch Positions- und Geschwindig-keitskontrolle auf Basis der Beacons („elektronische Deichsel“) eine Reihe von Fahr-zeugen mit gleichem Ziel zu einer Einheit (Platoon). Das CHAUFFEUR-Projekt hatdiese Anwendung für schwere LKW prototypisch entwickelt und konnte dadurch un-ter anderem kürzere Fahrzeugabstände, verminderten Kraftstoffverbrauch und erhöhteVerkehrssicherheit erzielen (vgl. [Bon03]). Auch [KTT+02] nennt als Vorteile von Co-operative Driving die Erhöhung der Straßenverkehrssicherheit und bessere Nutzung derKapazität des vorhandenen Straßennetzes. In einem in [HG03] beschriebenen Prototy-pen wird für die korrekte Funktionalität ein Beacon-Sendeintervall von 500ms genannt.

10Es kann natürlich je nach konkreter Anwendung auch sinnvoll sein, Beacons über einige wenige Hops weiter-zuleiten. Auf eine zu hohe Reichweite sollte allerdings aufgrund der beschränkten Kapazität des Funkkanalsverzichtet werden.

3.2 Anwendungen 35

Durch geschicktes Aggregieren der empfangenen Nachrichten können einerseits die mobi-len Knoten komplexere Verkehrszusammenhänge wie Staubildung früh erkennen und zeitnahEntscheidungen treffen, andererseits kann die stationäre Infrastruktur gesteuert von zentra-len Instanzen den Verkehrsfluss in einem größeren geographischen Raum verbessern. Wie inAbschnitt 2.1.2 schon erwähnt, bietet es sich für kritische Verkehrsabschnitte an, solche Ba-sisstationen gezielt zur Information über Gefahrenstellen einzusetzen. Weitere Beispiele:

• An Kreuzungen werden Informationen über die Präsenz, Position und Richtung andererFahrzeuge verwendet, um die Verkehrsregelung dynamisch zu optimieren.

– Ein grüner Linkspfeil einer Ampel wird nicht mehr durch die Zeit, sondern abhän-gig von der aktuellen Verkehrssituation gesteuert.

– Die Geschwindigkeitsanpassung innerhalb einer „grünen Welle“ wird anhand desaktuellen Verkehrsaufkommens vorgenommen.

• Mehrere Beacons, die eine für den Streckenabschnitt untypisch niedrige Fahrzeugge-schwindigkeit beinhalten, lassen auf eine beginnende oder bereits andauernde Stausi-tuation schließen. Diese Information kann wiederum an nachfolgende Fahrzeuge wei-tergeleitet werden und die Routenfindung und Streckenplanung entscheidend unterstüt-zen. Um die Fahrzeugführer zusätzlich vorzubereiten, können Informationen über dieStauursache (Baustellen, gesperrte Fahrbahnen, Fahrzeuge mit Übermaßen etc.) an diebetroffenen Knoten verteilt werden (siehe auch Abschnitt 3.2.4).

Schutzbedarf

Die Daten dieser Kategorie sollen jedem Teilnehmer des VANETs zur Verfügung stehen, umjedem die Einschätzung der Verkehrssituation in seiner unmittelbaren Nähe zu ermöglichen.Die Vertraulichkeit der Daten muss also nicht geschützt werden. Es besteht eher die Her-ausforderung, die Daten an unbekannte Empfänger zustellen zu können. Im Gegensatz dazuexistieren sehr hohe Anforderungen in Bezug auf den Schutz der Privatsphäre, da es mit denin den Beacons enthaltenen Daten (sehr genaue Positions- und Zeitangaben) vergleichsweiseleicht möglich ist, mit Hilfe von statistischen Methoden Bewegungsprofile zu erstellen. Sinddie Daten auf einfache Weise zuverlässig bestimmten Personen zuzuordnen, könnte die Exe-kutive diese Informationen quasi als „Selbstanzeige“ für eine automatisierte Strafverfolgungverwenden und beispielsweise schon geringste Geschwindigkeitsüberschreitungen ohne Auf-wand automatisiert ahnden (siehe 2.1.3).

In diesem Zusammenhang soll auch nochmals auf den Schutz der in Abschnitt 3.1.1 schonerwähnten „Identifying Marks“ hingewiesen werden. Es handelt sich hier um Daten, die einenTeilnehmer aufgrund ihrer Natur kennzeichnen und aus einer Anonymitätsgruppe11 heraus-

11Unter einer Anonymitätsgruppe versteht man eine Gruppe von Teilnehmern, die sich sehr ähnlich verhält oderüber sehr ähnliche Eigenschaften verfügt (vgl. [BFK01], [Pfi00a]). Dies verhindert, dass einzelne Gruppenmit-glieder unterschieden werden können. Die Größe einer Anonymitätsgruppe als Maß für die Anonymität der


heben (vgl. [Why05]). Solche Daten können neben festen Identitäten z.B. auch Fahrleistun-gen sein, die eindeutig einem Sportwagen oder einem Schwerlasttransport zugeordnet werdenkönnen. Durch statistische Methoden und eine ausreichend große Datenmenge können aufge-zeichnete Zeit- und Positionsdaten mit geographischen Merkmalen (Straßenverlauf etc.) kor-reliert werden und erhöhen so die Gefahr der Profilbildung. Zudem liefert die Gebundenheitder Fahrzeuge an den Straßenverlauf Angreifern situationsabhängig weitere Kontextinforma-tionen. Auf wenig befahrenen Strecken, die zudem kaum Kreuzungen, Einmündungen oderÄhnliches bieten, dürfte es leichter sein, abgehörten Informationen Identitäten zuzuordnen,als z.B. an großen Autobahnkreuzen mit einer sehr viel höheren Anzahl an Fahrzeugen, diesich schnell und richtungsändernd bewegen.

Durch die hohe Sendehäufigkeit der Beacons machen die Nachrichten dieser Kategorie einensehr großen Anteil der im VANET versendeten Daten aus. Zudem besitzen sie eine sehr ho-he Zeitkritikalität, da die Fahrzeuge sehr mobil sind und sich somit die Verkehrssituation,die durch die Beacons abgebildet werden soll, sehr schnell ändert. Bei den zu ergreifendenSchutzmechanismen ist also auf eine hohe Effizienz in Bezug auf Performance und zusätzli-cher Nachrichtenlänge (Overhead) zu achten.

Angreifer können durch das Einspeisen falscher Nachrichten oder das Verfälschen von Nach-richten bei der Weiterleitung Fehlreaktionen auslösen und so den Verkehrsfluss beeinflussenund potentiell gefährliche Situationen herbeiführen (siehe auch Abschnitt 3.1.2). Theoretischkönnen neu generierte, falsche Nachrichten oder Wiederholungen alter Nachrichten (Replay-Attacke) eingespeist werden.

Dies ist vor allem so lange sehr problematisch, wie Missbrauch nicht erkannt und verfolgt wer-den kann. Die Integrität und Zurechenbarkeit der Beacons muss somit sichergestellt werden.Hier ist anzumerken, dass die Zurechenbarkeit als Mittel der Abschreckung nicht unmittel-bar gegeben sein muss. Es ist ausreichend, wenn bei Missbrauch im Nachhinein der Verant-wortliche zweifelsfrei festgestellt und zur Rechenschaft gezogen werden kann. Des Weiterenhaben die Teilnehmer die Möglichkeit, die erhaltenen Informationen mit den Daten andererTeilnehmer und den fahrzeugeigenen Sensoren abzugleichen (vgl. z.B. [GGS04], [Kos05]oder [GFL+07]). Sollten sich Unstimmigkeiten ergeben, wird man sich im Zweifelsfall aufdie fahrzeugeigenen Sensoren verlassen, die als integer angenommen werden (siehe Abschnitt4.9).

3.2.4 Anwendungskategorie 2: Warnungen (A2)

In dieser Kategorie werden alle Warnungen und Nachrichten zusammengefasst, die Informa-tionen über Probleme und Ereignisse im Straßenverkehr enthalten, die die Verkehrssicherheit

Mitglieder zu verwenden geht auf das Konzept des „Anonymity Sets“ aus [Cha88] zurück. In [PK00] wird einAnonymity Set bzw. eine Anonymitätsmenge als Menge aller Subjekte beschrieben, die eine bestimmte Aktionausgelöst haben könnten.

