„es gibt keine safety ohne security“
TRANSCRIPT
„ES GIBT KEINE SAFETY OHNE SECURITY“Spätestens mit teil- und hochautomatisierten Fahrfunktionen steigt nicht nur die Systemkomplexität nochmals
um ein Vielfaches, auch die Gefahr vor Angriffen auf das System bekommt eine neue Dimension. Etas-Geschäfts-
führer Friedhelm Pickhard sprach mit ATZelektronik über das Gefahrenpotenzial und den notwendigen Aufbau
sowie die prozessorientierte Integration von Software- und Security-Know-how in die Fahrzeugentwicklung.
Friedhelm Pickhard (Jahrgang 1959) wurde in Hegendorf geboren. Er studierte Elektrotechnik an der Ruhr-Universität Bochum und an der Universität Paderborn. 1989 trat er in den Bosch-Konzern ein und übernahm diverse Führungspositionen im Geschäfts-bereich Fahrerinformationssysteme. In den Jahren 2006 bis 2010 arbeitete der Ingenieur als Managing Director der Robert Bosch
Engineering and Business Solutions Ltd. in Bangalore, Indien. Pickhard ist seit 2010 Vorsitzender der Geschäftsführung der Etas GmbH. Zu seinem Verantwortungsbereich zählen Unternehmens-strategie, Forschung und Entwicklung, Produkt marketing sowie die Tochtergesellschaft Escrypt, die im Themenfeld Embedded Security branchenübergreifend Dienstleistungen anbietet.
TITELTHEMA INTERVIEW
16
Interview
ATZelektronik _ Die Komplexität in der Auto-mobilentwicklung steigt. Mit dieser gebets-mühlenartigen Aussage beginnt fast jeder Vortrag oder Artikel in der Branche. Das lässt außergewöhnliche Komplexitätssprünge, wie sie mit dem Einzug von Fahrerassistenzsyste-men einhergehen, zuweilen harmlos erschei-nen. Von welchen Größenordnungen spre-chen Experten? Muss die Branche noch mehr sensibilisiert werden?PICKHARD _ Ich glaube, dass es mittler-weile den meisten Automobilunterneh-men schon bewusst ist, welche Dimen-sion der Komplexität auf sie zukommt, auch wenn die Schätzungen der Größen-ordnung unterschiedlich ausfallen. Ein Fahrzeug enthält beispielsweise zwi-schen drei- und zehnmal so viel Soft-ware wie ein Flugzeug. Jedoch scheint die Funktionalität eines Fahrzeugs nicht drei- bis zehnmal komplexer zu sein. Die historische Entwicklung von Software in der Automobilindustrie hat uns zudem auch eine komplexe Software beschert, die es nicht zu unterschätzen gilt, ebenso die wichtigen Security-Aspekte, die die Komplexität erhöhen.
Werden die möglichen Bedrohungsszenarien beispielsweise durch Angriffe auf das System unterschätzt? Dank der heutigen Fahrzeugtechniken ist diese Gefahr zunächst einmal gerin-ger als beispielsweise bei Mobilgeräten. Für viele kritische Fahrzeugfunktionen müsste sich ein Angreifer physischen Zugang zum Fahrzeug verschaffen, um Veränderungen vornehmen zu können – und selbst dann könnte er immer nur ein einzelnes Fahrzeug angreifen. Die Bedrohung durch Angreifer dürfte aller-dings ein sehr viel größeres Problem werden, wenn der Fernzugriff auf das Fahrzeug in den Fokus rückt. Mit der immer stärkeren Verbreitung hoch ent-wickelter Infotainment-Systeme, die es den Benutzern ermöglichen, auch nicht vertrauenswürdige Geräte mit dem Fahr-zeugnetzwerk zu verbinden, wird das Problem akuter. Das in hohem Maße automatisierte Fahren wird zudem eine verstärkte Kommunikation zwischen Fahrzeugen sowie zwischen Fahrzeugen und der Infrastruktur erforderlich machen. In diesem Szenario ist die Secu-rity für die Betriebssicherheit der Fahr-zeuge von sehr hoher Bedeutung.
Ist das notwendige Know-how in der Auto-mobilindustrie vorhanden?
Die Unternehmen verfolgen verschiedeneAnsätze – von der Kooperation mit Secu-rity-Experten bis hin zu Inhouse-Lösun-gen. Rund um die Ruhr-Universitiät Bochum hat sich ein Zentrum für IT-Sicherheit entwickelt, meiner Ansicht nach das beste in Europa. Etas hat das Lösungsportfolio mit dem Kauf des Secu-rity-Spezialisten Escrypt, einem ehemali-gen Start-up der Ruhr-Universität, erwei-tert. Denn wir sind davon überzeugt, dass es keine Safety ohne Security geben kann.
