Software

Software-Viren sind im Auto angekommen

Welch eine Überraschung: Der Autofahrer steigt morgens in sein Auto, startet den Motor, das Autoradio setzt ein – mit voller Lautstärke. Es hilft kein Regeln, kein Ausschalten, es sei denn die Zündung. Schuld ist ein Virus in einem Steuergerät, der die Lautstärke auf „Maximal“ regelt. Ursache ist die Internet-Anbindung des Autos. Während der Fahrt hatte das Fahrzeug selbstständig über eine Luftschnittstelle Software nachgeladen. Auf dem Steuergerät installierte sie sich und schleuste damit auch einen Virus ein. Marko Wolf, Entwickler und IT-Experte bei der Escrypt, einer Entwicklungsfirma für eingebettete IT-Systeme im Automobil: „Benötigte man bisher für Attacken den direkten Zugriff auf die Hardware, können künftig Millionen von Angreifern aus aller Welt versuchen, die Elektronik des Fahrzeugs über das Internet zu manipulieren.“ Noch ist dies äußerst selten, doch die klassische PC-Welt ist im Automobil angekommen – und mit ihr auch die Viren-Welt. Ein Szenario mit Zukunft?

Internet-Anwendungen im Automobil nehmen zu und öffnen Kriminellen den Zugang zu sensiblen Bereichen. VW bietet in einem Tiguan das „auto@web“ an, bei dem man über ein WLAN-Netz Informationen über Veranstaltungen, Parkplätz oder Restaurants abrufen kann.

Daimler bietet eine erste Infotainmentlösung in Japan für die S-Klasse an, bei der ein Internetbrowser mit eingeschränktem Funktionsumfang angeboten wird. Das System ist über ein Gateway abgesichert.

Am weitesten ist wohl BMW. Dort bietet man als Sonderausstattung Connect Drive an, das auch den uneingeschränkten Zugriff ins Web erlaubt – wie am heimischen PC, inklusive dem möglichen Abruf von infizierten E-Mails.

„BMW hat deshalb einen eigenen Server und eine Firewall zum Schutz vor Hackern zwischengeschaltet“, erklärt Katarina Boelsterl, Technik-Sprecherin bei BMW. Die Verbindung zwischen Fahrzeug und Provider findet zusätzlich über ein GSM-Protokoll statt (ähnlich wie über Handy und Netz), das über ein Kryptoverfahren die Inhalte verschlüsselt.

Doch die Gefahr wächst: Künftig müssen große Datenmengen ausgetauscht werden, um beispielsweise Programme oder Diagnose- und Online-Dienste zur Verfügung zu stellen. Steuergeräte-Updates installieren sich dann auf Tastendruck, Störungen lassen sich aus der Ferne diagnostizieren, die Fahrzeug-Software wird ohne Werkstattbesuch aktualisiert. Findet ein Angreifer auch nur eine kleine Sicherheitslücke, kann er beispielsweise im Fahrzeug beliebige Nachrichten versenden – von falschen Blinkersignalen bis hin zu Eingriffen ins ESP oder ABS. Deshalb sind Automobilhersteller mit der Option von Online-Diensten äußerst vorsichtig. Mercedes-Benz Fahrzeuge unterstützen deshalb gegenwärtig keine „schreibende“ Fernwartung, heißt es aus Stuttgart.

Beheben lässt sich die Schwachstelle mithilfe der Kryptografie, der Wissenschaft der Verschlüsselung. Damit sollen Steuergeräte und Steuer-Software vor unbefugten Lesen oder verändern geschützt werden. Solche Kryptochips sind schon in der elektronischen Wegfahrsperre oder dem digitalen Tachograph eingesetzt.

Bei BMW unterbindet man den Angriff auf ein einzelnes Steuergerät durch ein zweistufiges Sicherheitsverfahren. Katarina Boelsterl: „Zunächst muss sich ein Angreifer mit einem Kryptoschlüssel authentisieren um überhaupt Zugriff zu Komponenten zu bekommen. Sollte dies gelingen, akzeptiert die Komponente allerdings nur von BMW signierte Software.“

Mit Universal-Kryptochips will man die „drahtlosen Hacker“ abwehren und die gesamte Fahrzeug-IT zuverlässig absichern. Dies ist dringend erforderlich, denn viele kleine PDAs, Smartphones oder Pocket-PC, die sich in die Autowelt integrieren lassen, nutzen Windows CE oder Windows mobile, Light-Versionen des bekannten PC-Betriebssytems. Und Windows ist nun mal für Hacker und Viren ein Eldorado.

