:quality(80)/p7i.vogel.de/wcms/6e/08/6e08d69d71d2f36a000dc56c4592a208/0114338953.jpeg "Die Gemini-Batterie soll im Jahr 2026 serienreif sein. Für Testfahrten nutzt ONE einen BMW iX . (Bild: ONE)")
:quality(80)/p7i.vogel.de/wcms/30/85/308532faf7f8629d2074a050209ff0a4/0114356286.jpeg "Chinas erstes Photovoltaik-Pilotprojekt für grünen Wasserstoff in der Provinz Xinjiang hat Ende August 2023 die Produktion aufgenommen. (Bild: Sinopec)")
:quality(80)/p7i.vogel.de/wcms/82/63/82637147f720d830951ced2263386a7f/0114288140.jpeg "Mercedes-Benz erhält als erster Autohersteller Lizenzen für hochautomatisiertes Fahren (Level 3) in den US-Bundesstaaten Kalifornien und Nevada. Im EQS ist die Technik verbaut. Wir durften sie in Los Angeles testen. (Bild: @Mercedes-Benz AG)")
:quality(80)/p7i.vogel.de/wcms/0d/6b/0d6b700859433ebfa700f56c41c0f8fc/0114294713.jpeg "Dr. Holger Klein, Vorstandsvorsitzender der ZF Group (Bild: ZF/Markus Altmann)")
:quality(80)/p7i.vogel.de/wcms/bb/13/bb13e0bbfb59e9811a56f219f0a0a362/0114391122.jpeg "Das Volkswagen-Werk in Zwickau soll sich um das kommende Trinity-Modell kümmern. (Bild: Volkswagen)")
:quality(80)/p7i.vogel.de/wcms/74/5c/745c63d5ecea87bf0175af2304fb9d92/0114389126.jpeg "Die ehemals als atomare Wiederaufbereitungsanlage geplante Halle befindet sich bereits im Umbau. (Bild: BMW)")
:quality(80)/p7i.vogel.de/wcms/62/b3/62b33e4af745094bc882f85ff44c61eb/0114394363.jpeg "Jörg Homering übernimmt zum 1. November 2023 die Standort- und Produktionsleitung der Mercedes Benz Ludwigsfelde GmbH. (Bild: © Mercedes-Benz AG)")
:quality(80)/p7i.vogel.de/wcms/11/de/11de546f32ff3755dd5b3df924a406ab/0114388230.jpeg "Bernard Schäferbarthold wird zum 1. Januar neuer CEO von Hella. (Bild: Forvia Hella AG)")
:quality(80)/p7i.vogel.de/wcms/d3/94/d394d58b3598329dbadf5acdbf546883/0114370359.jpeg "Erst war Globalfoundries gegen Staatshilfen für TSMC, jetzt beantragt der Chip-Auftragsfertiger selber Subventionen. Das ist angesichts der staatlichen Förderung für die direkte Konkurrenz folgerichtig. (Bild: Globalfoundries)")
:quality(80)/p7i.vogel.de/wcms/48/60/4860d020d12425a7ccdfefbc8be38e9e/0114366481.jpeg "Mit dem Wegfall der CAD-Abteilung sei nun der Punkt erreicht, an dem Opel im Grunde genommen kein Erstausrüster mehr ist, schreibt das Handelsblatt mit Verweis auf Unternehmenskreise. (Bild: Opel)")
:quality(80)/p7i.vogel.de/wcms/1b/e8/1be807fc0929139a1976da5a92d2b2fa/91822484.jpeg "(Bild: Volkswagen)")
:quality(80)/p7i.vogel.de/wcms/c0/50/c050c799982d274393ba1ef9b7dd5977/0114333831.jpeg "Unterschiedliche Temperaturen und Drücke während des Betriebs und der Ladevorgänge von Elektrofahrzeugen stellen eine besondere Beanspruchung für Schraubverbindungen dar. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/22/8c/228caeabc98d23c6ddd77bbfc65eaf70/0114302580.jpeg "Li-Cycle hat bei Magdeburg eine Recyclinganlage für Lithium-Ionen-Batterien eröffnet.
