-
Die
Erfindung betrifft ein Verfahren zum sicheren Kommunizieren von
mindestens einer von mehreren Komponenten eines Fahrzeugs über eine drahtlose
Kommunikationsverbindung mit mindestens einem externen Kommunikationspartner,
wobei die mehreren Komponenten jeweils mindestens ein Kommunikationsmodul
zum Datenaustauschen umfassen, umfassend ein Austauschen von Datenpaketen
zwischen einer Sende- und Empfangseinrichtung des Fahrzeugs und
einer externen Sende-/Empfangsstation sowie eine entsprechende Vorrichtung und
ein entsprechendes Kommunikationssystems.
-
Die
Notwendigkeit für
einen Datenaustausch zwischen Komponenten eines Fahrzeugs und einem Kommunikationspartner
außerhalb
des Fahrzeugs über
drahtlose Kommunikationsverbindungen nimmt zu. Unter Komponenten
eines Fahrzeugs werden sowohl Softwareanwendungen, die auf einem
Computer des Fahrzeugs (Fahrzeugcomputer) ausgeführt werden, als auch Hardwarebestandteile,
beispielsweise ein Motorsteuerungsmodul, angesehen. Um Daten zwischen
den Komponenten des Fahrzeugs austauschen zu können, umfassen alle diese Komponenten
mindestens ein Kommunikationsmodul, das in der Regel als Software
ausgeführt
ist und auf dem Fahrzeugcomputer ausführbar ist. Bei dem Kommunikationsmodul
für das
Motorsteuerungsmodul handelt es sich beispielsweise um eine Kommunikationsschnittstelle,
die auf dem Fahrzeugcomputer als Software ausgeführt ist und einen Zugriff auf Hardwarebestandteile
der Komponente über
ein Bussystem ermöglicht.
-
Ein
Kommunikationsbedarf zwischen dem externen Kommunikationspartner
und den Komponenten des Fahrzeugs kann vielfältige Ursachen haben. Für einen
Nutzer des Fahrzeugs kann es beispielsweise wünschenswert sein, dass das
Motorsteuerungsmodul Daten mit einer Vertragswerkstatt des Fahrzeugherstellers
austauscht, um bei einer Fahrzeugstörung eine schnelle und zuverlässige Diagnose
des Fehlers zu ermöglichen.
Ein anderes Beispiel für
eine Kommunikation über
eine drahtlose Kommunikationsverbindung stellt das Herunterladen von
Multimediainformationen in ein Infotainmentmodul des Fahrzeugs dar.
Es sind viele weitere Anwendungen denkbar, bei denen eine drahtlose
Kommunikation zwischen einer Komponente des Fahrzeugs und einem
externen Kommunikationspartner stattfindet. Hierunter werden auch
solche Anwendungen gefasst, bei denen eine von dem Fahrzeug getrennte oder
trennbare Einrichtung, beispielsweise ein Mobiltelefon oder ein
tragbarer Computer usw., mit dem Fahrzeug verbunden wird und ein
drahtloser Datenaustausch über
eine Sende-/Empfangseinrichtung des Fahrzeugs zu einer Sende-/Empfangsstation stattfindet.
Bei dem externen Kommunikationspartner kann es sich beispielsweise
um eine Softwareanwendung handeln, die auf einem Computer ausgeführt wird,
der mit der Sende-/Empfangsstation über ein Netzwerk verbunden
ist. Es kann sich jedoch auch um andere Vorrichtungen oder Personen
handeln, die über
ein elektronisches Gerät,
das mittels des Netzwerks mit der Sende-/Empfangsstation verbunden
ist, Daten mit einer Komponente des Fahrzeugs austauschen.
-
Die
drahtlose Kommunikationsverbindung zwischen der Sende-/Empfangseinrichtung
des Fahrzeugs und der externen Sende-/Empfangsstation ist in der
Regel als WLAN-Verbindung ausgebildet (WLAN – Wireless Local Area Network).