3.2 Anwendungen 37

gefährden könnten. Dazu zählen vor allem Unfälle, Hindernisse, schlechte Fahrbahnbeschaf-fenheit usw. Diese Warnungen bzw. Informationen können entweder ausgelöst werden, wenndie fahrzeuginternen Sensoren ein eindeutiges Problem feststellen oder wenn die Aggregationvon Informationen z.B. aus den Beacons auf eine Gefährdung des Straßenverkehrs bzw. eineabnormale Situation hinweist. Da Nachrichten dieser Kategorie im Regelfall also erst nacheiner eindeutigen Problem- bzw. Gefahrenerkennung gesendet werden, ist ihnen eine höherePriorität einzuräumen als den Beacons.

Da die ausgetauschten Informationen meist einem fixen, geographischen Ort zugeordnet sind,wie z.B. Glatteis einem bestimmten Teil einer Straße, werden die Nachrichten dieser Kategorieüber Broadcast- bzw. genauer Geocast-Mechanismen verteilt (vgl. [Why05]). Unter Geocas-ting versteht man das Senden einer Nachricht an alle Empfänger, die sich in einer bestimmtengeographischen Region befinden (siehe [Mai04], [KV98]). Bespiele hierfür wären: alle Teil-nehmer hinter dem Senderfahrzeug innerhalb von 100m; Fahrzeuge auf der Gegenfahrbahn;Fahrzeuge im „toten Winkel“. Die Nachrichten werden also im Gegensatz zu den Beaconsüber mehrere Hops weitergeleitet und haben somit eine größere Reichweite.

Die Reichweite und damit die potentiell erreichte Anzahl anderer Teilnehmer kann dabei vomSender festgelegt werden bzw. hängt von der Art der Warnung ab. Warnungen bzw. Informa-tionen über einen Stau sind beispielsweise für einen größeren Empfängerkreis interessant alslokale Glättewarnungen. Dies hängt damit zusammen, dass die Empfänger im Fall einer Stau-warnung eine Alternativroute wählen werden, wenn sie früh genug von dem Stau erfahren. ImFall der Glättewarnung werden sie nur in der beschränkten Region, in der Glätte droht, ihreGeschwindigkeit reduzieren und interessieren sich folglich nicht schon viele Kilometer vorherdafür. Eine weitere Herausforderung, die in diesem Zusammenhang besteht, ist die Tatsache,dass die Nachrichten für einen längeren Zeitraum gültig sein können, wie z.B. die Sperrungeiner Straße. Da dieser Zeitraum in vielen Fällen a priori nicht genau bekannt sein wird, müs-sen auch die Gültigkeiten der Nachrichten adäquat gewählt werden, so dass sie einerseits nichtzu kurz sind und andererseits dennoch die Aktualität der Informationen gewährleisten.

Fahrzeuginterne Erkennung

Die Fahrzeuge neuerer Generation verfügen über ein Netz aus Sensoren (vgl. [Rob02],[Krü04]), die fahrzeugweit ihre Datenmessungen zur Verfügung stellen. Im Folgenden wer-den Beispiele für Sensoren, deren Daten in verkehrssichernde Nachrichten und Warnungeneinfließen können, angegeben. Hinter den einzelnen Sensoren sind in Klammern deren aktuel-le Hauptanwendungsgebiete angeführt.


• Abstandsradar (ACC12, Precrash13)

• Hochdrucksensor (ESP14)

• Lenkradwinkelsensor (ESP)

• Beschleunigungssensor (Airbag)

• Sitzbelegungssensor (Airbag)

• Drehratesensor (ESP, Überrollsensierung)

• Neigungssensor (Sicherungssysteme, Scheinwerferverstellung)

• Drehzahlsensor (ABS15)

• Regensensor (Scheibenwischersteuerung)

• Abstandssensor Ultraschall (Rückraumüberwachung)

Die Entwicklung im Sensorik-Bereich ist mittlerweile soweit fortgeschritten, dass schon sehrgenaue Einschätzungen und Abstufungen mit den erfassten Daten möglich sind. So kann bei-spielsweise zwischen Aquaplaning, Eisglätte, Schneeglätte oder einer Ölspur unterschiedenwerden. Praktisch alle Hersteller haben Systeme im Angebot, die den Fahrzeugzustand ein-schätzen und entsprechendeMaßnahmen einleiten können. Ein Beispiel für ein solches Systemist das in der Aufzählung schon aufgeführte ESP. Fortgeschrittenere Technik, die wesentlichmehr Informationen aus den Sensoren vernetzt, bieten z.B. Mercedes mit PreSafe und Lexusmit seinem Advanced Pre-Crash-System (APCS).

Hier wird z.B. im Falle von PreSafe der Frontbereich des Fahrzeugs überwacht und bei einemdrohenden Zusammenstoß der Fahrer gewarnt, Bremsdruck aufgebaut und eine automatischeTeilbremsung eingeleitet (vgl. [Hei07c]). Mit dem System wären auch Vollbremsungen mög-lich, darauf wird momentan allerdings noch verzichtet, um einerseits den Fahrer nicht zu ent-mündigen und andererseits wohl auch um Haftungsfragen zu entgehen. Neben diesen Crash-Vermeidungsmaßnahmen werden auch Maßnahmen zur Abmilderung der Folgen eines Crashsergriffen. Dies sind im Falle von PreSafe Maßnahmen wie das Straffen der Gurte, Schließen

12Adaptive Cruise Control; unter dieser Bezeichnung werden die aktuellen Abstandsregelautomaten und Tempo-maten geführt, die meist mit Hilfe von Radar den direkten Vordermann beobachten und die gefahrene Geschwin-digkeit an diesen anpassen (vgl. [KFG06]). Durch die Verwendung eines nach vorne gerichteten Radarstrahlsbestehen wie oben schon angedeutet Probleme, wenn der Vordermann nicht richtig reagiert oder z.B. beim Ab-biegen aus dem Bereich des Strahls gerät. Momentan haben diese Systeme auch noch Erkennungsprobleme mitden schmalen Silhouetten z.B. von Motorradfahrern (vgl. [Aut07]).

13Viele Fahrzeuge der gehobenen Klasse besitzen heute Systeme wie Bremsassistenten, die bei drohendem Fron-taufprall automatisch Bremsdruck aufbauen und sogar Notbremsungen durchführen können (vgl. [Aut07],[Hei07c]).

14Elektronisches Stabilitätsprogramm; dies ist ein Antischleuder-System, das mit Hilfe von Bremseingriffen anden einzelnen Rädern das Ausbrechen des Fahrzeugs innerhalb gewisser physikalischer Grenzen verhindernkann (vgl. [Rob03]).

15Anti-Blockiersystem; das Blockieren der Räder wird erkannt und durch kurzzeitigen Abbau des Bremsdrucksverhindert, wodurch das Fahrzeug lenkbar bleibt (vgl. [Rob03]).

3.2 Anwendungen 39

der geöffneten Fenster und Aufrichten der Sitzlehnen (vgl. [Aut07]). Im Falle der Teilnahmeam VANET käme hier dann beispielsweise noch das Senden einer Pre-Crash-Warnung hinzu.

Weitere Beispiele sind:

• Vorausfahrende Fahrzeuge übermitteln ihre durch Schlupfregelsysteme wie ABS undESP erworbenen Kenntnisse über die Fahrbahnbeschaffenheit (Glätte, Aquaplaning, Öl-spuren etc.) in entsprechendenWarnungen (Glatteiswarnung, Warnung vor Aquaplaningusw.).

• Nachdem sich ein Unfall ereignet hat, werden alle nachfolgenden Fahrzeuge mit Hilfevon Unfallwarnungen darüber in Kenntnis gesetzt und können so Folgeunfälle vermei-den und darüber hinaus Hilfe leisten. Die Erkennung eines Unfalls kann aufgrund vonausgelösten Airbags, einem Pre-Crash-System oder sogar einer neuartigen akustischenMessung der Unfallschwere (siehe [Sto05]) ermittelt werden.

• Das Unfallfahrzeug leistet – wenn technisch noch möglich – durch Absetzen eines Not-rufs selbst einen Beitrag zur Initiierung der Rettungskette und gibt die genaue Positionder Unfallstelle, die Zahl der involvierten Fahrzeuge, die Unfallschwere (siehe vorheri-ges Beispiel) etc. an. Dies liefert den Einsatzkräften wertvolle Hinweise für ein raschesund adäquates Eingreifen.

