Security Gateway für autonome Fahrzeuge

Lösungsansätze für die Herausforderungen an die Cybersicherheit in autonomen Transportsystemen.

KASG: Security Gateway für autonome Fahrzeuge

Laut globalen Forschungsergebnissen wächst der Marktanteil hochautomatisierter, selbstfahrender Fahrzeuge rasant. Analysten erwarten, dass der autonome Verkehr innerhalb der nächsten 10 bis 15 Jahre den Sprung von Pilotprojekten zur breiten Einführung schafft. Die Entwicklung gewinnt weltweit an Fahrt: In Europa laufen bereits mehr als 35 Pilotprojekte mit autonomen Fahrzeugen, während die Zahl der wöchentlichen kommerziellen Fahrten in den USA über 450.000 und in China über 250.000 liegt. Der Bericht erwähnt jedoch auch, dass einige Hindernisse den Fortschritt ausbremsen. Eine solche Hürde ist die Unsicherheit hinsichtlich Haftung und Regulierung – ein Problem, das auch die Bereiche Fahrzeugsicherheit und Insassenschutz betrifft. Die Aufteilung der Verantwortung zwischen Lieferanten, Herstellern, Geschäftskunden und Endnutzern bleibt dabei ein zentrales Diskussionsthema.

Jeder Marktteilnehmer betrachtet die Gewährleistung der Sicherheit autonomer Fahrzeuge unterschiedlich. Für Automobilhersteller bedeutet dies, die Verantwortung für das Verhalten eines Fahrzeugs im Straßenverkehr zu übernehmen und ihre Lieferanten zu überprüfen. Für die Lieferanten selbst bedeutet dies, Sicherheitsmechanismen frühzeitig in ihre Lösungsarchitekturen zu integrieren und deren Angemessenheit sicherzustellen. Versicherungsunternehmen hingegen müssen ihre Risikomodelle komplett überarbeiten, um nicht nur Unfälle, sondern auch mögliche Softwarefehler und Cyberangriffe zu berücksichtigen. In einem zentralen Punkt sind sich aber alle Beteiligten einig: Sicherheit muss stets ein grundlegendes Merkmal von Fahrzeugen sein – und kein optionales Add-on.

Gewährleisten von Fahrzeugsicherheit als moderne Herausforderung

Für eine lange Zeit konzentrierten sich Diskussionen um die Fahrzeugsicherheit ausschließlich auf die funktionale Sicherheit. Das vordergründige Ziel war, die korrekte Funktionsweise der Fahrzeugsysteme sicherzustellen und Risiken im Zusammenhang mit möglichen Ausfällen weitestmöglich zu reduzieren. 2011 wurde die ISO-Norm 26262 „Road vehicles – Functional safety“ eingeführt, um diese Herausforderung anzugehen und als Grundlage für die Automobilindustrie zu dienen.

Moderne vernetzte Fahrzeuge stellen jedoch komplexe cyber-physische Systeme dar, die sehr umfangreiche Datenmengen, einschließlich sensibler Informationen, speichern und verarbeiten müssen. Daraus resultieren völlig neue Grundbedürfnisse. In Anlehnung an zwei Ebenen der Maslowsche Bedürfnispyramide muss ein modernes Fahrzeug:

  • Die Individualbedürfnisse erfüllen. Im Fall der Fahrzeugsicherheit bedeutet dies das sichere und zuverlässige Speichern von Benutzerprofildaten wie Anmeldeinformationen, biometrische Daten und Zahlungsinformationen.
  • Die kognitiven Bedürfnisse des Benutzers erfüllen. Das Fahrzeug muss für eine sichere Internetverbindung sorgen, Fahrzeugtelemetrie übertragen und zuverlässig über anstehende Wartungen oder Probleme informieren.

All dies erfordert die Ausstattung der Fahrzeuge mit einer Vielzahl von Schnittstellen wie Telematik, Bluetooth, WLAN, Mobilfunk, OTA-Updates und V2X. All dies macht ein Fahrzeug zusätzlich empfänglich für Remote-Angriffe. Daher ist es notwendig, nicht nur die funktionale Sicherheit, sondern auch die Informationssicherheit des Fahrzeugs zu gewährleisten. Aus diesem Grund haben die meisten Länder spezielle Industriestandards eingeführt, die die Herausforderungen der Cybersicherheit im Automobilbereich adressieren. Die wichtigsten internationalen Normen sind derzeit die ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“, UNECE R155 und UNECE R156.