Bei drahtlosen Kommunikationsverbindungen besteht grundsätzlich die
Schwierigkeit, dass diese Verbindung durch Unbefugte abgehört werden
kann. Insbesondere wenn sensible Daten ausgetauscht werden, sollte
ein unbefugtes Abhören
und/oder ein manipulieren der Daten vermieden werden. Daher werden unterschiedliche
Authentifizierungs- und Verschlüsselungsmechanismen
eingesetzt.
-
Im
Folgenden wird davon ausgegangen, dass es sich bei einer drahtlosen
Kommunikationsverbindung um eine WLAN-Verbindung handelt. Das Beschriebene
gilt jedoch für
beliebige drahtlose Kommunikationsverbindungen. WLAN-Netzwerke ermöglichen
mobilen Sende-/Empfangseinrichtungen eine Kommunikationsverbindung
zu der externen Sende-/Empfangsstation, die als Zugangspunkt (Accesspoint)
oder Hotspot bezeichnet wird, aufzubauen. WLAN-Zugangspunkte können von
verschiedenen Betreibern zur Verfügung gestellt werden. Beispielsweise
können
Vertragshändler
und Vertragswerkstätten
eines Automobilherstellers Zugangspunkte zur Verfügung stellen,
um eine Kommunikation mit dem Fahrzeug über eine WLAN-Verbindung zu
ermöglichen,
um hierdurch wiederum eine Wartung und Fehlerdiagnose zu erleichtern.
Ebenso kann der Besitzer eines Fahrzeugs einen privaten WLAN-Zugangspunkt
betreiben, über
den er beispielsweise Navigationsdaten, Multimediadaten usw. von
seinem Computer in eine Navigationseinheit des Fahrzeugs bzw. eine
Infotainmenteinheit des Fahrzeugs überspielt. Über WLAN-Verbindungen können weitere Funktionalitäten zur
Verfügung
gestellt werden. So ist denkbar, dass an Tankstellen und anderen öffentlichen
Punkten Zugangspunkte zur Verfügung gestellt
werden, über
die Zusatzdienste in Anspruch genommen werden können.
-
Die
Schutzmechanismen, die auf den unterschiedlichen Zugangspunkten
verwendet werden, unterscheiden sich in der Regel. Während ein
privates WLAN-Netzwerk durch den Nutzer sehr gut geschützt werden
kann, da er nur für
die Kommunikation mit dem Fahrzeug und unter Umständen wenigen anderen
elektronischen Komponenten vorgesehen ist, muss ein öffentlich
zugänglicher
Zugangspunkt, beispielsweise an einer Tankstelle oder einem Schnellimbiss-Restaurant,
eine Vielzahl unterschiedlicher Geräte und Kommunikationsteilnehmer
zulassen. So gibt es Zugangspunkte, die sowohl eine Authentifizierung
fordern als auch den Datenverkehr verschlüsseln. Andere Zugangspunkte
nutzen weder eine Authentifizierung noch eine Verschlüsselung
der Daten. Außer
der Verschlüsselung
der Daten hat die Vertrauenswürdigkeit
des Zugangspunkts einen Einfluss auf die Kommunikationssicherheit.
Ein öffentlicher
Zugangspunkt könnte
beispielsweise von einem Hacker errichtet worden sein. Eine Prüfung der
Vertrauenswürdigkeit
kann über
einen Austausch von Zertifikaten erfolgen. Die Vertrauenswürdigkeit
des Zugangspunktes wird ebenso wie die Verschlüsselung der Daten bei der drahtlosen Übertragung
der Übertragungssicherheit
zugerechnet.
-
Für die Kommunikationssicherheit
sind neben der Übertragungssicherheit
zwischen der mobilen Sende-/Empfangseinrichtung und der Sende-/Empfangsstation
des Zugangspunktes ebenfalls die Vertrauenswürdigkeit des Kommunikationspartners
als auch eine Übertragung über ein
Netzwerk von dem externen Kommunikationspartner zu dem Zugangspunkt
der drahtlosen Kommunikationsverbindung von Bedeutung.