Erkennung aufgrund aggregierter Informationen

Wie oben schon angedeutet, können viele Gefahrensituationen nur durch Aggregation der an-fallenden Daten erkannt werden. Kommt nun ein Teilnehmer aufgrund seiner Datenlage zudem Schluss, dass eine potentiell gefährliche Situation gegeben ist, schickt er eine entspre-chende Warnung bzw. Information an die anderen Verkehrsteilnehmer. Der Vorteil dieses Vor-gehens ist, dass mehr Teilnehmer wesentlich früher informiert werden können, als es nur mitden Beacons und der Auswertung in jedem einzelnen Fahrzeug möglich wäre.

Beispiele sind die oben schon erwähnten Stauwarnungen oder Warnungen vor zähfließendemVerkehr. Des Weiteren könnten die Teilnehmer vor unmittelbar bevorstehenden Kollisionen anKreuzungen, Bahnübergängen etc. gewarnt werden. Ziel einer solchen Warnung ist es, Fah-rer und Fahrzeug in die Lage zu versetzen, den drohenden Verkehrsunfall zu vermeiden, ab-zuschwächen oder zumindest den bevorstehenden Aufprall bestmöglich vorzubereiten. Einweiteres Beispiel ist, Verkehrsteilnehmer vor einer beginnenden oder anhaltenden Rotphaseeiner Ampel oder vor einem Stoppschild zu warnen. Auch eine Bremsassistenz basierend aufder Fahrbahnbeschaffenheit, der derzeitigen Geschwindigkeit des Fahrzeugs, der Position desVerkehrszeichens und ggf. den Schaltintervallen der Ampel ist denkbar.

Diese Warnungen können natürlich nicht nur auf Grundlage der Fahrzeugnachrichten ver-schickt werden, sondern auch auf Nachrichten basieren, die von stationären Sendern stammenoder direkt von diesen initiiert werden. In diesem Kontext kann das VANET auch als ein Netzvon Sensoren gesehen werden, wobei mit Sensoren hier die einzelnen Fahrzeuge gemeint sind,


die Daten über die Verkehrslage in ihrer direkten Umgebung sammeln. Durch ein stationäresNetz von Transmittern werden diese Daten empfangen und an eine zentrale Instanz weiterge-geben. Dort entsteht nach Aggregation der Daten ein globales Bild der aktuellen Verkehrsla-ge16. Darauf aufbauend lassen sich diverse Dienste realisieren, wie die folgenden Beispiele inAnlehnung an [BFSV01] zeigen:

• Durch die aggregierten Daten sind verschiedene Optimierungen möglich, wie z.B. tem-poräre Geschwindigkeitsbegrenzungen, um den Verkehrsfluss auf bestimmten Streckenzu harmonisieren, oder Vorschläge für Alternativrouten aufzuzeigen, falls ein Stau schonentstanden ist. Diese Ergebnisse würden dann von der zentralen Instanz mit Hilfe derTransmitter an die betreffenden Verkehrsteilnehmer übermittelt. Unter Umständen kanndamit auch stationäre Infrastruktur, wie Wechselverkehrszeichen, gesteuert werden, umz.B. Geschwindigkeitsbegrenzungen anzuzeigen und als Anweisung (siehe nächste Ka-tegorie) zu versenden.

• Auch die Beobachtung und Vorhersage der Verkehrsentwicklung wird durch diese In-formationen möglich. Stellen, an denen über einen gewissen Zeitraum z.B. überdurch-schnittlich viele Unfälle passieren oder viele Staus entstehen, können genauer unter-sucht und durch entsprechende Warnhinweise oder bauliche Maßnahmen entschärftwerden.

• Denkbar sind auch Dienste im Bereich des Parkraummanagements. Sensoren an Park-plätzen ermitteln die aktuelle Parksituation vor Ort, die dann wieder bei einer zentralenInstanz gesammelt werden. Anfragen von Teilnehmern zu Parkmöglichkeiten werdendurch das Netz an diese Instanz geleitet. Dort wird im positiven Fall ein Parkplatz re-serviert und die Zielkoordinaten an das Navigationssystem des Teilnehmers übertragen.Im negativen Fall könnten Alternativvorschläge gegeben werden. Hier ist anzumerken,dass dieses Beispiel nur die Möglichkeiten aufzeigen soll, die durch die Aggregationder Daten entstehen. Der beschriebene Dienst fällt eher unter den Bereich der (kosten-pflichtigen) Komfort-Dienste (siehe Abschnitt 3.2.6).

In [Tur98] werden konkrete Vorschläge gemacht, wie die Informationssammlung eines solchenzentralen Dienstes implementiert werden kann. Zur Datensammlung wird dabei von der statio-nären Infrastruktur periodisch ein „Probe Request“ verschickt, auf den die Fahrzeuge mit dengewünschten Daten antworten. Diese werden dann an die Zentrale weitergeleitet. [FYK+04]zeigt, dass ein Abfrageintervall von drei Minuten zur Stauerkennung in Echtzeit ausreicht.

Schutzbedarf

Auch die Daten dieser Kategorie sollen jedem Teilnehmer des VANETs zur Verfügung ste-hen. Die Vertraulichkeit der Daten muss also nicht geschützt werden, es besteht wie bei den

16Die Granularität bzw. der abgedeckte Bereich dieses globalen Bildes hängen maßgeblich von der Dichte bzw.der Größe des Netzes von Transmittern ab.

3.2 Anwendungen 41

Beacons eher die Herausforderung, die Daten an unbekannte Empfänger zustellen zu kön-nen. Die Anforderungen in Bezug auf den Schutz der Privatsphäre sind nicht so hoch wiebei den Beacons. Einerseits haben die Nachrichten dieser Kategorie zwar eine relativ großeReichweite, andererseits werden sie aber auch nur sporadisch verschickt – nämlich wenn eineProblemsituation erkannt und noch keine entsprechende Warnung von einem anderen Teilneh-mer empfangen wurde. Es besteht also die Gefahr, dass der Aufenthaltsort eines Teilnehmerspunktuell preisgegeben wird. Die Gefahr der Erstellung von Bewegungsprofilen besteht nicht,da die Anzahl der versendeten Warnungen dafür nicht hoch genug ist.

Die Nachrichten dieser Kategorie machen keinen großen Anteil der im VANET versende-ten Daten aus, besitzen aber eine relativ hohe Zeitkritikalität, da die Knoten sehr mobil sindund die Warnungen und Informationen nur Sinn machen, wenn sie die Empfänger früh ge-nug erreichen. Bei den zu ergreifenden Schutzmechanismen ist also auf Effizienz in Bezugauf Performance zu achten, wobei die Vorwarnzeit – und damit auch die zur Verfügung ste-hende Bearbeitungszeit – durch eine größere Reichweite (zumindest für noch weiter entfernteTeilnehmer) verlängert werden kann.

Angreifer können durch das Einspeisen falscher Nachrichten oder das Verfälschen von Nach-richten bei der Weiterleitung wie auch schon bei den Beacons Fehlreaktionen auslösen und soden Verkehrsfluss beeinflussen und potentiell gefährliche Situationen herbeiführen. Theore-tisch können auch hier neu generierte, falsche Nachrichten oder Wiederholungen alter Nach-richten (Replay-Attacke) eingespeist werden, was so lange sehr problematisch ist, wie Miss-brauch nicht erkannt und verfolgt werden kann. Die Integrität und Zurechenbarkeit muss alsosichergestellt werden. Es ist anzumerken, dass die Zurechenbarkeit als Mittel der Abschre-ckung nicht unmittelbar gegeben sein muss. Es ist ausreichend, wenn bei Missbrauch imNachhinein der Verantwortliche zweifelsfrei festgestellt und zur Rechenschaft gezogen wer-den kann. Die Empfänger haben allerdings praktisch keine Möglichkeit, die erhaltenen Infor-mationen auf Plausibilität zu prüfen, da sie in den meisten Fällen noch zu weit von dem Ort,den die Warnung betrifft, entfernt sein werden bzw. durch die eigenen Sensoren logischerwei-se nicht bestätigt werden kann, ob ein anderes Fahrzeug irgendwo durch einen Defekt odereinen Unfall liegen geblieben ist und die Fahrbahn blockiert.