(Bild: Business Wire)")
:quality(80)/p7i.vogel.de/wcms/ea/5b/ea5b85e836320795bb053f995c4074a6/0114246488.jpeg "Mercedes-Benz hat für den Werksumbau in Rastatt erstmals einen virtuellen Zwilling für die virtuelle Inbetriebnahme der Produktionslinie genutzt. (Bild: © Mercedes-Benz AG)")
:quality(80)/p7i.vogel.de/wcms/9d/9e/9d9e5b3368390d4e7fdb067e7f714856/0114065311.jpeg "Offizielle Inbetriebnahme (v. l.): Jenny Stenberg Sørvold, First Secretary, Royal Norwegian Embassy in Berlin; Thomas Stuerzebecher, Geschäftsführer, Hydro Aluminium Gießerei Rackwitz; Eivind Kallevik, EVP Hydro Aluminium Metal; Thomas Schmidt, Sächsischer Staatsminister für Regionalentwicklung. (Bild: Norsk Hydro/Marco Prosch)")
:quality(80)/p7i.vogel.de/wcms/82/01/82018b173d6ae1df855146966dd8d2a6/0114014618.jpeg "(Bild: Pixel_B - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/41/7a414197370cea7e4ad32de50c954996/0112969988.jpeg "200 Kilogramm flüssiges Aluminium in einem „Schuss“: Die Megacasting-Anlagen der Carat-Serie von Bühler wurden erstmals dem europäischen Fachpublikum vorgestellt. (Bild: Sagar Shiriskar/Bühler AG)")
Car-IT Car-2-x: Was man von anderen Branchen lernen kann
Mit der Car-2-x-Kommunikation nach außen wird Datensicherheit zu einem drängenden Thema. Ein Blick auf andere Branchen zeigt, wie sich die Risiken im Entwicklungsprozess bewerten und Sicherheitsanforderungen erfüllen lassen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/ec/63ecc6d9ec6ba/pv-logo-200px.jpeg "pv-logo-200px (Pfeiffer Vacuum)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/5a/635aa460ec8ee/ipg-automotive-logo.png "ipg-automotive-logo (www.ipg-automotive.com)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/19/6419e8e91f1b5/wechat-image-20230316105317.jpeg "wechat-image-20230316105317 (Client)")
Um die funktionale Sicherheit der Automobilelektronik sicherzustellen, gibt es etablierte Verfahren nach ISO 26262. Es liegt im Aufgabenbereich des OEMs, eine Risikoanalyse vorzunehmen. Risiken müssen identifiziert und bewertet werden. Dabei muss für jede einzelne identifizierte Gefährdung abgeschätzt werden, wie schwer sie sich auswirkt, wie häufig sie auftritt oder wie wahrscheinlich es ist, dass die Fehlfunktion eintritt und ob sie sich in der jeweiligen Fahrsituation beherrschen lässt. Daraufhin erfolgt für jede Gefährdung die Einstufung in eine ASIL-Sicherheitsanforderungsstufe von A bis D. So wird zugleich festgelegt, was der Entwickler einer Komponente tun muss, um der jeweiligen Sicherheitsanforderungsstufe gerecht zu werden. Für Safety sind in der Automobilelektronik somit bewährte Verfahren und Sicherheitsanforderungsstufen definiert.
:quality(80)/images.vogel.de/vogelonline/bdb/1393600/1393618/original.jpg "Der US-Bundesstaat Arizona hat Uber nach dem tödlichen Crash eines selbstfahrenden Autos mit einer Frau weitere Fahrten mit Robo-Fahrzeugen bis auf weiteres untersagt. (Uber)")
Sensorik
Autonomes Fahren: Die Sicherheitsfrage
Für das schnell an Bedeutung gewinnende Feld der Security (Sicherheit durch Schutz vor Angriffen) sollten ähnliche Prozesse etabliert werden. So lassen sich beispielsweise die möglichen Folgen einer manipulierten Datenübertragung abschätzen.
Erfolgs- statt Eintrittswahrscheinlichkeit
Deutlich schwieriger aber wird es bei der Bewertung der Eintrittswahrscheinlichkeit. Bei der funktionalen Sicherheit lassen sich die Situationen identifizieren, in denen es zu einem Fehler kommen kann. Somit lässt sich an der Häufigkeit dieser definierten Situationen auch sinnvoll beurteilen, mit welcher Wahrscheinlichkeit es zu Fehlern kommt. Im Gegensatz dazu ist bei Datensicherheitsverletzungen die Ursache tendenziell unabhängig von der Funktion einer Komponente und der Häufigkeit ihres Abrufs im Betrieb.
An die Stelle der Eintrittswahrscheinlichkeit tritt hier die Erfolgswahrscheinlichkeit eines Angriffs. Diese zu bestimmen ist allerdings ungleich schwieriger, weil man vorab nicht wissen kann, welche Methoden der Angreifer entwickelt. IT-Sicherheit lässt sich als ein immerwährender Wettlauf zwischen Angreifern und Verteidigern beschreiben, bei dem beide Seiten ihre Methoden laufend verbessern: Datensicherheit ist ein „bewegliches Ziel“.
Um in einem Szenario die Erfolgswahrscheinlichkeit eines Angriffs zu bestimmen, kann man jedoch die erforderliche Komplexität des Angriffs abschätzen. Muss ein Angreifer beispielsweise gleichzeitig in mehrere Systeme eindringen, ist dies ungleich komplexer, als wenn er nur die Barrieren eines Systems überwinden muss. Ein weiteres Beispiel: Kann der manipulierende Zugriff auf Systeme über eine Funkverbindung erfolgen, oder braucht der Angreifer einen physischen Zugang zum Bordnetz?
