Sicherheit und Standards

Normung

Normungsarbeit ist ein strategisches Instrument zur Schaffung von Rahmenbedingungen für die Herstellung und Vermarktung innovativer Produkte, die in der heutigen Zeit konsequent entwicklungsbegleitend als Projektarbeit mit klar definierten Zielen und Terminen zu planen ist.

Automotive Security Engineering

Security, also der Schutz oder die Wehrhaftigkeit eines Systems oder eines Fahrzeugs gegen unerwünschte Zugriffe von außen, hat in der Automobilindustrie einen zunehmend hohen Stellenwert. Vor allem die zunehmende Vielfalt von softwaregesteuerten Funktionen im Auto und die interne und externe Vernetzung erzeugen immer größere Angriffsflächen für Manipulationen oder Eingriffe. Die Automobilindustrie antwortet darauf mit Automotive Security Engineering, das Fahrzeuge und Systeme absichern soll.

Akademische Forschungsprojekte haben bereits mehrfach gezeigt, dass es möglich sein kann, über fahrzeugeigene Mobilfunkschnittstellen, Bluetooth oder WLAN in Autos einzugreifen und sie in gefährlicher Weise zu manipulieren. Übliche Einfallstore für Hackerangriffe sind unzureichend oder fehlerhaft geschützte Schnittstellen, durch die Zugriff auf die Kommunikationsnetze des Fahrzeugs erlangt werden kann (siehe Abbildung). Schädliche Programme können jedoch auch offline ins Fahrzeug gelangen, etwa über eine manipulierte Audiodatei. Grundsätzlich kann so gut wie jeder dieser Angriffswege durch geeignete Schutzmaßnahmen – zum Beispiel kryptografische Protokolle – in den digitalen Komponenten des Fahrzeugs, den angebundenen IT-Systemen und an den Schnittstellen blockiert werden. Eine wesentliche Herausforderung dabei ist jedoch, dass zum Entwicklungszeitpunkt oft noch nicht die technischen Möglichkeiten vorhersehbar sind, die Angreifern der nächsten oder übernächsten Generation zur Verfügung stehen werden. Automotive Security Engineering soll daher ein höchstmögliches Maß an Sicherheit über den Produktlebenszyklus erreichen.

Um ein branchenweites, gemeinsames Verständnis über Automotive Security Engineering zu schaffen, wurde auf Initiative des VDA bei der Internationalen Organisation für Normung (ISO) ein Normungsprojekt gestartet. Der zukünftige Standard soll den Stand der Technik beschreiben und einheitliche Security-Mindestanforderungen für Produktentwicklungsprozesse in der Automobilindustrie festlegen. Durch eindeutige Definitionen und Begriffe sollen Security-Anforderungen und somit die Produktsicherheit maßgeblich verbessert werden.

Extended Vehicle

Seit Sommer 2014 arbeitet die Automobilindustrie im Rahmen der ISO an einem groß angelegten Normungsprojekt mit dem Titel „Extended Vehicle“. Ziel ist es, eine webbasierte Plattform zu schaffen, über die externe Dienstleister Fahrzeugdaten sicher und standardisiert abrufen können. Die Automobilindustrie schafft so bereits heute die technischen Voraussetzungen, damit künftig auch externe Dienstleister den Autofahrern Mobilitätsservices anbieten können.

Heutzutage werden Daten häufig noch über die OnBoard-Diagnose-Schnittstelle (OBD) abgerufen. Ein Beispiel für solche Anwendungen sind Geräte, die Fahrzeughalter anschließen lassen können (sogenannte OBD-Dongles) und die für Kfz-Versicherungen Fahrdaten aufzeichnen. Damit lassen sich Fahrprofile erstellen, die zu einer besseren Versicherungseinstufung führen können. Da die OBD-Schnittstelle ursprünglich für die Fahrzeugdiagnose in der Werkstatt entwickelt wurde, ist sie für einen Zugriff auf Fahrzeugdaten durch neue Dienstleister nicht geeignet.

Die Automobilindustrie entwickelt daher webbasierte Plattformen, auf die Dienstleister zugreifen können. Die Anbieter können so über die IT-Zentralen der Hersteller (Backend-Server) Daten abrufen und erhalten. Die Web-Plattformen an sich werden von jedem Hersteller selbst gestaltet. Im Rahmen der ISO werden jedoch die nötigen Standards und Normen erarbeitet, die zum Beispiel Strukturen, Prozesse und vor allem Sicherheitsmechanismen definieren.

Das ISO-Projekt Extended Vehicle umfasst mehrere Normenreihen. ISO 20077 beschreibt methodische Anforderungen für die Nutzung von Fahrzeugdaten über das Web-Interface sowie allgemeine Begriffe. Die Normenreihe ISO 20078 legt die eigentlichen Anforderungen an das Web-Interface hinsichtlich Zugriffs, Dateninhalten, Sicherheit und Zugriffssteuerung fest. ISO 20080 definiert eine erste Extended-Vehicle-Anwendung: den funkgestützten Diagnosezugriff von Werkstattdienstleistern.

Internetbasierte Fahrzeugzulassung

Die Zulassung von Kraftfahrzeugen soll in Deutschland zukünftig vollständig online ablaufen. Die Bundesregierung hat dazu das Projekt i-Kfz, die internetbasierte Fahrzeugzulassung, gestartet. In einem ersten Schritt kann seit 2015 die Abmeldung eines Kraftfahrzeugs online abgewickelt werden. Künftig soll auch die Wiederzulassung über das Internet laufen.

Neben der Änderung der Fahrzeugzulassungsverordnung wird dazu auch eine geltende DIN-Norm erweitert. Schon heute kann der Fahrzeughalter, wenn er das Fahrzeug außer Betrieb setzen will, einen Sicherheitscode freilegen, der sich verdeckt unter der auf dem Kennzeichenschild angebrachten Stempelplakette befindet. Unter anderem diesen Sicherheitscode muss er anschließend im internetbasierten Verfahren angeben, um die Außerbetriebsetzung des Fahrzeugs bei der Zulassungsbehörde zu bewirken. Künftig wird es für die Wiederzulassung Plakettenträger geben, auf die die Zulassungsbehörde eine Stempelplakette aufbringt. Der Halter bekommt diese im Anschluss an seine Antragstellung per Internet nach Hause geschickt und bringt sie auf die Kennzeichenschilder auf.

Die im NA Automobil neu erarbeitete DIN 74069 regelt die genauen Prüfanforderungen für die neuen Stempelplaketten und Plakettenträger. Hierzu gehören unter anderem Prüfungen der irreversiblen Freilegung und Lesbarkeit der Codes sowie der mechanischen und chemischen Beständigkeit von Aufbau und Verklebung, um Manipulationen vorzubeugen.

Egbert Fritzsche
Egbert Fritzsche Leiter Abteilung Normung

Tel: +49 30 897842-320 Fax: +49 30 897842-600
Nach oben springen