3.2.5 Anwendungskategorie 3: Alarmsignale und Anweisungen (A3)

In dieser Kategorie werden alle Nachrichten zusammengefasst, die nur von speziell berechtig-ten Teilnehmern gesendet werden dürfen und von den jeweiligen Empfängern befolgt werdenmüssen. Zu diesen berechtigten Teilnehmern gehören in erster Linie Polizeistreifen, Einsatz-kräfte der Feuerwehr und des technischen Hilfswerks (THW), Notärzte und Rettungssanitäter,die bereits seit langer Zeit in Notfällen mit Hilfe von optischen und akustischen Signalen aufsich aufmerksam machen, um freie Fahrt zu haben (vgl. §38 Abs. 1 StVO). Zudem könnenPolizeibeamte (vgl. §36 Abs. 5 StVO) oder seit Einführung der Autobahnmaut auch Kon-trolleure des BAG (Bundesamt für Güterverkehr) Anweisungen an Verkehrsteilnehmer geben,einem Fahrzeug zu folgen oder anzuhalten.


Allgemeine AnweisungenSpezielle

AnweisungenNotfall-

anweisungen

Verkehrssteuernde

Anweisungen

Polizei + + +

Feuerwehr, THW, Notarzt,

Rettungssanitäter

+ + –

BAG – – +

Fahrzeuge von Auto-

bahnmeisterei, Straßen-

meisterei, städtischem

Bauhof

– + –

Stationäre Infrastruktur,

wie Ampeln, Stoppschilder

etc.

+ + +

Tabelle 3.3: Privilegierte Teilnehmer und Berechtigungen

Zur Zeit ist es bei Kontrollen des Zolls, des BAG oder allgemeinen Verkehrskontrollen gän-gige Praxis, dass ein Beamter mit Uniform, Warnweste und Kelle vom Straßenrand aus mitGesten das zu kontrollierende Fahrzeug zum Anhalten auffordert. Dies gefährdet zum einenden Beamten, da er insbesondere an Schnellstraßen oder Autobahnen von unaufmerksamenVerkehrsteilnehmern erfasst werden kann, und zum anderen können diese Gesten unter Um-ständen missverstanden oder fehlinterpretiert werden. Möglicherweise ist nicht eindeutig zuerkennen, wer angesprochen werden soll oder gerade der Gemeinte übersieht das Signal. Poli-zeibeamte, die ein Fahrzeug zum Folgen auffordern wollen, müssen sich vor diesem einordnen(die Mitteilung erfolgt dann meist über ein Matrix-Feld) oder zumindest überholen (hier hältein Beamter eine Kelle aus dem Fenster). Auch hier werden durch die nötigen Überholvorgän-ge die Einsatzkräfte und alle anderen Verkehrsteilnehmer gefährdet.

Mit Hilfe des VANETs können diese Situationen einfacher und sicherer gestaltet werden: Zu-sätzlich zu Blaulicht und Sirene können Einsatzfahrzeuge via spezieller Alarmsignale und An-weisungen z.B. sämtliche Verkehrsteilnehmer vor ihnen auffordern, den Weg frei zu machen.Des Weiteren könnten Polizisten oder BAG-Kontrolleure gezielt Nachrichten mit Anweisun-gen an einzelne Fahrzeuge schicken, um sie beispielsweise zum Anhalten aufzufordern. Derbetroffene Fahrer erhält die Information dann umgehend und in eindeutiger Form.

Hier kann grundsätzlich zwischen zwei Arten von Nachrichten unterschieden werden: An-weisungen, die sämtliche Fahrzeuge in einem bestimmten Gebiet betreffen (im Folgenden als„allgemeine Anweisungen“ bezeichnet) und solche, die nur einen einzelnen oder eine aus-gewählte Gruppe von Teilnehmern betreffen (im Folgenden als „spezielle Anweisungen“ be-zeichnet). Zudem lassen sich die allgemeinen Anweisungen noch in zwei Untergruppen teilen:Notfallanweisungen und verkehrssteuernde Anweisungen.

3.2 Anwendungen 43

Zu den Notfallanweisungen gehören insbesondere Aufforderungen an Verkehrsteilnehmer, denWeg oder eine Kreuzung für Einsatzfahrzeuge frei zu machen oder frei zu halten (vgl. u.a. §11Abs. 2 StVO: Bildung der Rettungsgasse). Sie dürfen nur von Rettungskräften der Feuerwehr,Notärzten, Rettungssanitätern oder Polizeibeamten im Einsatz gesendet werden, sollten aber,um die Reaktionszeit für andere Verkehrsteilnehmer weiter zu erhöhen, nach Vorgaben desSenders von allen Knoten weitergeleitet werden. Es ist denkbar, dass die Einsatzkräfte auchInfrastruktur beeinflussen und sich so freie Fahrt auf dem Weg zu ihrem Einsatzort sichernkönnen. [DKKS05] schlägt beispielsweise ein Protokoll vor, mit dem Ampelanlagen so be-einflusst werden können, dass sie bei Ankunft der Einsatzkräfte für diese in der gewünschtenRichtung Grün zeigen und alle anderen Verkehrsteilnehmer durch Rot zum Anhalten veran-lassen. Eine vergleichbare Lösung zur Optimierung des Verkehrsflusses durch Lichtsignalbe-einflussung für den ÖPNV (öffentlicher Personennahverkehr) existiert bereits (vgl. [Con08]).

Die verkehrssteuernden Anweisungen dagegen dienen dazu, den Verkehr bei Behinderungen,bei denen es sich um Unfälle oder Gefahrensituationen, aber auch um Bau-, Mäh- oder Mar-kierungsarbeiten handeln kann, umzuleiten oder zu steuern. Dies kann z.B. bedeuten, dassVANET-Teilnehmer frühzeitig über gesperrte Spuren oder Streckenabschnitte informiert wer-den und Einfädel- und Umleitungsvorgänge somit einfacher koordiniert werden können. Dem-zufolge sind auch einige Fahrzeuge von Autobahn- oder Straßenmeistereien oder städtischenBauhöfen (wie z.B. fahrbare Absperrtafeln) dazu autorisiert. Es wird auch darüber diskutiert,dass Ampeln ebenfalls über Anweisungen ihren aktuellen Status und ihre Schaltzeiten an dieVerkehrsteilnehmer weiter geben könnten. Des Weiteren können Warnungen oder Anhaltean-weisungen abgesetzt werden, wenn kritische Verkehrszeichen (rote Ampeln, Einbahnstraßenetc.) nicht beachtet werden (vgl. [DKKS05]).

Die speziellen Anweisungen an einzelne Teilnehmer dürfen nur von Polizeibeamten oder Kon-trolleuren des BAG gesendet werden. In Zukunft kann zu den berechtigten Teilnehmern auchspezielle Infrastruktur wie Ampeln oder Stoppschilder hinzukommen (vgl. oben). Tabelle 3.3fasst das Beschriebene noch einmal zusammen. Es bleibt anzumerken, dass die hier vorge-stellte Zuordnung der Berechtigungen einen exemplarischen Charakter besitzt und nicht alleBesonderheiten der aktuellen Gesetzeslage abbildet. Zudem können natürlich Gesetzesände-rungen oder die rechtliche Situation in anderen Ländern zu einer anderen Zuordnung führen.

Schutzbedarf

Die Nachrichten dieser Kategorie müssen jedem Teilnehmer des VANETs zur Verfügung ste-hen, da er diesen Folge leisten muss. Die Vertraulichkeit der Daten muss im Regelfall nichtgeschützt werden. Wird in den Anweisungen allerdings der Weg der Einsatzkräfte durch dasSenden der aktuellen Position, der Route und des Ziels beschrieben, können in manchen Si-tuationen Konflikte entstehen. Einerseits ist es beispielsweise von Vorteil, wenn die Verkehrs-teilnehmer frühzeitig über einen ankommenden Polizeiwagen im Einsatz informiert sind, umentsprechend reagieren zu können. Andererseits ist es kontraproduktiv, wenn Positionen, Sen-dezeiten und Ziel bis zu einem Fluchtfahrzeug weitergeleitet werden und dieses somit selbst


feststellen kann, wann mit dem Eintreffen der Polizei zu rechnen ist. Ein solcher Konflikt wäreaber in der konkreten Anwendung zu prüfen und zu lösen. Obiger Konflikt könnte z.B. gelöstwerden, indem ein anderes Ziel angegeben wird, die Route aber am echten Ziel vorbeiführt.

