Ohne Security keine Sicherheit

Timo van Roermund von NXP Semiconductors war einer der Keynote-Speaker am #LetsCluster-2019-Event, der kürzlich in Graz stattgefunden hat. Die COMPUTERWELT hat ihn zum Thema Sicherheit und Security in modernen Fahrzeugen befragt. [...]

Timo van Roermund ist Technical Director Automotive Security bei NXP Semiconductors Deutschland.
Timo van Roermund ist Technical Director Automotive Security bei NXP Semiconductors Deutschland. (c) NXP

Fahrzeuge werden immer mehr zu fahrenden Computern. Welche Rolle spielt dabei die Sicherheit?

Timo van Roermund Sicherheit spielt eine sehr wichtige Rolle: Mit dem Trend zu ADAS (Advanced Driver Assistance Systems) und schließlich zum Selbstfahren können die Systeme im Auto autonom arbeiten, das heißt sie müssen immer zuverlässiger bzw. sicherer werden. Sicherheit kann aber nicht ohne Security existieren. Wenn ein Hacker Zugang zu den inneren Systemen des Fahrzeugs erhält, kann er oder sie möglicherweise die Zuverlässigkeit bzw. die Sicherheit dieser Systeme gefährden. Zum Beispiel, indem sie bestimmte Funktionen oder Systeme deaktivieren oder ihr Verhalten ändern. Dies wurde bereits 2015 im berühmten Jeep-Hack gezeigt.

Moderne Fahrzeuge werden zunehmend an externe Netzwerke angeschlossen, darunter auch an das Internet. Zum Beispiel über das Telefon oder die eigene Antenne für WLAN, Bluetooth, Telematik oder NFC. Diese Konnektivität erhöht die Sicherheit und verbessert die Benutzererfahrung. Durch diese Verbindungen zur Umgebung können Fahrzeuge jedoch auch Eindringlingen aus der Ferne ausgesetzt werden. Das ist ein weiterer Grund, warum Fahrzeuge unter Securityaspekten konzipiert werden müssen. Moderne Fahrzeuge sammeln zudem immer mehr Daten, die als PII (persönlich identifizierende Informationen) eingestuft werden können. Dazu gehören Daten, die zwischen Fahrzeugen ausgetauscht werden, synchronisierte Smartphones oder Daten, die von Fahrerüberwachungssystemen erfasst werden. Hier muss auch die Privatsphäre der Benutzer geschützt werden.

Wo sehen Sie die aktuellen Herausforderungen für die Security in Fahrzeugen?

In erster Linie geht es um die Fahrzeugsicherheit und die Privatsphäre der Nutzer. Es können jedoch auch sekundäre Auswirkungen auftreten, wie negative Auswirkungen auf den Ruf der Marke, das Vertrauen der Benutzer, Versicherungsprämien, Diebstahl bzw. Verlust von geistigem Eigentum usw.

Eine der wichtigsten Herausforderungen besteht darin, die Altsysteme und -architekturen der heutigen Fahrzeuge anzupassen, um die Sicherheit und Skalierbarkeit zu erhöhen. Dies hilft, sich auf die höheren Anforderungen an die Autonomie und die Konnektivität des Marktes sowie auf die Notwendigkeit von Security vorzubereiten. Darüber hinaus spielen Menschen und Prozesse eine wichtige Rolle. Alles beginnt mit Bewusstsein und Grundkenntnissen und sicherer Arbeitsweise: Die Sicherheit in Prozessen und Sicherheitsrichtlinien sind ein Muss für die Entwicklung sicherer Produkte. Die Automobilindustrie hat hier in den letzten Jahren wichtige Schritte unternommen, aber es braucht weitere Verbesserungen.

Wie hilft NXP dabei Fahrzeuge sicherer zu machen und wie wichtig ist das Thema in Ihrem Unternehmen?