„Zuverlässige IT-Sicherheit für Betriebssysteme in Automobilen ist derzeit noch in der Entwicklung“, weiß Marko Wolf. Automobilhersteller müssen deshalb vorbauen, um ihre komplexen Autobetriebssysteme vor gezielten Angriffen zu schützen. Daimler-Ingenieure beobachten deshalb die Security- und Black Hat-Szene und nutzen die neuesten Erkenntnisse, um ihre Infotainmentsysteme entsprechend abzusichern. „Es sind uns keine erfolgreichen Hacker-Angriffe auf Fahrzeuge von Mercedes-Benz bekannt“, verkündet man bei Daimler stolz.

Bis zum Jahre 2011 wollen IT-Sicherheitsexperten und die Automobilindustrie im EU-Forschungsprojekt EVITA (E-Safety Vehicle Intrusion Protected Applications) ein stabiles IT-Netz entwickeln. „Sicherheitsrelevante Komponenten im Auto und auch die Kommunikation zwischen unterschiedlichen Steuereinheiten soll vor Manipulation geschützt werden“, erklärt Projektkoordinator Olaf Henniger vom Fraunhofer-Institut für Sichere Informationstechnologie (FISI). Die EU fördert Evita drei Jahre lang mit 3,8 Millionen Euro, beteiligt neben escrypt auch die BMW Forschung und Technik, Bosch, Continental Teves.

Autosar entwickelt offene Systemarchitektur

Geht es um Elektronik und Elektrik, so steckt die Automobilindustrie in einem Dilemma: Die Komplexität der Fahrzeuge steigt, die Qualität des Gesamtsystems sinkt. Dies zeigt sich einerseits in der Pannenstatistik des ADAC, die die Elektronik für die meisten Pannen verantwortlich macht, andererseits in der Architektur, die immer komplexer wird.

Wie viele Systeme heutzutage an Bord sind, zeigt das Beispiel des VW Phaeton: Integriert sind derzeit an Bord 61 Steuergeräte, vernetzt über 3 Busse; über 3860 Meter Kabel, aufgeteilt auf 2110 Einzelleitungen, laufen 2500 Signale. Die Speicherkapazität des programmierbaren EEPROM (Electrically Erasable Programmable Read Only Memory) umfasst etwa 50 Megabyte. Zudem setzt man bei VW die Steuergeräte übergreifend in den acht Konzernmarken ein, die weltweit für 45 Produktionsstandorte koordiniert werden müssen.

Hardware und Software solcher Fahrzeuge müssen während des gesamten Produktzyklus verfügbar sein, Programm-Updates und -Upgrades über den Fahrzeug-Lebenszyklus garantiert sein. Um dies zu gewährleisten, haben die größten deutschen Autohersteller und Zulieferer die Entwicklerpartnerschaft „Autosar“ (Automotive Open Systems Architecture) gegründet: BMW, DaimlerChrysler und Volkswagen sowie Bosch, Continental und Siemens VDO. Ebenfalls sind Hard- und Softwareentwickler vorgesehen. Innerhalb des Volkswagenkonzerns unterstützt die vor einem Jahr gegründete Softwarefirma „Carmeq“ die Entwicklung und Koordination.

Ziel von Autosar ist die Entwicklung offener Systemarchitektur-Standards für Automobile, denn der Anteil an Multimedia-Elektronik steigt, Autofahrer verlangen mehr Hilfssysteme und der Gesetzgeber schreibt neue Sicherheitstechnik vor. Stefaan Sonck-Thiebaut, Leiter des Kompetenzzentrums „Systemarchitektur“ bei Carmeq: „Es gilt, so viel wie möglich an vorhandenen Modulen verschiedener Hersteller zu übernehmen und Systemfunktionen zu standardisieren“. Für VW bedeutet dies, das solch eine Architektur im Konzern über Marken, Baureihen und Plattformen hinweg funktionieren muss.