Wie auch bei den beiden bisher beschriebenen Kategorien besteht die Herausforderung, dieDaten an unbekannte Empfänger in einem bestimmten Gebiet möglichst zuverlässig undschnell zustellen zu können. Die Privatsphäre der Sender muss hier nicht geschützt werden.Polizisten, die Kontrollen durchführen, müssen sich beispielsweise ohnehin auf Nachfrageausweisen (vgl. u.a. Bayern: Art. 6 PAG (Polizeiaufgabengesetz), Sachsen: SächsPolG §8)und in Notfallsituationen überwiegt das Wohl der gefährdeten Personen oder Güter gegenüberder Privatsphäre des Einsatzteams.

Die Nachrichten dieser Kategorie machen keinen großen Anteil der im VANET versendetenDaten aus, besitzen aber eine relativ hohe Zeitkritikalität, da die Empfänger möglichst schnellden Anweisungen z.B. zur Bildung einer Rettungsgasse Folge leisten müssen. Bei den zuergreifenden Schutzmechanismen ist also auf Effizienz in Bezug auf Performance zu achten,wobei die Vorwarnzeit – und damit auch die zur Verfügung stehende Bearbeitungszeit – wiederdurch eine größere Reichweite (zumindest für noch weiter entfernte Teilnehmer) verlängertwerden kann.

Angreifer können durch das Einspeisen falscher Nachrichten oder das Verfälschen von Nach-richten bei der Weiterleitung Fehlreaktionen auslösen und so den Verkehrsfluss beeinflussenund potentiell gefährliche Situationen herbeiführen. Theoretisch können auch hier neu ge-nerierte, falsche Nachrichten oder Wiederholungen alter Nachrichten (Replay-Attacke) ein-gespeist werden. Diese Angriffe sind hier besonders problematisch, da die Empfänger keineMöglichkeit haben, die Anweisungen auf Plausibilität zu prüfen. Sie müssen solchen Nach-richten einfach nur unverzüglich nachkommen. Die Integrität und Zurechenbarkeit der Nach-richten muss also unbedingt gewährleistet sein. Auch die Autorisation eines Senders zum Sen-den der betreffenden Anweisung muss unmittelbar feststellbar sein. Ist dies nicht der Fall,könnten Angreifer ihre Opfer beispielsweise durch Anhalteanweisungen zum Anhalten zwin-gen oder Serienunfälle provozieren, indem sie einer Ampelanlage die Anweisung zuschicken,auf allen Fahrspuren grün zu zeigen. Es kann dabei nicht sichergestellt werden, dass der Emp-fänger Zeit und Gelegenheit dazu hat, sich zur Prüfung der Autorisation des Senders Zusatz-informationen z.B. von zentralen Stellen zu holen.

3.2.6 Anwendungskategorie 4: Komfort-Dienste (A4)

In der letzten Kategorie werden alle denkbaren Komfort-Dienste zusammengefasst. Diese be-ruhen meist nicht auf Geocast sondern auf Unicast, d.h. im Regelfall kommunizieren zweiKommunikationspartner miteinander, die sich bereits kennen und eine Verbindung miteinan-der etabliert haben (Ende-zu-Ende-Kommunikation). In vielen Fällen besteht dabei auch einwirtschaftlicher Hintergrund. Beispiele für solche neuen Geschäftsmodelle bzw. Dienste sind:

3.2 Anwendungen 45

• Positionsbasierte Dienste (Location Based Services, LBS), wie z.B. Hotel- oderRestaurantfinder, Informationen zu Sehenswürdigkeiten, Routenführung etc.

• Mobile Internetverbindung: Hier wird dem Nutzer über stationäre Transmitter ein Zu-gang zum Internet bereitgestellt. Ggf. müssen die Pakete der Internetverbindung überandere Teilnehmer bis zu den stationären Transmittern des Dienstanbieters weitergelei-tet werden.

• Mobile Zahlverfahren, z.B. für Mautabrechnung, Fast-Food-Restaurants oder Park-häuser (vgl. [Hei06b]). Diese können alltägliche Abfertigungsprozesse bequemer undschneller machen und fördern – bei erfolgreicher Konzeption und Implementation –die Benutzerakzeptanz von VANETs. Gerade der Mautbereich (toll collection) bie-tet großes Potential in wirtschaftlicher Hinsicht und kann einen der größten Beiträgezur Netzabdeckung leisten. Das Mautsystem in Österreich arbeitet beispielsweise mitVANET-Funktechnologie und die dabei verwendeten Kontrollbrücken sollen den Ange-stellten der Autobahngesellschaft zukünftig drahtlos den Zugang zum Internet vermit-teln (vgl. [URL08a], [Hei06e]).

• Fahrstilabhängige Versicherungstarife: Hierbei wird online jede Bewegung des Fahr-zeugs an den Versicherer weitergemeldet und dieser kalkuliert aus den zurückgelegtenStrecken die zu zahlende Prämie. Dabei wird auch der Fahrstil berücksichtigt, d.h. esist mit Risikoaufschlägen zu rechnen, wenn man beispielsweise vorgegebene Höchstge-schwindigkeiten nicht einhält. Ein solches Modell wird unter dem Namen „Pay as youdrive“ beispielsweise seit 2005 von einem britischen Versicherungsunternehmen ange-boten (vgl. [Nor05], [Det06]).

• Veränderbare Motorleistung: Hier wird z.B. daran gedacht, dass sich die Nutzer zu-sätzliche Motorleistung für den Urlaub in den Bergen „mieten“ können. Dafür laden siesich ein Software-Update auf das Motorsteuergerät ihrer Fahrzeuge (vgl. [RG05]). NachAblauf der Mietzeit wird die Original-Software wieder hergestellt. Aber nicht nur leis-tungssteigernde Maßnahmen könnten mit einem solchen Dienst vorgenommen werden:

Laut [Hei05] liegen bei manchen Versicherungsunternehmen schon Pläne in der Schub-lade, mittels ferngesteuerter elektronischer Tempobegrenzer eine dynamische und vomAutofahrer nicht beeinflussbare Einhaltung zulässiger Höchstgeschwindigkeiten zu er-reichen. Diese sog. „Intelligent Speed Adaption“ Systeme (ISA) würden anhand vonaktuellen Positionsdaten und Informationen zu geltenden Tempolimits beispielsweiseauf besonders unfallgefährdeten Autobahn- oder Landstraßenabschnitten die Geschwin-digkeit eines Fahrzeugs durch autonome Eingriffe in das Motormanagement auf denjeweiligen – vielleicht sogar wetterabhängigen – Höchstwert beschränken.

Wie schon in Abschnitt 3.2.4 angedeutet, werden viele Dienste auch durch die Aggregationder zur Verfügung stehenden Daten durch eine zentrale Instanz ermöglicht. Beispiele wärenDienste, die basierend auf den Beacons und Warnungen optimierte Routen bereitstellen oderUnterstützung bei der Parkplatzsuche leisten (siehe Abschnitt 3.2.4 für eine Möglichkeit zurUmsetzung).


Beacons Warnungen Alarmsignale und

Anweisungen

Komfort-Dienste

Vertraulichkeit – – – –/++

Integrität + + ++ –/++

Verfügbarkeit + + ++ –/+

Schutz der Privatsphäre ++ + – +

Anteil am Datenverkehr ++ – – +/++

Tabelle 3.4: Schutzbedarf der Anwendungskategorien

Schutzbedarf

Die Vertraulichkeit der Daten dieser Kategorie hängt sehr stark vom konkreten Dienst ab. Freiverfügbare Informationen über eine Sehenswürdigkeit, die beispielsweise vom Fremdenver-kehrsamt kostenlos zur Verfügung gestellt werden, benötigen keinen Schutz in dieser Hinsicht.Bei teuren Bezahldiensten, bei denen z.B. zur Leistungssteigerung eine neue Software für dasMotorsteuergerät übertragen wird, ist die Vertraulichkeit der übertragenen Daten allerdingsunabdingbar.