Sicherheit ist für NXP extrem wichtig, sie ist ein zentraler Bestandteil unseres Wertversprechens. Wir sind sehr darum bemüht, unsere Produkte so sicher wie möglich zu gestalten und sicherzustellen, dass sie unseren Kunden helfen, ihre Produkte (Steuergeräte, Fahrzeuge) zu sichern. Wir verfolgen folgende ganzheitliche Sicherheitsstrategie: Wir haben viele Ingenieure, die täglich an sicheren Lösungen arbeiten. Wir arbeiten auch eng mit unseren Kunden zusammen und werden oft frühzeitig in die Anforderungsspezifikation einbezogen, um die Sicherheit von Anfang an zu berücksichtigen (Sicherheit durch Design). Wir haben Sicherheit zu einem integralen Bestandteil unserer Prozesse und unserer Arbeitsweise gemacht. Zum Beispiel werden Sicherheitsimplementierungen in unseren Produkten über Sicherheitschecklisten, Lie-ferergebnisse und unabhängige Überprüfungen an den verschiedenen Projekttoren und Meilensteinen überwacht. Dies ist das Vier-Augen-Prinzip.

Die Sicherheit einiger unserer Produkte wird unabhängig von Sicherheitslaboren von Drittanbietern überprüft. Wir haben ein zentrales Kompetenzteam, um die Sicherheit in unserem gesamten Unternehmen zu verwalten. Wir bieten Schulungen an, um das Wissen und das Bewusstsein in unserer gesamten Organisation zu erhöhen. Wir arbeiten mit externen Parteien wie Auto-ISAC (Automotive Information Sharing and Analysis Center), Sicherheitsforschern und CERTs zusammen, um Informationen und Best Practices auszutauschen. Perfekte Sicherheit gibt es nicht. Daher verfügen wir auch über ein Team zur Reaktion auf Vorfälle, um eventuelle Sicherheitslücken in Produkten rasch beheben zu können.

Das selbstfahrende Auto wird kommen. Welche Rolle spielen AI und ML bei diesen Thema? 

Die AV-Automatisierung wird zunehmend Künstliche Intelligenz enthalten, die durch ML aus Erfahrung lernen soll. KI und ML sind daher Schlüsselthemen für das Selbstfahren. KI / ML-Systeme unterliegen neuen Angriffsklassen. Zum Beispiel bedeuten gegnerische Angriffe gegen das Modell, das Klonen von Modellen usw., dass Systeme gegen diese Angriffe gesichert werden müssen. Dies ist jedoch ein weitgehend unerforschtes Gebiet.

AI und ML können auch zur Erhöhung der Sicherheit von Fahrzeugen verwendet werden. Beispielsweise könnte das Security Operations Center eines Flottenmanagementunternehmens ML in Big Data einsetzen, um Probleme in diesem Bereich frühzeitig zu erkennen.

Schließlich können AI und ML auch zum Angriff auf Systeme verwendet werden. Zum Beispiel durch die Verwendung von AI-Fuzzing, um Schwachstellen automatisch zu finden. Fuzzing ist eine Technik, mit der ungültige oder halb-zufällige Daten injiziert werden, um potenziell anfällige Stellen zu finden. Normalerweise ist dies jedoch ein langwieriger Prozess. Die Anwendung von KI- und Machine-Learning-Modellen auf Fuzzing macht es höchstwahrscheinlich viel effektiver.

Wann werden in Europa selbstfahrende Autos auf den Straßen zu sehen sein?

Der Markt entwickelt sich langsamer als ursprünglich erwartet. In den letzten Jahren gab es einige Vorfälle, die darauf hindeuten, dass die Leistungsfähigkeit der aktuellen Technologie des Selbstfahrens noch nicht für das automatisierte Fahren in allen Situationen ausreichend ist. Ich gehe davon aus, dass bestimmte Funktionen, beispielsweise das Parken mit Parkautomaten, bei denen Geschwindigkeit und Risiko gering sind, in neuen Fahrzeugmodellen schrittweise eingeführt werden. Es wird jedoch noch einige Zeit dauern, bis vollständige Fahrzeuge der Stufen 4 oder 5 zu sehen sind, die auf jeder Straße und unter allen Umständen auf öffentlichen Straßen völlig autonom fahren können.



Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*