Muss der Fahrplan für voll- und hochautoma-tisiert fahrende Fahrzeuge überdacht werden, weil beispielsweise Security-Themen unter-schätzt werden?Die Hausaufgaben hierzu werden bereits gemacht. Die Branche erfasst gegenwär-tig enorme Datenmengen darüber wie diese Systeme zusammenwirken und gewinnt dadurch wertvolle Erfahrungen für die weitere Entwicklung. Natürlich gibt es sicherheitstechnische Herausfor-derungen. Was aber die relativen Risiken
und den Nutzen für die Gesellschaft betrifft, so wäre die Welt schon in vielen Betriebszuständen des Fahrzeugs mit den heutigen Technologien und Enginee-ring-Ansätzen sehr viel sicherer, wenn Fahrzeuge sich selbst steuern würden.
Sicherheit ist immer relativ und kann nie die 100-%-Marke erreichen. Wie gehen Etas und Escrypt mit Sicherheitsanforderungen bei sicherheitskritischen Systemen um?Wir müssen dieselben Ansätze wie in anderen Branchen verfolgen: wachsam gegenüber neuen Bedrohungen sein und dann schnell Sicherheits-Patches für die Software aller betroffenen Fahrzeuge einspielen. Die praktische Umsetzung dieses Prozesses in der Automobilindus-trie birgt jedoch ihre eigenen Herausfor-derungen. Fahrzeughalter werden nicht für jedes Sicherheits-Patch in die Werk-statt fahren wollen. Daher müssen wir zu Over-the-air-Updates, kurz OTA-Updates, übergehen. Dies erhöht aller-dings die bereits erwähnte Gefahr von Systemangriffen.
Von welchen Ansätzen für Security sprechen Sie dann? Die Etas-Tochtergesellschaft Escrypt beschäftigt sich genau mit diesen Her-ausforderungen. Und unsere sichere OTA-Update-Lösung und Public-Key-
„Security ist für die Betriebs-
sicherheit vernetzter Fahrzeuge
von sehr hoher Bedeutung.“
Die Welt wäre bereits mit den heutigen Technologien sehr viel sicherer, wenn sich Fahrzeuge selbst steuern würden, sagt Friedhelm Pickhard
17 04I2014 9. Jahrgang
Interview
Infrastruktur PKI wecken großes Inter-esse am Markt. Natürlich müssen derar-tige Technologien ebenfalls den höchsten Ansprüchen genügen: Sie müssen als zuverlässige sogenannte Gatekeeper für andere, möglicherweise weniger sichere Software fungieren. Wir können hier jedoch auch auf die Erfahrungen anderer Branchen bauen, beispielsweise aus Projekten wie Tokeneer zur Sicherung von E-Cash-Bezahlungssystemen, welche die strengsten sogenannten Common Criteria erfüllen.
Muss bei Embedded Security nachgerüstet werden, technologisch und organisatorisch?Safety kann wie Security nur mit erhebli-chem Aufwand, wenn überhaupt, nach-gerüstet werden. Auf der Sicherheit wichtiger Elemente eines Systems grün-det die gesamte Software. Dies nachrüs-ten zu wollen, ist so, als versuche man, das Fundament nach dem Bau eines Hauses zu errichten. Organisatorisch muss die Branche an Safety und Security gleichzeitig denken.
Ist der Weg, wie Software heute entwickelt wird, noch zeitgemäß? In vielen Branchen ist die Art und Weise,wie Software heute entwickelt wird,nicht ausreichend. Jedoch gibt es auch Branchen, wie die Luftfahrt-, Atom- oderBahnindustrie, die schon seit Jahrzehn-ten Software mit extrem hoher Safety und Security entwickeln.
Mit frühem Frontloading lassen sich viele Fehler vermeiden. Zählt zum Frontloading auch, dass Etas nicht nur Testdienstleistun-gen, sondern auch schlüssel fertig getestete Funktionen anbietet?Die Funktionsentwicklung ist untrenn-bar mit dem Test verbunden. Frühes Frontloading genügt aber nicht allein,
wenn es um Security-Aspekte geht. Sichere Funktionen müssen auf Security-Maßnahmen im Prozess einer Entwick-lung basieren. Hier unterstützen wir unsere Kunden mit unserem Dienstleis-tungsangebot von der Beratung bis zur vollständig von Etas entwickelten Soft-
warefunktion. Zudem ergibt sich mit der zunehmenden Integration der Systeme für die Branche die einzigartige Gelegen-heit, frühere Design-Entscheidungen zu überdenken und die Fahrzeug-Software noch einmal aus der Systemperspektive zu betrachten. Dies sollte zu einer Software führen, deren Komplexität nicht höher ist als durch die Aufgabe bestimmt. Ein solcher Ansatz führt nach unseren Erfahrungen oft auch zu einem verbesserten Funktionserlebnis.