Der Schutz der Privatsphäre sollte bei allen Diensten gewährleistet werden, um der Erstellungvon Bewegungs- oder Dienstnutzungsprofilen entgegenzuwirken. Andernfalls besteht z.B. dieGefahr der Erstellung von Nutzungsprofilen, die Aufschluss über gewisse Verhaltensmusteroder Vorlieben geben können. So könnte einem Nutzer z.B. eine Vorliebe für chinesischesEssen zugeschrieben werden, wenn er häufig die nächsten chinesischen Restaurants abfragt.

Die Nachrichten dieser Kategorie machen höchstwahrscheinlich einen großen Anteil der imVANET versendeten Daten aus, besitzen aber keine hohe Zeitkritikalität, da die Dienste inder Regel nichts mit der Verkehrssicherheit zu tun haben. Trotzdem sollte natürlich auf dieVerfügbarkeit und bei den zu ergreifenden Schutzmechanismen auf Effizienz in Bezug aufPerformance und Übertragungskapazität geachtet werden. Denn gerade in der Einführungs-phase des VANETs sollen diese Komfort-Dienste zuverlässig und performant funktionierenund Anreize für die Käufer von Fahrzeugen schaffen, in VANET-Technologie zu investieren.

Den Teilnehmern darf es nicht möglich sein, Dienste unter der Identität eines anderen be-kannten oder fiktiven Knotens in Anspruch zu nehmen. Hier sind unter dem Gesichtspunktder mehrseitigen Sicherheit z.B. die Dienstbetreiber (Mauterheber, Banken, sonstige gebüh-renpflichtige Dienste) hinsichtlich der Abrechnungsintegrität zu schützen, d.h. das Versendendieser Nachrichten muss eindeutig zurechenbar und darf nicht abstreitbar sein. Der Grad dergeforderten Zurechenbarkeit hängt aber, wie schon die Vertraulichkeit, stark vom konkretenDienst ab. Des Weiteren muss sichergestellt werden, dass Zwischenknoten bei der Weiterlei-tung von Nachrichten diese nicht unerkannt verfälschen oder verwerfen können.

3.3 Angreifermodelle 47

3.3 Angreifermodelle

In diesem Abschnitt werden einige Angreifermodelle17 (AM) definiert, die dazu dienen sollen,die in den nachfolgenden Kapiteln vorgestellten Lösungen und Lösungsansätze aufgrund desSchutzes, den sie gegenüber verschiedenen Angreifermodellen bieten, zu bewerten. Zuerstwerden die möglichen Ausprägungen der verschiedenen Dimensionen eines Angreifermodells(Rollen, Verbreitung, Verhalten, Ressourcen und Kompetenzen) aufgezeigt, um anschließendkonkrete Kombinationen daraus zu bilden. Zur Veranschaulichung werden, wo nötig, möglicheInteressen bzw. Absichten oder Ziele eines Angreifers aufgeführt. Hier ist hervorzuheben, dassdie Feststellung, dass eine Instanz angreifen kann, nicht damit gleichzusetzen ist, dass siewirklich angreift [Fed99].

3.3.1 Mögliche Ausprägungen eines Angreifers

Die für diese Arbeit relevanten Punkte aus [HCL04], [PP05], [Paa04], [Pfi00b] und [Fed99]werden im Folgenden dargestellt und angelehnt an [Mle05] um weitere kontextbezogene Aus-prägungen ergänzt.

Rollen des Angreifers: Im Folgenden werden die verschiedenen Rollen aufgezählt, die einAngreifer annehmen kann. Es ist zu beachten, dass auch Kombinationen aus verschiedenenRollen möglich sind.

• Fahrzeugführer (Besitzer): Wenn der Fahrzeugführer gleichzeitig auch Fahrzeughalterist, werden diese Rollen im weiteren Verlauf stellvertretend mit Fahrzeugführer oderkurz Fahrer bezeichnet. Ein denkbares Ziel wäre eine Dienstnutzung unter falscher Iden-tität, um die Bezahlung des Dienstes zu umgehen.

• Fahrzeughalter (Eigentümer): Wenn der Fahrzeughalter nicht zugleich auch Fahrzeug-führer ist, können hier unterschiedliche Interessen vorliegen. Vorstellbar ist z.B. ein Au-toverleih, der als Eigentümer seiner Fahrzeuge wissen möchte, wohin und wie schnellseine Kunden fahren.

• Netzbetreiber: Hierunter sind Betreiber von stationären Netzen zu verstehen, die denTeilnehmern des VANETs Kommunikationsdienste vergleichbar mit zellulären Net-zen anbieten. Bei Netzbetreibern besteht vor allem die Gefahr der Erstellung vonBewegungs- oder Nutzungsprofilen.

• Dienstbetreiber: Die Rolle des Dienstbetreibers kann sehr unterschiedlich ausfallen. Aufder einen Seite ist eine Tankstelle denkbar, die ihren Kunden Mehrwertdienste anbietet,auf der anderen Seite auch eine zentral gesteuerte Streckenführung von Fahrzeugen. Wie

17Durch Angreifermodelle wird die maximale Stärke eines Angreifers aufgezeigt, gegen die eine Lösung geradenoch schützt. Eine ausführliche Definition ist in [Pfi00b] zu finden.


bei den Netzbetreibern, besteht vor allem die Gefahr der Erstellung von Bewegungs-oder Nutzungsprofilen.

• Wartungspersonal von Fahrzeugen, das in der Lage ist, Manipulationen (ggf. gegen Be-zahlung, vergleichbar mit illegalem Softwaretuning von Fahrzeugen) durchzuführen.Das Wartungspersonal von Netzbetreibern oder Diensten wird in dieser Arbeit nichtberücksichtigt, da für eine Betrachtung konkrete Implementierungen von Netzen oderDiensten vorliegen müssten.

• Konstrukteure und Produzenten von Komponenten des VANETs. Diese werden hiernicht betrachtet, da entsprechende Maßnahmen von Seiten des Staates angenommenwerden (z.B. durch Gesetze und Normen sowie TÜV und Audits), die einen sicherenBetrieb des VANETs anstreben, um die Sicherheit im Straßenverkehr zu gewährleisten.

• Konkurrenten: Sowohl Fahrzeughersteller wie auch Netz- oder Dienstbetreiber könnenversuchen, Konkurrenzprodukte negativ zu beeinflussen, um einen Vorteil daraus zu er-zielen. Wegen der fehlenden konkreten Implementierungen von Netzen oder Dienstenwerden Konkurrenten in diesem Bereich von der genaueren Betrachtung ausgeschlos-sen. Des Weiteren wird unterstellt, dass alle Parteien an einem Funktionieren des Netzesinteressiert sind und sich deswegen kooperativ verhalten.

• Exekutive: Hierunter subsumieren sich Polizei, Bundesgrenzschutz, Geheimdienste etc.Mögliche Ziele sind Überwachung und Kontrolle.

• Außenstehende: Darunter sind alle Parteien zu verstehen, die nicht aktiv am VANETteilnehmen, exklusive der bisher genannten. Das könnten also z.B. Anrainer sein, denenVor- oder Nachteile durch einen bestimmten Verkehrsverlauf entstünden. Ebenso wer-den Attentäter in diese Rolle eingeordnet, die z.B. einen Unfall herbeiführen wollen.

Verbreitung des Angreifers: Darunter ist zu verstehen, auf welche Kommunikationsver-bindungen, (Sub-) Systeme und Komponenten ein Angreifer Zugriff hat oder inwieweit er die-se kontrollieren bzw. manipulieren kann. Die Verbreitung eines Angreifers ist stark abhängigvon seiner Rolle.

• Fahrzeuge (Hardware) und Komponenten: Generell hat jede Partei physikalischen Zu-griff auf die Komponenten in ihrem Besitz.

1. Speziell auf Fahrzeuge bezogen bedeutet das, dass Fahrzeugführer, Fahrzeughalterund das Wartungspersonal über uneingeschränkten Zugriff verfügen.

2. Alle anderen Parteien haben nur Zugriff auf die verriegelten Fahrzeuge.

3. Analog zu 1. und 2. stellt sich der Zugriff auf weitere Komponenten des VANETs,wie z.B. Basisstationen von Netzbetreibern oder Überwachungsstationen der Exe-kutive, dar. Hierunter fallen auch eigene Stationen von Außenstehenden.