-
Auch
auf dieser Ebene kann eine Authentifizierung des externen Kommunikationspartners
und eine Verschlüsselung
der übertragenen
Daten vorgenommen werden.
-
Insgesamt
ergeben sich so sehr unterschiedliche Kommunikationsszenarien in
Abhängigkeit
von der Übertragungssicherheit
der drahtlosen Kommunikationsverbindung als auch der Authentifizierung des
externen Gesprächspartners
und der Verschlüsselung
der Daten bei einer Netzwerkübertragung
zu der Sende-/Empfangsstation der drahtlosen Kommunikationsverbindung.
Um eine große
Funktionalität zuzulassen,
wird es jedoch erforderlich sein, dass einzelne Komponenten des
Fahrzeugs mit nicht vertrauenswürdigen
externen Kommunikationspartnern oder über drahtlose Kommunikationsverbindungen, die
nicht gut gesichert sind, kommunizieren. In einem solchen Fall kann
ein Eindringen eines Hackers in die Kommunikationsverbindung nicht
ausgeschlossen werden. Die einzelnen Komponenten des Fahrzeugs sind
jeweils so ausgelegt, dass sie einem Angriff eines Hackers standhalten
sollen. Jedoch hat sich gezeigt, dass insbesondere bei einer Umsetzung
in Software Fehler solcher Art nicht vermeidbar sind, die einem
Hacker ermöglichen,
die Kontrolle über
die Anwendung, d.h. die jeweilige Komponente, zu erlangen. Hat ein
Hacker eine Komponente unter seine Kontrolle gebracht, kann er über diese
Komponente andere Komponenten des Fahrzeugs angreifen. Falls der
Computer des Fahrzeugs mit einem Hacker kommuniziert, könnte der
Hacker versuchen, Sicherheitslücken in
den auf dem Fahrzeugcomputer ausgeführten Anwendungen bzw. Komponenten
zu finden. Sobald der Hacker eine Sicherheitslücke in irgendeiner Anwendung
oder Komponente findet, kann er diese Sicherheitslücke ausnutzen,
um die Kontrolle über
diese bestimmte Anwendung oder Komponente zu erlangen. Der Hacker
könnte
nun diese infizierte Anwendung oder Komponente nutzen, um einen
Zugang auf die Fahrzeugcomputerressourcen, Schnittstellen und andere
vernetzte computergestützte
oder computerbasierte Fahrzeugkomponenten zu erhalten, die mit dem
Fahrzeugcomputer verbunden sind. Die „eroberte" oder „gehackte" Fahrzeuganwendung kann als Trittbrett
zum Infizieren anderer Anwendungen/Komponenten auf dem Fahrzeugcomputer
genutzt werden, um schließlich einen
Zugang zu den Fahrzeugcomputerressourcen zu erhalten.
-
Wenn
somit nur eine der vielen Anwendungen/Komponenten auf dem Fahrzeugcomputer
eine Sicherheitslücke
hat, die von einem Hacker gefunden wird, kann der Hacker diese infizierte
Anwendung verwenden, um Zugang zu anderen Anwendungen/Vorrichtungen,
Ressourcen oder Komponenten innerhalb des Fahrzeugcomputers oder
solchen Komponenten zu erlangen, die mit dem Fahrzeugcomputer verknüpft sind,
auf dem die infizierte Anwendung aufgeführt wird.
-
Unglücklicherweise
können
Fahrzeughersteller nicht garantieren, dass Anwendungen oder Komponenten
keine Sicherheitslücken
aufweisen werden. Sicherheitslücken
können
jederzeit gefunden werden, und es hat sich herausgestellt, dass
sie ein unvermeidbares Phänomen
der Softwareentwicklung sind.