Die funktionale Sicherheit und die Security sind inhaltlich sehr unterschiedlich, gibt es dennoch Synergien?Beim Software-Engineering weisen die Richt linien, die beim Engineering für Safety und Security breite Anwendung
fi nden, viele Parallelen auf. Zum Beispiel stellen die Normen ISO 26262, IEC 61508 und die Common Criteria sehr ähnliche Anforderungen an die Wahl der Sprache, der Programme, der Architektur und der Software-Anwendung.
Engagiert sich Etas in diesem Feld?Wir arbeiten mit den Universitäten von Bochum und York zusammen, um die nächste Generation von Software-Spezia-listen auszubilden, die diese Synergien nutzen sollen. Herr Pickhard, ich bedanke mich für das Gespräch.
INTERVIEW: Markus SchöttleFOTOS: Etas
„Wir helfen dabei, die nächste
Generation von Software-
Entwicklern auszubilden.“
In vielen Branchen ist die Art und Weise, wie Software entwickelt wird, nicht ausreichend, meint Pickhard
TITELTHEMA INTERVIEW
18
Höchstleistung Energieeffizienz und hohe Zuverlässigkeit für LKWs und landwirtschaftliche Fahrzeuge
Mit über 40 Jahren Erfahrung als Innovations- und Marktführer in der Hochleistungselektronik sind wir bestens auf-Mit über 40 Jahren Erfahrung als Innovations- und Marktführer in der Hochleistungselektronik sind wir bestens auf-Mit über 40 Jahren Erfahrung als Innovations- und Marktführer in der Hochleistungselektronik sind wir bestens aufgestellt, um Ihre LKW-Designs voranzubringen. Dank integrierter Schutz- und Diagnosefunktionen eignet sich unser umfassendes Portfolio ideal für 24-V-Anwendungen, die eine hohe Robustheit, Langzeitzuverlässigkeit und einen großen Temperaturbereich erfordern.
Sensoren – Durch die Kombination von Signalverarbeitungs- und Messfunktionen auf einem einzigen Chip garantiert unser umfangreiches Sensor-Portfolio erstklassige Qualität, herausragende Performance und ein optimales Preis-Leis-tungs-Verhältnis. So stellen wir sicher, dass all unsere Sensorprodukte – angefangen bei Standard-Hall-Schaltern und Winkelsensoren über lineare Präzisions-Hallsensoren bis hin zu leistungsstarken Drucksensoren und extrem genauen und widerstandsfähigen magnetischen Raddrehzahlsensoren – höchste Anforderungen erfüllen.
Mikrocontroller – Unsere AURIX™-Familie an Mikrocontrollern bietet die hohe Leistung, Speichergröße, Skalierbarkeit Mikrocontroller – Unsere AURIX™-Familie an Mikrocontrollern bietet die hohe Leistung, Speichergröße, Skalierbarkeit Mikrocontrollerund Sicherheit, die in modernen LKW-Anwendungen benötigt wird. Eine Innovative Multicore-Architektur erfüllt dabei höchste Konnektivitäts- und Sicherheitsstandards. Dabei zeichnen sich unsere XMC-Mikrocontroller durch die bran-chenweit fortschrittlichste Peripherie für eine hoch konfigurierbare, weitgehend autonome und einzigartige Funktio-nalität aus. Somit sind sie perfekt für Motorsteuerungs- und Stromwandlungsanwendungen geeignet.
Power – Zusätzlich zu unseren Sensoren und Mikrocontrollern bieten wir leistungsfähige N- und P-Kanal-MOSFETs Power – Zusätzlich zu unseren Sensoren und Mikrocontrollern bieten wir leistungsfähige N- und P-Kanal-MOSFETs Powersowie Low-Side-HITFET™- und High-Side-PROFET™+24V-Schalter an. Gleichzeitig finden Sie bei Infineon Lösungen zur Motorsteuerung, wie NovalithIC™-Halbbrücken und TrilithIC-H-Brücken mit integrierten MOSFETs, H-Brücken- und BLDC-Brücken-Treiber. Lösungen zur Stromversorgung wie speziell für 24-V-LKW-Anwendungen konzipierte DC/DC-Wandler und Spannungsregler runden Ihr LKW-Designs ab.
www.infineon.com/truck