4. Die Exekutive nimmt darüber hinaus eine Sonderposition ein, weil sie zur Straf-verfolgung physikalischen Zugriff auf alle Komponenten und Fahrzeuge erlangenkann.

• Funkschnittstelle: Grundsätzlich können alle Daten, die über die Funkschnittstelle über-tragen werden, von jedem Empfänger, der sich in Reichweite des Senders befindet, emp-fangen werden. Zum Begriff der Reichweite siehe Abschnitt 2.1.1.

1. Fahrzeugführer, Wartungspersonal, Konkurrenten und Außenstehende haben nurZugriff innerhalb ihrer jeweiligen Reichweite.

2. Die Verbreitung von Netz- und Dienstbetreibern ist direkt proportional zur Grö-ße des betriebenen Netzes bzw. der geographischen Verfügbarkeit eines Dienstes.Deshalb werden zwei Fälle unterschieden:

– Betreiber lokal begrenzter Netze oder Dienste, wobei die Abdeckung im Ver-gleich zum kompletten Straßennetz (Deutschlands) unerheblich ist.

– Betreiber flächendeckender Netze oder Dienste, deren Abdeckung das kom-plette Straßennetz (Deutschlands) umfasst.

3. Die Exekutive weist durch Zugriffspunkte, z.B. Übergabepunkte im Sinne vonTKÜV (Telekommunikations-Überwachungsverordnung, aktuelle Fassung vom3.11.2005) Teil 2 §8 bei Netzbetreibern, und eigene Überwachungseinheiten und-anlagen die größte Verbreitung auf18. Beispielsweise seien hier Funkempfängeran unfallreichen Kreuzungen genannt, die eine Unfallrekonstruktion erleichternkönnen.

Verhalten: Das Verhalten definiert, inwieweit ein Angreifer sich passiv contra aktiv bzw. be-obachtend contra verändernd bezüglich der ihm möglichen Handlungen verhält. Das Verhaltenwird aufgrund der vielen verschiedenen Möglichkeiten erst in den konkreten Angreifermodel-len (siehe Abschnitt 3.3.2) genauer spezifiziert. Generell gilt:

1. Jeder Angreifer kann unerkannt beobachten (passives Verhalten).

2. Je höher Kompetenz, Ressourcen und Verbreitung eines Angreifers sind, desto wir-kungsvoller werden aktive Kontrolle und Eingriffe.

Ressourcen und Kompetenzen: Dieser Punkt gibt Auskunft über Hilfsmittel (z.B. Re-chenkapazität) und Fähigkeiten eines Angreifers.

1. Die verfügbaren Ressourcen variieren sehr stark, zum Teil auch innerhalb von Angrei-ferrollen. Aus diesem Grund soll hier nur eine grobe Einteilung vorgenommen werden:

18Inwieweit ein VANET eine Telekommunikation nach TKÜV darstellt, bleibt abzuwarten. Es ist wahrscheinlich,dass der Staat auch hier seinen Zugriff durchsetzen wird.


Angreifer

Insider

Exekutive (AM5)

Outsider

The

oret

isch

e S

tärk

e d

es A

ngre

ifers

Einzelner Lauscher (AM1-I)

Einzelner Lauscher (AM1-O)

Einzelner Störer (AM2-I)

Einzelner Störer (AM2-O)

Verteilter Lauscher (AM3-O)

Verteilter Lauscher (AM3-I)

Verteilter Störer (AM4-I)

Verteilter Störer (AM4-O)

Abbildung 3.1: Übersicht über die Angreifermodelle

• Fahrzeugführer, Fahrzeughalter: gering

• Außenstehende: gering bis hoch

• Konkurrenten: gering bis hoch

• Wartungspersonal, lokale Netz- und Dienstbetreiber: mittel

• Flächendeckende Netz- und Dienstbetreiber: hoch

• Exekutive: sehr hoch

2. Die Verteilung von Kompetenzen innerhalb der Angreiferrollen ist noch heterogener alsbei den Ressourcen. Deswegen werden diese erst in den konkreten Angreifermodellenausgeführt (siehe Abschnitt 3.3.2). Beispielsweise seien hier ein technikaverser und eintechnikaffiner Fahrzeughalter genannt, die zwar beide dieselbe Rolle verkörpern, abergänzlich unterschiedliche Kompetenzen aufweisen.

3.3.2 Konkrete Angreifermodelle

Aufgrund der vielfältigen Ausprägungen sollen in diesem Abschnitt konkrete Kategorien vonAngreifermodellen definiert werden, auf die im weiteren Verlauf der Arbeit zurückgegriffenwerden kann. Grundsätzlich soll dabei zwischen Insidern und Outsidern unterschieden wer-den, die sich jeweils in vier Untergruppen (einzelner Lauscher, einzelner Störer, verteilte Lau-scher, verteilte Störer) einteilen lassen. Wegen ihrer besonderen Befugnisse wird auch die Exe-kutive als eigene Angreiferkategorie verstanden. Abbildung 3.1 fasst die Einteilung nochmalszusammen.


Outsider: Hierunter werden alle Angreifer verstanden, die nicht aktiv am VANET teilneh-men. Sie haben zum Zeitpunkt des Angriffs keinen rechtmäßigen Zugang zum VANET undtreten in der Regel in der Rolle des Außenstehenden auf. Die Outsider sollen, wie im Folgen-den beschrieben, weiter unterteilt werden. Die Stärke der Angreifer nimmt dabei zu, wobeidie Zunahme nicht linear ist und es auf den konkreten Angriff ankommt, ob beispielsweise eineinzelner Störer mehr oder weniger gefährlich ist als ein verteilter Lauscher.

• Einzelner Lauscher (AM1-O): Die Verbreitung eines Angreifers dieser Kategorie ist aufdie Reichweite von Nachrichten, die er empfangen kann, begrenzt, also im Vergleichzum gesamten Straßennetz sehr klein. Er besitzt keine eigenen stationären Knoten oderFahrzeuge, die er physisch kontrollieren kann. Sein Verhalten ist rein passiv. Er kann al-so innerhalb seiner Verbreitung nur unerkannt auf der Luftschnittstelle lauschen. SeineKompetenzen und Ressourcen sind gering, d.h. er kann weder kryptographische Verfah-ren brechen noch sichere Hardware manipulieren.

• Einzelner Störer (AM2-O): Die Verbreitung der Angreifer dieser Kategorie ist zwargleich der von AM1-O, sie können aber auch aktive Eingriffe vornehmen, wie z.B. Stör-sender einsetzen, um einen Nachrichtenaustausch zu unterbinden. Ihre Kompetenzenwerden als mittel und ihre Ressourcen von gering bis mittel eingestuft.

• Verteilte Lauscher (AM3-O): Kooperieren Angreifer der Kategorie AM1-O, ergebensich die Angreifer dieser Kategorie. Die Verbreitung kann sehr groß sein, abhängig da-von, wie viele Angreifer zusammenarbeiten. Das Verhalten ist rein passiv, d.h. es kanninnerhalb der Verbreitung nur unerkannt beobachtet und ein Bewegungsprofil erstelltwerden. Die Kompetenzen und Ressourcen sind gering bis hoch, es können allerdingskeine kryptographischen Verfahren gebrochen werden.

• Verteilte Störer (AM4-O): Hier kooperieren Angreifer der Kategorien AM2-O und AM1-O. Die Verbreitung ist wieder abhängig davon, wie viele Angreifer zusammenarbeiten,und kann sehr groß sein. Der physische Zugriff beschränkt sich auf eigene Komponentenund umfasst in der Regel keine Teile des VANETs, wie z.B. Fahrzeuge oder stationäreInfrastruktur. Das Verhalten kann sowohl passiv wie auch aktiv sein. Angreifer dieserKategorie können also auch versuchen den Nachrichtenaustausch zu stören, aufgefan-gene Nachrichten wieder einzuspielen oder Informationen zu aggregieren und auszu-werten. Aktive Eingriffe sind aber nur möglich, sofern dazu keine kryptographischenVerfahren gebrochen oder sichere Hardware manipuliert werden muss. Die Kompeten-zen und Ressourcen sind mittel bis hoch einzustufen.