Definition von Security Levels
Doch wie lassen sich diese Fragen methodisch und in Normen für die Automobilindustrie in den Griff bekommen? Um diese Frage zu beantworten, lohnt sich ein Blick auf die Methoden, mit denen anderen Branche sicherheitsrelevante Projekte bewältigen – etwa Aerospace oder industrielle Automation.
Auf Basis dieser Erfahrungen lässt sich ein Lösungsansatz für die Automobilindustrie vorschlagen: Die ISO/IEC 62443 „Industrial communication networks – Network and system security“ zeichnet sich durch eine sehr gut abgestufte Abstraktion in der Beschreibung von Sicherheitsanforderungen und Maßnahmen aus. Auch hier wird, vergleichbar mit den in der Automobilbranche bekannten Sicherheitsanforderungsstufen der funktionalen Sicherheit, mit Security Levels gearbeitet.
ISO/IEC 62443 als Vorlage
Ein Netzwerk industrieller Steuerungen unterscheidet sich auf abstrakter Ebene nicht grundsätzlich von einem Netzwerk von Steuerungen in einem Fahrzeug. Daher kann die ISO/IEC 62443 als gute Vorlage dienen, um Security Level für ein System zu definieren und daraus Anforderungen ableiten zu können.
Ein weiterer Vorteil: Diese Security-Anforderungen werden in der Norm abstrakt vorgegeben und beziehen sich nicht auf bestimmte Bussysteme oder Protokolle. Die Definition der Security Level erfolgt nach dem Top-down-Ansatz: Der OEM würde im Idealfall aus dem Level eines Systems das erforderliche Level eines Subsystems ableiten und dies dem Zulieferer mitteilen. Da dies noch nicht gebräuchlich ist, könnte auch ein Entwicklungspartner seinerseits ein Security Level aus der Norm wählen und würde so Lösungen liefern, die eine eigene Definition ihrer Sicherheit bereits mitbringen.
Netzwerke voneinander trennen
Das Zusammenführen und Gruppieren von Steuergeräten im Fahrzeug senkt Kosten und Platzbedarf, verkürzt Kommunikationswege und -latenzen und schafft so Ressourcenpuffer, die anspruchsvollen Anwendungen zur Verfügung gestellt werden können. Doch diese Vernetzung vorher unabhängiger, getrennter Steuerfunktionen im Fahrzeug hat einen nicht unproblematischen Einfluss auf Security-Aspekte.
:quality(80)/images.vogel.de/vogelonline/bdb/1397800/1397831/original.jpg "BMW erweitert sein Entwicklungsnetzwerk in China und hat einen neuen Standort im Pekinger Shunyi Distrikt eröffnet. (BMW)")
Engineering
BMW eröffnet dritten Entwicklungsstandort in Peking
Bei Safety wie bei Security verstehen wir Gefährdung als das Produkt aus Eintrittswahrscheinlichkeit und Folgenschwere. Folgen eines Hacks können z. B. Datendiebstahl oder ein Imageschaden sein. Doch weitaus gefährlicher für die Nutzer von Fahrzeugen ist es, wenn ein Angriff die funktionale Sicherheit des Fahrzeugs beeinflussen kann. Ein plakatives Beispiel dafür: Ein Angreifer schafft es, über die Update-Funktion des Infotainmentsystems und das Netzwerk der diversen Steuergeräte auf die Bremsen zuzugreifen. Angesichts der Folgenschwere eines solchen Szenarios muss die Eintrittswahrscheinlichkeit maximal gesenkt werden. So könnte es dafür erforderlich bzw. zielführend sein, die entsprechenden Netze möglichst stark zu trennen.
Safety und Security trennen
Das Gruppieren und die Vernetzung von Steuergeräten dürfen nicht dazu führen, dass unkritische Steuerfunktionen mit kritischen Funktionen zusammengelegt werden. Schwachstellen unkritischer Geräte, die bis dato geringe Bedeutung hatten, bedrohen sonst direkt kritische Funktionen. Auch Safety- und Security-Funktionen sollten getrennt bleiben, denn die einen dürfen nicht verändert werden, wohingegen die anderen mit jeder neuen Cyberbedrohung upgedatet werden müssen.
*Dr. Falk Lindner ist Senior Security Engineer bei Silver Atena Electronic Systems Engineering
(ID:45215292)
:quality(80)/p7i.vogel.de/wcms/4c/24/4c2405135714d49ae956200dfe828d84/0111323802.jpeg "Softwarefunktionen werden auf den Displays sichtbar. Um aber alle Systeme miteinander zu koordinieren braucht es ein übergreifendes IT-System. Dafür gbit es verschiedene Betriebssysteme. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/3d/3c/3d3c7d568e8bd1769574292c9d7b7faf/0109759786.jpeg "Ilona Simpson ist CIO EMEA bei Netskope. In ihrem Gastbeitrag prognostiziert sie die drei wichtigsten Cybersecurity-Themen für das Jahr 2023. (Bild: Netskope)")