Mit dem SAE J3061 Cybersecurity Guidebook for Cyber-Physical Systems brachte das Jahr 2016 einen Schritt zu einem genormten Vorgehen in Sachen Entwicklung informationssicherer Systeme. Grund genug gab es, wurden doch die ersten erfolgreichen Angriffe auf Systeme via Internet oder per Remote-Zugriff bekannt.
SAE J3061: Einstiegspunkt für Einführung von Prozessen und Methoden
Mit der SAE J3061 ist die Automotive Industrie zwar nicht zu einem Standard gelangt, doch führte die Veröffentlichung dazu, dass bisherige Standards, Publikationen und Forschungsprogramme eine Zusammenfassung erfahren haben. Darüber hinaus setzt das Dokument SAE J3061 auf dem Lebenszyklus der ISO 26262 auf und definiert eben auch Prozesse und Methoden.
Während die Informationssicherheit schon seit langem in der Automobilentwicklung relevant ist – beginnend bei einfachen Aufgaben wie der abgesicherten Speicherung des Kilometerstandes – brachte die Vernetzung der Fahrzeuge die Notwendigkeit für eine schnellere und systematische Entwicklung eines Mehr an Sicherheit. Dabei ergab sich eine Aufsplittung der Zielsetzungen in Informationssicherheit („Security“) und Datenschutz („Privacy“).
SAE J3061 gewann nochmal mehr an Bedeutung, als mit den Over-the-Air-Updates ein Einspielen von Software zu den Systemfunktionen eines Fahrzeugs gehörte, und damit für Hacker ein neues besonders interessantes Angriffsziel eröffnet wurde.
Continental: zukunftsfähige Lösung mit dem High-Performance Computer
Der Automobilzulieferer Continental wird seinem Rollenverständnis als Mobilitätsdienstleister gerecht. Für die künftigen Generationen an Fahrzeugen stellt Conti den High-Performance Computer als zentrales Architekturelement bereit. Während die Autobauer ihren Fahrzeugen Feature um Feature aufpflanzen, entwickelte Conti eine solide Basis für serverbasierte Architekturen der Zukunft.
Der High-Performance Computer ist ein Hochleistungsrechner, der sich der beiden wesentlichen Aufgaben in der neuen Generation von Fahrzeugen annimmt. Im Fahrzeug fungiert der High-Performance Computer als Netzwerkmanager und sorgt für die Kommunikation zwischen den mittlerweile sehr zahlreichen ECUs (Electronic Components Units) wie Aktuatoren, Motor, Sensoren, Energieversorgung und anderen. Nach außen hin stellt der High-Performance Computer Funktionen zur Ferndiagnose und im Cyber Security Brennpunkt des OTA sichere Over-The-Air-Updates für alle ECUs bereit. Damit ist Continental den meisten Autobauern einen Schritt voraus. Nur Tesla bietet aktuell eine OTA-Fähigkeit aller Komponenten.
Die Sicherheitslösungen der Conti-Töchter Argus Cyber Security und Elektrobit Automotive GmbH sollen in die Gateways, in die Telematikeinheiten und in die Infotainmentsysteme integriert werden. Die Sicherheitskomponenten adressieren dabei die Anwendungsebene, hardwarespezifische Lösungen und Bootloader.
Elektrobit: cadian Sync für OTA
Das Over-The-Air-Update hat nicht nur den Aspekt der Cyber Security im Fahrzeug selbst. Die zahlreichen Rückrufaktionen der letzten Jahre für Fahrzeuge lassen die OTA-Updates in der Zukunft häufiger werden. Mehr ECUs im Fahrzeug sorgen auch für eine steigende Komplexität eines solchen OTA-Updates. Gleichzeitig muss sichergestellt werden, dass ein OTA-Update einwandfrei abläuft. Mündet bei einem Smartphone ein OTA-Update in ein Failure, ist dies verschmerzbar. Ein solcher Fail ist jedoch in einem Fahrzeug ein worst case, denn im schlimmsten Fall ist das Fahrzeug nach einem fehlgeschlagenen OTA-Update nicht mehr operabel und das womöglich bei voller Fahrt.