Insider: Hier sind alle Angreifer subsumiert, die aktiv am VANET teilnehmen. Sie sind zumZeitpunkt des Angriffs reguläre Teilnehmer mit gültigem Zugang. Auch sie können analog zuden Outsidern folgendermaßen unterteilt werden:

• Einzelner Lauscher (AM1-I): Ein Angreifer dieser Kategorie kann in den Rollen einesFahrzeugführers bzw. -halters auftreten. Seine Verbreitung ist auf die Reichweite von


Nachrichten, die er empfangen kann, begrenzt, also im Vergleich zum gesamten Stra-ßennetz sehr klein. Eigene stationäre Knoten oder Fahrzeuge kann er physisch kontrol-lieren, aber keine Fremdnetze bzw. -dienste. Sein Verhalten ist rein passiv. Er kann alsoinnerhalb seiner Verbreitung nur unerkannt beobachten. Seine Kompetenzen und Res-sourcen sind gering, er kann weder kryptographische Verfahren brechen noch sichereHardware manipulieren. Auch der lauschende Zugriff auf Daten, die über fahrzeugin-terne Busse verschickt werden, ist in der Regel nicht möglich.

• Einzelner Störer (AM2-I): Hier handelt es sich um intelligentere Angreifer als bei AM1-I. Die Kategorie umfasst hauptsächlich die Rollen desWartungspersonals und Fahrzeug-führers bzw. -halters. Ihre Verbreitung ist zwar gleich der von AM1-I, aber ihr Verhaltenunterscheidet sich deutlich. Angreifer dieser Kategorie können nicht nur passiv in Akti-on treten, sondern auch aktive Eingriffe vornehmen, also unerkannt beobachten, Kom-ponenten verändern, Protokolle stören oder Informationen aggregieren und auswerten.Dies ist jedoch nur dann möglich, sofern sie dazu keine kryptographischen Verfahrenbrechen oder sichere Hardware manipulieren müssen. Ihre Kompetenzen werden alsmittel und ihre Ressourcen von gering bis mittel eingestuft.

• Verteilte Lauscher (AM3-I): Unter dieser Kategorie werden Angreifer aus AM1-I sub-sumiert, die miteinander kooperieren. Angreifer dieser Kategorie können aber auch inder Rolle eines Konkurrenten, Netz- oder Dienstbetreibers auftreten. Die Verbreitungkann sehr groß sein. Der physische Zugriff beschränkt sich auf eigene Komponentenund das Verhalten ist rein passiv, d.h. es kann innerhalb der Verbreitung nur unerkanntbeobachtet und ein Bewegungsprofil erstellt werden. Die Kompetenzen und Ressourcensind gering bis hoch, es können allerdings weder kryptographische Verfahren gebrochennoch sichere Hardware manipuliert werden.

• Verteilte Störer (AM4-I): In diese Kategorie fallen hauptsächlich die Rollen der Kon-kurrenten sowie der Netz- und Dienstbetreiber, deren Verbreitung meist sehr groß ist.Zudem kann es sich auch um kooperierende Angreifer der Kategorie AM2-I und AM1-I handeln. Der physische Zugriff beschränkt sich auf eigene Komponenten, aber keineFremdnetze oder -dienste. Das Verhalten kann sowohl passiv wie auch aktiv sein, d.h.es kann innerhalb der Verbreitung nicht nur unerkannt beobachtet werden. Angreiferdieser Kategorie können auch Komponenten verändern, Protokolle stören und Informa-tionen aggregieren und auswerten. Aktive Eingriffe sind allerdings nur möglich, wenndazu keine kryptographischen Verfahren gebrochen oder sichere Hardware manipuliertwerden muss. Die Kompetenzen und Ressourcen sind mittel bis hoch einzustufen.

Exekutive (AM5): Der theoretisch stärkste Angreifer, in der Rolle der Exekutive, wird inKategorie fünf definiert. Durch Übergangspunkte bei Netz- und Dienstbetreibern sowie eige-nen Überwachungseinheiten und -anlagen (z.B. eigenen Fahrzeugen) hat er die größtmöglicheVerbreitung. Weiteren physischen Zugriff auf fremde Komponenten (z.B. Datenbanken vonNetzbetreibern) erhält er aber nur bei begründetem Verdacht zur Strafverfolgung. Es wird da-


von ausgegangen, dass er – soweit eine entsprechende Infrastruktur existiert – flächendeckendpräsent und sein Verhalten sowohl passiv wie auch aktiv ausgeprägt ist. Er kann also nichtnur (flächendeckend) unerkannt beobachten, sondern auch Komponenten verändern, Protokol-le beeinflussen sowie Informationen aggregieren und auswerten. Es wird angenommen, dassauch AM5 keine kryptographischen Verfahren brechen oder sichere Hardware manipulierenkann19. Seine Kompetenzen und Ressourcen sind hoch bis sehr hoch anzusetzen.

3.3.3 Beispiele für Angriffe

In diesem Abschnitt soll zur Veranschaulichung den vorgestellten Angreifermodellen eine (un-vollständige) Auflistung möglicher Angriffe zugeordnet werden. Die Angriffe und ihre Be-zeichnungen werden in [PM04], [SE04] und [RH05b] genauer beschrieben. Weitere Analysenvon möglichen Angriffen skizziert [ABD+06] mit Hilfe von Angriffsbäumen.

• Eavesdropping: Abhören von ungeschützt übertragenen Daten, z.B. zum unbefugtenInformationsgewinn: Outsider und Insider ab AM1 sowie AM5.

• Movement Patterns: Erstellen von Bewegungsprofilen, z.B. zu Werbe- oder Überwa-chungszwecken: Outsider und Insider ab AM3 sowie AM5.

• Denial of Service: Massiver Netzeingriff (z.B. durch Störsender, Einspielen von Zu-fallsnachrichten), um die Kommunikation zum Erliegen zu bringen: AM2-O, AM4-O,AM2-I, AM4-I und AM5.

• Replay Attack: Erneutes, oft massives Einspielen von vorher abgefangenen Nachrichten,z.B. um die Kommunikation zum Erliegen zu bringen oder das Verhalten der anderenVerkehrsteilnehmer zu beeinflussen: AM2-O, AM4-O, AM2-I, AM4-I und AM5.

• Bogus Information: Versenden von Falschinformationen, z.B. um das Verhalten der an-deren Verkehrsteilnehmer zu beeinflussen: AM2-I, AM4-I und AM5.

• Spoofing/Masquerading: Vorgeben einer anderen Identität, Hardware-Adresse etc., z.B.um unerkannt zu bleiben, das Routing der Nachrichten oder das Verhalten der anderenVerkehrsteilnehmer zu beeinflussen: AM2-I, AM4-I und AM5.

• Cheating with Positioning Information: Fälschen der eigenen Positionsangaben, z.B. umsich der Strafverfolgung zu entziehen oder das Verhalten der anderen Verkehrsteilneh-mer zu beeinflussen: AM2-I, AM4-I und AM5.

• Selective Forwarding: „Dropping“, d.h. Verwerfen von einzelnen Paketen, z.B. um dasVerhalten der anderen Verkehrsteilnehmer zu beeinflussen oder Kommunikation zumErliegen zu bringen: AM2-I, AM4-I und AM5.

• Sinkhole Attack: Umleiten des Netzverkehrs auf Angreiferknoten durch Einflussnahmeauf das Routing und eventuell „Dropping“ von Nachrichten mit ähnlichen Intentionenwie beim Selective Forwarding: AM2-I, AM4-I und AM5.

19Eine Aussage über die Möglichkeiten der Exekutive zur Kryptoanalyse wäre spekulativ.


• Wormhole Attack: Tunneln von Nachrichten von einem Teil des Netzes zu einem anderenunter Nutzung schnellerer Kanäle und der Kooperation von zwei Angreifern, z.B. ummehr Netzverkehr über die Angreiferknoten zu leiten oder Einfluss auf eine netzinternePositionsbestimmung zu nehmen: AM4-I und AM5.

• Sybil Attack: Simulieren von mehreren Teilnehmerknoten durch einen einzigen Angrei-fer, z.B. um das Verhalten der anderen Verkehrsteilnehmer zu beeinflussen oder Mecha-nismen der Teilnehmerkooperation zu untergraben: AM4-I und AM5.

Documents

Mehrseitig sichere Ad-hoc-Vernetzung von Fahrzeugen || Schutzziele, Anwendungen und Angreifermodelle