„Autosar entwickelt ein neues Modell der Zusammenarbeit zwischen Herstellern und Zulieferern“, erklärt Sonck-Thiebaut. Weniger Eigenentwicklungen sind gefragt, statt dessen soll kommerziell verfügbare Soft- und Hardware „von der Stange“ zum Einsatz kommen. Module mit unterschiedlicher Funktion und von verschiedenen Herstellern, gilt es aufeinander abzustimmen. Dies gilt besonders für Karosserieelektronik, Multimedia- und Telematik-Systeme und das Fahrwerk. So gewinnt auch die „Global Chassis Control“ von Continental an Bedeutung, die das Zusammenspiel von Bremse, Lenkung, Federung und Antriebsstrang umfasst, die bisher separat aufgebaut waren. Für solche Systeme benötigt man standardisierte Schnittstellen, die unterschiedliche Funktionen implementieren können.

Derzeit verlagern Automobilhersteller die Entwicklung und Fertigung elektronischer Module häufig zu Fremdfirmen ins In- und Ausland. Die Software-Implementierung und die Verwaltung der Daten ebenfalls. Für die Montage im Fahrzeug erhalten die Hersteller letztlich nur noch die fertige Blackbox (Steuergerät mit integrierter Software). Sie muss ins Gesamtsystem passen. Heutzutage kommt es immer wieder zwischen den Steuergeräten verschiedener Zulieferer zu Kommunikationsfehlern. So schätzt man bei IBM, dass die Hersteller jährlich drei Milliarden Dollar aufwenden, um Elektronik- und Softwarefehler zu beheben.

In einem ersten Schritt will Autosar grundlegende Systemfunktionen als „Standard Core Solution“ implementieren. „Das bedeutet, dass die Software, die eine Funktion implementiert, unabhängig von der Hardware in unterschiedlichen Fahrzeugmodellen eingesetzt werden kann“, erklärt Systemarchitekt Sonck-Thiebaut. Autosar entwickelt dafür Standard-Schnittstellen, die möglichst unabhängig von der Kommunikation innerhalb der Netzwerke LIN, CAN oder FlexRay bleiben.

Auch der Aufbau eines hardwareunabhängigen „Software-Layers“ gehört zum Autosar-Ziel. Damit sollen die Programme zuverlässig neue, schnellere und billigere Prozessoren nutzen können. So wie es in der Computerindustrie selbstverständlich ist: Beispielsweise funktioniert die Textverarbeitung „Word“ unabhängig von der Prozessorleistung des PCs.

Erste Ergebnisse des Autosar-Projektes sind für das kommende Jahr zu erwarten. Schon bis Mitte 2006 sollen weit reichende Systeme verfügbar sein, die dann 2007 in die Großserie übernommen werden könnten.

Eile ist geboten, denn sehr kurze Produktionszyklen in der Chip- und Softwareindustrie machen die Autoindustrie mehr und mehr von der Elektronikindustrie abhängig und führen zu einer Vielfalt an Steuergeräten. Während ein Auto heutzutage einen Entwicklungszyklus von 2 bis 5 Jahren hat, liegt er Zyklus bei der Mikroelektronik bei nur 9 bis 12 Monaten. In der Autoindustrie läuft anschließend ein Serienauto etwa 5 bis 7 Jahre vom Band, im Elektroniksektor liegt der Serieneinbau eines Moduls bei höchstens 3 – 5 Jahren. Und dazu werden Bauteile immer kleiner, Programmcodes immer umfangreicher – Tendenz steigend. Denn rund 90 Prozent aller künftigen Innovationen im Fahrzeug sind nach Ansicht von Experten nur über Elektronik und Software umzusetzen.

Carmeq:

Die Volkswagen AG hat im November 2002 die Carmeq GmbH als ein Tochterunternehmen in Berlin gegründet. In „Carmeq“ steht „c“ für „Car“, „m“ für Multimedia, „e“ für embedded control (eingebettete Systeme) und „q“ für quality. Ziel des Unternehmens ist es, Software zur Steigerung der Sicherheit, des Komforts und der Qualität der Fahrzeuge des Volkswagen-Konzerns zu entwickeln.