Für eine zuverlässige Planung und Durchführung von Over-The-Air-Updates stellt Elektrobit den Autobauern mit dem Produkt cadian Sync ein Tool zur Organisation von OTA-Updates bereit. OTA-Updates mit cadian Sync werden mittels eines grafischen Tools modelliert. Als Back-End-Lösung für das Flotten-, Software- und Kampagnenmanagement stellt cadian Sync als Kernelement einen Update-Master bereit, der es den OEMs ermöglicht, ihre OTA-Updates einfach zu planen und sicher auszuspielen. Für die hochkomplexen OTA-Update-Vorgänge bietet cadian Sync zudem auch Testoptionen an.
Mehr Hintergrundinformationen Im Netz
- High-Performance Computer
Continentals High-Performance Computer macht als Plattform die digitalen Komponenten im Fahrzeug der Zukunft händelbar
- UltraSoC und AESIN
UltraSoC und AESIN (Automotive Electronics Systems Innovation Network) kooperieren, um Automobilsysteme mit eingebetteten Überwachungsfunktionen zu sichern. Das Ziel ist unter anderem, die Umstellung auf Cybersicherheitsstandards wie ISO21434 und SAE J3061 zu beschleunigen.
- Studie des Ponemon-Instituts
Trotz SAE J3061 verfügt ein Drittel aller Automobilunternehmen über kein Programm zur Cyber Sicherheit – so die Studie des Ponemon-Instituts im Auftrag von SAE und Synopsis über den Stand der Cybersicherheit in der Automobilindustrie.
OTH Amberg-Weiden: SAE J3061 ist nur Empfehlung
In ihrem Forschungsbericht 2019 dokumentiert die Ostbayrische Technische Hochschule Amberg-Weiden den Entwicklungsstand der Automotive Industrie im Bereich Security. So sieht man an der OTH Amberg-Weiden unter dem Aspekt des Autonomen Fahrens den Fokus der Autobauer vor allem im Bereich der Safety, also mehr im Feld der technischen Sicherheit. Für diesen Bereich existiert auch eine verbindliche Normung, nämlich die ISO 26262, die auch in die SAE J3061 eingeflossen ist.
Lücken sieht man an der OTH Amberg-Weiden im Feld der Security. Man bemängelt hier als Ursache für die Defizite in der Entwicklungsgeschwindigkeit vor allem das Fehlen von Normen. Die ISO/SAE AWI 21434 „Road vehicles – Cybersecurity engineering“ befinde sich aktuell noch in der Entwicklung, SAE J3061 wird nur als Empfehlung verstanden.
Die bekannt gewordenen Security-Fälle führt man an der OTH auf die Vorgehensweise der Autobauer zurück, die Fahrzeuge des Produktportfolios um Funktionen erweitert zu haben, ohne die notwendigen Implementierungen von Cyber Security vorzunehmen – wie es auch in SAE J3061 beschrieben ist. Ein Security by Design ist damit vor vorneherein ausgeschlossen, was einem potentiellen Angreifer eine Minimalangriffsfläche bieten würde.
Die OTH Amberg-Weiden betrachtet in ihrem Forschungsbericht 2019 Fahrzeuge insbesondere im Hinblick auf das Autonome Fahren und stellt die Komponenten der Fahrzeuge vor, die potentiellen Angreifern eine Angriffsfläche bieten können: Komponenten, die vom High-Performance Computer der Continental gesteuert werden, wie Aktuatoren, Externe Kommunikation/V2X, das Energieversorgungs- und Verteilsystem, Motor, Sensoren, Karten, Infotainment. Für die Betrachtung der Security-Aspekte setzt die OTH Amberg-Weiden auf Angriffsszenarien, welche den High-Speed-CAN-Bus im Fokus der Angreifer sehen.
Secure OTA Software Updates in Connected Vehicles: ISO 26262 and SAE J3061 erfahren Ergänzung
Subir Halder, Amrita Ghosal and Mauro Conti führen in ihrer Trend-Survey vom April 2019 aus, dass dem Secure OTA Software Update in der Zukunft noch größere Bedeutung zukommen wird. In der in Teilen von Huawei unterstützten Untersuchung zeigen die Experten auf, dass die Zahl der Rückrufe von Fahrzeugen seit dem Jahr 2014 sprunghaft zugenommen hat. Ebenfalls signifikant steigt die Zahl der Gründe für die Rückrufe an. Die Bedeutung der OTAs sieht man auch in der Annahme begründet, dass im Jahr 2020 etwa 75% der Autos weltweit über drahtlose Verbindungen verfügen werden.