-
Es
muss daher davon ausgegangen werden, dass ein mit einem WLAN-Client
ausgerüsteter
Fahrzeugcomputer innerhalb eines Fahrzeugs mindestens eine ausgeführte Anwendung/Komponente
aufweist, die mindestens eine Sicherheitslücke aufweist, und dass diesem
Fahrzeugcomputer gestattet wird, mit einem öffentlichen Zugangspunkt (z.B.
einem WLAN-Zugangspunkt auf einem Parkplatz, einer Tankstelle oder
an einem Schnellimbiss-Restaurant usw.)
zu kommunizieren.
-
Es
muss ferner angenommen werden, dass es möglich ist, dass auch der Zugangspunkt
bereits von einem Hacker infiziert wurde oder von diesem zur Verfügung gestellt
wird. In einem solchen Fall würde
der infizierte Zugangspunkt die Chance erhalten, die ausgeführten Anwendungen/Komponenten auf
dem Fahrzeugrechner durchzutesten, um Sicherheitslücken zu
finden, die von dem Hacker ausgenutzt werden können.
-
Aufgabe
der Erfindung ist es somit, ein Verfahren und eine Vorrichtung sowie
ein Kommunikationssystem zu schaffen, mit denen eine sicherere Kommunikation über eine drahtlose
Kommunikationsverbindung zwischen einer Komponente eines Fahrzeugs
und einem externen Kommunikationspartner möglich ist.
-
Die
technische Aufgabe wird erfindungsgemäß durch ein Verfahren nach
dem Patentanspruch 1, eine Vorrichtung nach dem Patentanspruch 13
und ein Kommunikationssystem nach dem Patentanspruch 25 gelöst. Weitere
vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den
Unteransprüchen.
-
Der
Erfindung liegt die Idee zugrunde, dass mindestens eine von mehreren
Komponenten des Fahrzeugs über
eine drahtlose Kommunikationsverbindung Datenpakete mit einem externen
Kommunikationspartner austauscht. Unter Datenpaketen werden nicht
nur Pakete eines zerlegten Datenstroms, sondern auch ein kontinuierlicher
Datenstrom verstanden. Für
die drahtlose Kommunikationsverbindung wird ein Kommunikationsstatus
ermittelt. Anhand des ermittelten Kommunikationsstatus wird entschieden,
ob die mindestens eine Komponente und/oder der externe Kommunikationspartner
auf eine der anderen der mehreren Komponenten zugreifen darf oder
mit diesen anderen Komponenten Daten austauschen darf. Dies bedeutet,
dass anhand des Kommunikationsstatus entschieden wird, ob ein solcher
Datenaustausch gestattet oder unterbunden wird. Insbesondere wird
ein Verfahren zum sicheren Kommunizieren von mindestens einer von
mehreren Komponenten eines Fahrzeugs über eine drahtlose Kommunikationsverbindung
mit mindestens einem externen Kommunikationspartner vorgeschlagen, wobei
die mehreren Komponenten jeweils mindestens ein Kommunikationsmodul
zum Datenaustauschen umfassen, umfassend ein Austauschen von Datenpaketen
zwischen einer Sende-/Empfangseinrichtung des Fahrzeug und einer
externen Sende-/Empfangsstation, wobei ein Kommunikationsstatus
der drahtlosen Kommunikationsverbindung ermittelt wird und ein Datenaustausch
zwischen einerseits der mindestens einen Komponente und/oder dem
externen Kommunikationspartner und andererseits anderen der mehreren
Komponenten und/oder ein Zugreifen der mindestens einen Komponente
und/oder des externen Kommunikationspartners auf die anderen der
mehreren Komponenten in Abhängigkeit
von dem Kommunikationsstatus gestattet oder unterbunden wird.