Auch in China entwickeln sich die Vorschriften weiter. Im Jahr 2024 veröffentlichte das Land die nationale Norm GB 44495-2024 „Technical Requirements for Vehicle Cybersecurity“, die am 1. Januar 2026 in Kraft trat. Das Dokument enthält eine Reihe verbindlicher Anforderungen an die Cybersicherheit für Fahrzeuge, wie den Schutz der Kommunikation, das Verwalten von Sicherheitsereignissen, die Überwachung von Bedrohungen und die sichere Interaktion des Fahrzeugs mit externer Infrastruktur.

Diese Standards zu verstehen und anzuwenden ist von enormer Wichtigkeit. Die Forschung zeigt, dass Cybersicherheitsrisiken rasant eskalieren und die funktionale Sicherheit so beeinträchtigen können, dass daraus mitunter gefährlichere Vorfälle entstehen als durch interne Systemausfälle. Was passiert, wenn Angreifer über eine nicht autorisierte Diagnosesitzung die Fernsteuerung eines autonomen Lkw übernehmen oder ein kritisches Steuergerät umflashen?

Eine der Schlüsselkomponenten, um solchen Szenarien entgegenzuwirken, ist ein Security Gateway. Es unterteilt die Fahrzeugarchitektur in Domänen mit verschiedenen Sicherheitsfreigaben und gewährleistet, dass die ausgetauschten Daten sicher durchgeleitet, gefiltert und kontrolliert werden. Mit dem Kaspersky Automotive Secure Gateway entwickelt unser Team eine auf KasperskyOS basierende Software-Lösung, die genau eine solche Schlüsselkomponente darstellt.

Die Vorteile von Kaspersky Automotive Secure Gateway

Die wichtigste Funktion von Kaspersky Automotive Secure Gateway (KASG) ist der Schutz der CAN-Domäne des Fahrzeugs, da der CAN-Bus zur Übertragung einer Vielzahl kritischer Steuerbefehle verwendet wird. Im Inneren eines Fahrzeugs betrifft dies nahezu 80% der elektronischen Steuergeräte aus den Bereichen Motormanagement, Bremsanlagen, Karosserieelektronik und mehr. Aus diesem Grund setzen wir auf einen Ansatz, der auch als Safety-Aware Cybersecurity bekannt ist. Dieser umfasst eine einheitliche Architektur, die sowohl den Anforderungen der funktionalen Sicherheit als auch der Cybersicherheit Rechnung trägt.

Beispielsweise werden in der Regel standardmäßige End-to-End-Protection-(E2E)-Mechanismen eingesetzt, um Risiken durch verworfene, fehlerhafte oder beschädigte CAN-Nachrichten zu reduzieren. Ursprünglich wurden diese Mechanismen jedoch nicht entwickelt, um gezielte Cyberangriffe abzuwehren. Wenn es einem Angreifer gelingt, einen schädlichen Frame (standartisiertes CAN-Datenpaket) zu erzeugen, der dem erforderlichen E2E-Format entspricht, kann dieser vom System als gültig akzeptiert werden.

Damit kommt ein neuer Faktor hinzu: Es muss nicht nur geprüft werden, ob eine Nachricht fehlerfrei zugestellt wurde, sondern auch, ob sie tatsächlich von einer vertrauenswürdigen elektronischen Steuereinheit (ECU) generiert und während der Übertragung nicht manipuliert wurde. Dies ist besonders kritisch für die Übertragung von Steuerbefehlen – etwa an das Bremssystem des Fahrzeugs – oder für die Implementierung von kontaktlosen Zugangssystemen (NFC).

Zur Bewältigung dieser Herausforderungen wurde Systeme zur Secure Onboard Communication (SecOC) in die Fahrzeugarchitektur integriert. Diese verwenden kryptografische Methoden, um die Authentizität und Integrität von Nachrichten zu überprüfen und das System vor Nachrichten-Spoofing und Replay-Angriffen zu schützen. Solche Mechanismen werden von KASG erfolgreich verwendet, um neben der Überprüfung von Nachrichten auch die entscheidende Funktion der zentralen Schlüsselverwaltung zu erfüllen. Es ermöglicht die Verteilung und Aktualisierung der kryptografischen Schlüssel ausgehend von einem zentralen Punkt im Fahrzeug und senkt sowohl die Kosten als auch die Auslastung der ECUs, die am Datenaustausch via SecOC teilnehmen.

IDS im Automotive-Bereich

In komplexen Systemen reicht es jedoch nicht mehr aus, Sicherheitsmechanismen nur auf einzelne Nachrichten oder separate Netzwerksegmente anzuwenden. Es ist notwendig, ein fahrzeugweites System zur Überwachung und Kontrolle zu etablieren, um Verhaltensanomalien, ungewöhnliche Interaktionen zwischen Domänen und unbefugte Manipulationsversuche zu erkennen. Im IT-Bereich wird dies als Intrusion Detection System (IDS) bezeichnet. Auch in der Automobilindustrie werden solche Systeme erfolgreich eingesetzt.