Man sieht die Zunahme der Lines of Code zur Steuerung von Fahrzeugkomponenten, also der Software Module, in den Fahrzeugen der Gegenwart und der Zukunft als Treiber der Over-The-Air-Software-Updates.
Während Tesla bereits seine sämtlichen Car Features für OTA-Updates enabled hat, hinken die anderen Autobauer hier hinterher. Doch es ist klar, dass diese Rückstände in Zukunft aufgeholt werden. Die zunehmende Zahl an ECUs (Electronic Components Units) in den Fahrzeugen wird dazu führen, dass künftig selbst Firmware Over-the-Air (FOTA) aktualisiert wird.
Man stellt fest, dass die Softwarekomponenten auch heute noch immer nach dem V-Modell entwickelt werden. Zwar berücksichtigten die ECU-Hersteller anerkannte Standards wie die ISO 26262 (functional safety) and SAE J3061 (cyber security), doch hat es sich gezeigt, dass diese beiden Normen im Hinblick auf Over-the-Air-Updates der Erweiterung bedürfen.
Zwei neue Standards befinden sich derzeit in der Entwicklung: dies ist zum Einen die ISO 21434 Road Vehicles-Cybersecurity engineering. Diese Norm wird sich mit grundlegenden Anforderungen beim Updaten von in-vehicle ECUs befassen.
Die zweite Norm wird von der UNECE ( United Nations Economic Commission for Europe ) entwickelt. Die Working Party für Automated/Autonomous and Connected Vehicles (GRVA) unter dem World Forum for Harmonization of Vehicle Regulations (WP.29) hat hierzu ihre Prioritäten festgelegt:
Safety and security of vehicle automation and connectivity
- Framework
- Functional requirements
- New assessments and test methods
- Cyber security (and software updates)
- Data Storage System for Automated Driving (currently)
ADAS
- Remote control manoeuvring
- Automatically commanded steering systems
Dynamics (Steering, Braking etc.)
- Advance Emergency Braking Systems
- Anti-lock Braking System for motocycles
- Electronic Stability Control
Hier soll ein Empfehlungsdokument zu Cyber Security, bezogen auf Over-The-Air-Updates entstehen.
Tool Suite von LDRA/Liverpool Data Research Associates unterstützt SAE J3061 und ISO 26262
Werden Automotive-Anwendungen entwickelt, birgt bereits der Entwicklungsprozess Risiken. Schwachstellen in Automotive-Anwendungen können vermieden werden, wenn der Entwicklungsprozess SAE J3061-konform durchgeführt wird. Während in den ersten Jahren von SAE J3061 das Einhalten der Spezifikationen in den betreffenden Sektionen in der Verantwortung des Projektmanagements stand, ist die SAE J3061-Konformität mit einem Softwaretool automatisiert umsetzbar.
Das Softwaretool von LDRA aus dem Jahr 2018 ermöglicht bereits jetzt einen ISO 26262-konformen Cybersecurity-Entwicklungsprozess für Automotive-Anwendungen. Das Tool wurde erstellt, Secure-Anwendungen wie Fahrassistenzsysteme oder Entscheidungszentren in autonomen Fahrzeugen zu entwickeln.
Die Tool Suite bildet folgende Bereiche von SAE J3061 ab.
- SAE J3061 Section 8.6.2: “Specification of Software Cybersecurity Requirements”
- SAE J3061 Section 8.6.3: “Software Architectural Design”
- SAE J3061 Section 8.6.4: “Software Vulnerability Analysis”
- SAE J3061 Section 8.6.5: “Software Unit Design and Implementation”
- SAE J3061 Section 8.6.6: “Software Implementation Code Reviews”
- SAE J3061 Section 8.6.7: “Software Unit Testing”
- SAE J3061 Section 8.6.8: “Software Integration and Testing”
- SAE J3061 Section 8.6.9: “Verification/Validation to Software Cybersecurity Requirements”
- SAE J3061 Section 8.6.10: “Software Vulnerability Testing”
Die Tool Suite ermöglicht es, den Ansatz Security-by-Design zu implementieren. Der gesamte Software-Entwicklungsprozess wird von der Tool Suite überwacht.
Die Tool-Suite von LDRA wurde vom TÜV SÜD und vom TÜV Saar im Rahmen der ISO 26262 in Safety-kritischen Umgebung zertifiziert.
Bildnachweis: © shutterstock – Titelbild metamorworks, #1 GLF Media, #2 Zapp2Photo, #4 Continental AG