-
Ferner
wird eine Vorrichtung zum sicheren Kommunizieren von mindestens
einer von mehreren Komponenten eines Fahrzeugs über eine drahtlose Kommunikationsverbindung
mit mindestens einem externen Kommunikationspartner vorgeschlagen, wobei
die mehreren Komponenten jeweils mindestens ein Kommunikationsmodul
zum Datenaustauschen umfassen, umfassend eine Sende-/Empfangseinrichtung
des Fahrzeug zum Austauschen von Datenpaketen mit einer externen
Sende-/Empfangsstation, wobei ein Kommunikationsstatus der drahtlosen Kommunikationsverbindung
ermittelbar ist und ein Datenaustausch zwischen einerseits der mindestens einen
Komponente und/oder dem externen Kommunikationspartner und andererseits
anderen der mehreren Komponenten und/oder ein Zugreifen der mindestens
einen Komponente und/oder des externen Kommunikationspartners auf
die anderen der mehreren Komponenten jeweils in Abhängigkeit
von dem Kommunikationsstatus gestattbar oder unterbindbar ist.
-
Bei
der Ermittlung des Kommunikationsstatus können alle Tatschen berücksichtigt
werden, die die Kommunikationsverbindung technisch und im Hinblick
auf eine Kommunikationssicherheit beeinflussen oder bestimmen.
-
Die
Erfindung bietet den Vorteil, dass einem Hacker bei einem Kommunikationsstatus,
der angibt, dass mögliche
Sicherheitsbedenken existieren, ein Zugriff auf bestimmte sensible
Komponenten des Fahrzeugs verweigert wird. Hierdurch ist die Gefahr, dass
ein Hacker in ein Fahrzeug eindringt, deutlich gesenkt.
-
Eine
vorteilhafte Ausgestaltung der Erfindung sieht vor, dass der Kommunikationsstatus
anhand einer von der externen Sende-/Empfangsstation verwendeten
Verschlüsselung
und/oder Authentifizierung ermittelt wird. Hierdurch wird sichergestellt, dass
insbesondere die Sicherheitsprobleme, die aufgrund der drahtlosen Übertragung
bestehen, bei der Ermittlung des Kommunikationsstatus berücksichtigt werden.
-
Eine
verbesserte Bestimmung des Kommunikationsstatus ist möglich, wenn
alternativ oder zusätzlich
der Kommunikationsstatus anhand einer von dem externen Kommunikationspartner
verwendeten Verschlüsselung
und/oder Authentifizierung ermittelt wird.
-
Eine
besonders vorteilhafte Weiterbildung der Erfindung sieht vor, dass
zum Unterbinden des Datenaustausches zwischen einerseits der mindestens
einen Komponente und/oder dem externen Kommunikationspartner und
andererseits den anderen der mehreren Komponenten und/oder zum Unterbinden
des Zugreifens der mindestens einen Komponente und/oder des externen
Kommunikationspartners auf die anderen der mehreren Komponenten
zumindest die Kommunikationsmodule der anderen der mehreren Komponenten
deaktiviert werden. Unter Kommunikationsmodulen im Sinne der Anwendung
werden die Teile einer Komponente verstanden, die für einen
Datenaustausch über
den Fahrzeugcomputer des Fahrzeugs vorgesehen sind. Unter einem
Zugreifen auf eine andere Komponente wird ebenfalls das Zugreifen
auf den ausführbaren Code
der Komponente bzw. auf Treiberschnittstellen der Komponente oder
andere dieser Komponente zugeordnete Daten im Fahrzeugcomputer des
Fahrzeugs verstanden. In einzelnen Fällen kann auch die gesamte
Komponente deaktiviert werden. Beispielsweise ist es nicht sinnvoll,
dass eine Diagnosekomponente im Fahrzeug aktiv ist, wenn eine Kommunikationsverbindung beispielsweise
von einer Multimediaanwendung über
einen öffentlichen
nicht geschützten
WLAN-Zugangspunkt zu einem öffentlichen
Musikarchiv aufgebaut wird. Eine solche Diagnosekomponente, die
einen Eingriff in Fahrzeugsteuerungselemente ermöglicht, sollte sinnvollerweise nur
bei einem Kommunikationsstatus aktiviert sein, bei dem sowohl die
drahtlose Kommunikationsverbindung sicher ist als auch eine Kommunikation
mit einem vertrauenswürdigen
externen Kommunikationspartner gewährleistet ist.