Gleichzeitig ist es wichtig zu wissen, dass ein IDS für ein modernes Fahrzeug nicht nur ein zentralisierter Punkt zur Sammlung und Analyse von Daten ist. Stattdessen erfordert ein Fahrzeug ein verteiltes Überwachungssystem. Die Überwachung erfolgt auf den verschiedenen Ebenen der Architektur: innerhalb von Domänen, auf Ebene einzelner Controller sowie an Netzwerkgrenzen.

Das Security Gateway wird zu einem kritischen Schnittpunkt für die Überwachung, da hier sämtliche domänenübergreifenden Interaktionen durchgeleitet werden. Zusätzlich bietet das Gateway einen Einblick in den Datenaustausch über die verschiedenen Segmente des Fahrzeugnetzwerks hinweg. Seine Aufgabe ist es, etwaige Abweichungen vom normalen Verhalten zu erkennen und Sicherheitsereignisse zu generieren.

In KASG ist die Überwachung der CAN‑Domänen so implementiert, dass das IDS den Datenverkehr anhand der folgenden Kriterien analysiert:

  • Abgleich der CAN-Nachrichtenparameter (CAN-ID, DLC) mit ihren Beschreibungen in der DBC-Spezifikation
  • Häufigkeit und Periodizität von CAN-Nachrichten
  • Zulässige Bereiche für CAN-Signale

In der Praxis zeigt sich jedoch ein wichtiges Problem: Selbst ein im Fahrzeug integriertes IDS braucht mehr Kontext, um die genauen Angriffsmerkmale zu erkennen. Darüber hinaus ist eine Analyse, die sich nur auf einzelne Fahrzeuge konzentriert, für den Betrieb einer ganzen Flotte von automatisierten Fahrzeugen nicht ausreichend.

Fahrzeuge mit SIEM-Systemen verbinden

Es gibt bereits externe Systeme, mit denen sich die Überwachung mehrerer Objekte sowie die Korrelation und Analyse von Daten effizient realisieren lassen. Hierfür eignen sich insbesondere SIEM-Systeme (Security Information and Event Management), die vor allem von großen Unternehmen und SOCs (Security Operations Centers) zum Schutz industrieller IT-Infrastrukturen eingesetzt werden. Beim Betrieb einer ganzen Flotte von Fahrzeugen ist daher der Einsatz eines SIEM-Systems ein logischer Schritt, der folgende Möglichkeiten eröffnet:

  • Sammeln von Sicherheitsereignissen aus mehreren Fahrzeugen
  • Korrelieren von Ereignissen im zeitlichen Verlauf und über Kontextgrenzen hinweg
  • Erkennen von fortgeschrittenen und verteilten Angriffen
  • Audits und Analysen von Vorfällen
  • Reaktion auf einzelne Vorfälle und flottenweites Verwalten von Cyber-Risiken

Bei der Integration mit einem externen SIEM-System müssen mehrere wichtige Bedingungen erfüllt werden: Gewährleistung einer sicheren Verbindung, Optimierung des Übertragungsprozesses von Sicherheitsereignissen und Festlegung von Basisregeln für die Ereignisverarbeitung und Korrelation. Mit der Kaspersky Unified Monitoring and Analysis Platform verfügen wir bereits über ein eigenes SIEM-System, das uns als Blaupause für die aktive Arbeit an diesen Herausforderungen dient.

Es gibt noch viele Probleme, die gelöst werden müssen. In diesem Artikel wurde nur ein Bruchteil der Ansätze behandelt, die derzeit in KASG zur Gewährleistung der Fahrzeugsicherheit Verwendung finden. Doch selbst dieser kleine Teil veranschaulicht gut, dass Sicherheit im Automotive-Bereich nicht durch das Lösen eines zentralen Problems oder das Anwenden eines einzigen Mechanismus erreicht werden kann. Stattdessen ist ein Ansatz erforderlich, der eine methodische Entwicklung der Architektur zulässt und dabei die unterschiedlichen Anforderungen an Funktionalität, Sicherheit und Zuverlässigkeit des Fahrzeugs in Einklang bringt.

Tipps

In weniger als einer Minute geknackt: (fast) jedes zweite Passwort

Wir haben unsere Studie von vor zwei Jahren über die Möglichkeit, Passwörter aus der realen Welt zu knacken, die im Darknet preisgegeben wurden, überarbeitet. Die Ergebnisse sind ernüchternd: Fast jedes zweite Passwort lässt sich in weniger als einer Minute knacken, bei drei von fünf genügt weniger als eine Stunde. Wie können wir uns von unsicheren Passwörtern frei machen?

  • Für alle anderen Länder