Derzeit sind 40 Mitarbeiter bei Carmeq tätig, mittelfristig sollen es 200 werden. Eine Kooperation mit der Fakultät für Elektrotechnik und Informatik der TU Berlin sichert die Verbindung zu Wissenschaft und Forschung im Hochschulbereich.

Neues Bordnetz mit 42 Volt

Der New Beetle läuft und läuft, braucht aber auch eine Menge Strom fürs Bordnetz: bis zu 2050 Watt schlucken die elektrischen Verbraucher im 12 (14) Volt Netz „“ das 6 (7) Volt-Netz des Käfers der 60er Jahre brauchte gerade einmal 136 Watt (in Klammern die benötigte Ladespannung).

Aber auch der Strombedarf der Mittel- oder Oberklasse-Modelle explodiert: von heutzutage 800 bis 1500 Watt Dauerleistung auf 3000 bis 7000 Watt im „virtuellen“ Fahrzeug des Jahres 2005. Um 100 Watt zusätzliche elektrische Leistung zu erreichen, müssen aber 0,17 Liter Kraftstoff je 100 Kilometer verarbeitet werden.

Warum mehr Leistung im Auto?

Auf Initiative der Niedersächsischen Landesregierung tüfteln deshalb etwa 60 Automobilhersteller und Zulieferer im „Forum Bordnetzarchitektur“ an einem neuen 42-Volt-Bordnetz. Denn aus der Physik ist bekannt: Erhöht man die Spannung auf das Dreifache, sinken die Verluste auf ein Neuntel. Wegen kleinerer Ströme können dünnere Leitungen, kleinere Steckkontakte und kleinere Chips eingesetzt und eine größere Anschlussleistung realisiert werden, beispielsweise für den elektrisch beheizten Katalysator etwa 1,5 Kilowatt.

Rechnet man diese Anschlussleistung in Spannung und Strom um, kommt man beim heutigen Bordnetz auf mehr als 100 Ampere (A). Für die künftige elektromotorische Bremse müssen sogar mehr als 320 A her.

Erste Anwendung im BMW 750i

Viele direkt angetriebene Nebenaggregate wollen die Autobauer künftig durch neue ersetzen. Das heutige Bordnetz stößt aber an unverrückbare Grenzen: Der BMW 750i (12 Zyl.) besitzt einen E-Kat, der allein 150 A benötigt. Um weitere derartige Verbraucher installieren zu können, setzt BMW als erster Automobilhersteller in zwei Jahren im neuen 7er-Modell das 42-V-Netz ein.

Interview mit Prof. Dr. Karsten Ehlers; Vorsitzender des Forums „Bordnetzarchitektur“

1.) Wird das 12-Volt-Bordnetz künftig überflüssig?

A: Nein. Beim neuen Zweispannungsbordnetz werden Anlasser und Heizung als Hochleistungsverbraucher auf der 42-V-Ebene angeschlossen sein; das 14-V-Netz speist daneben Niederspannungsverbraucher wie Glühlampen und elektronische Steuergeräte.

2.) Und wenn die Autofahrer beim 12-Volt-Netz bleiben möchten?

A: Heutige Leitungen, Batterien und Generatoren reichen sinnvoll nur für Maximalströme zwischen 150 und 200 Ampere aus. Der Autofahrer muss beispielsweise auf künftige sicherheitsrelevante Systeme verzichten, wie elektrische Lenkung oder Bremse, für deren Betrieb der Gesetzgeber auch zwei unabhängige Energiespeicher fordert.

3.) Reicht nicht allein ein größerer Generator aus?

A: Eine höhere Leistung des Generators ist derzeit nur erreichbar, wenn man ihn technisch sinnvoll vergrößert. Auch dafür braucht man ein 42 Volt Netz. Der derzeitige Riemenantrieb ist am Ende seiner Leistungsfähigkeit, so dass zusätzlich ein zweiter Generator installiert werden müsste.

4.) Was kostet das neue Bordnetz den Autofahrer?

A: Lediglich die Batterien werden etwas teurer und schwerer. Er spart aber auch, denn ein Leistungs-Halbleiter benötigt nur ein Drittel der heutigen Chipfläche, was die Kosten bei vielen Elektronikschaltern um bis zu 50% reduziert. Vielen Dank Herr Professor Ehlers.