-
Eine
besonders vorteilhafte Ausführungsform
der Erfindung sieht vor, dass die externe Sende-/Empfangsstation
einen WLAN-Zugangspunkt umfasst. Eine andere Weiterbildung der Erfindung sieht
vor, dass die Sende-/Empfangseinrichtung des Fahrzeugs als WLAN-Client ausgestaltet
ist.
-
Eine
bevorzugte Ausführungsform
der Erfindung sieht vor, dass die mehreren Komponenten Computeranwendungen
umfassen, die auf einem Fahrzeugcomputer des Fahrzeugs ausgeführt werden.
-
Die
Sicherung einer Kommunikationsverbindung kann auf verschiedenen
Netzwerk-/Anwendungsschichten oder -ebenen erfolgen. Das Open Systems
Interconnection Reference Model, im Folgenden OSI-Modell genannt,
beschreibt diese unterschiedlichen Ebenen bzw. Schichten. Die einzelnen Ebenen
des OSI-Modells werden als OSI-Schichten bezeichnet. Bei Verfahren
und Vorrichtungen im Stand der Technik wird eine Authentifizierung
in unterschiedlichen OSI-Schichten durchgeführt. So sind in WLAN-Netzwerken sowohl
Authentifizierungs- als auch Verschlüsselungsverfahren in der OSI-Schicht 2 und 3 bekannt.
Ebenso ist es jedoch möglich,
dass eine Authentifizierung und/oder Verschlüsselung in den OSI-Schichten 3 oder 4 oder
sogar in mehreren OSI-Schichten einschließlich der OSI-Schichten 5 bis 7 erfolgt,
die als Anwendungsschichten bezeichnet werden. Für eine Bestimmung des Kommunikationsstatus,
der eine Auskunft über
die Sicherheit der Kommunikationsverbindung und die Vertrauenswürdigkeit
des Kommunikationspartners liefern soll, ist es nachteilig, wenn
die einzelnen Sicherheitsprotokolle in unterschiedlichen Komponenten
und/oder Anwendungen in unterschiedlichen OSI-Schichten realisiert
sind. Eine besonders vorteilhafte Weiterbildung der Erfindung sieht
daher vor, dass die Authentifizierung und/oder Verschlüsselung
in allen Netzwerk-/Anwendungschichten, insbesondere OSI-Schichten,
von einer zentralen Sicherheitskomponente des Fahrzeugs ausgeführt werden.
Hierbei realisiert die Sicherheitskomponente alle erforderlichen
Authentifizierungs- und Verschlüsselungsmechanismen
in den unterschiedlichen OSI-Schichten. Dieses bietet den Vorteil,
dass ein Sicherheitsstatus und somit der Kommunikationsstatus leichter
ermittelt werden können.
Ein weiterer Vorteil ist, dass eine einzige Sicherheitskomponente
leichter zu warten ist als mehrere parallel arbeitende Sicherheitskomponenten,
die jeweils die Authentifizierung/Verschlüsselung in einer bzw. mehreren
der Netzwerk-/Anwendungsschichten (OSI-Schichten) ausführen. Hierdurch
wird die Replikation von verschiedenen Sicherheitsprotokollen in
verschiedenen OSI-Schichten verringert. Hierdurch werden Fehler
innerhalb der Sicherheitskomponente, d.h. innerhalb der Authentifizierungs- und Verschlüsselungskomponente,
insgesamt verringert.
-
Bei
einer besonders bevorzugten Weiterbildung der Erfindung ermittelt
die Sicherheitskomponente den Kommunikationsstatus.
-
Bei
dem externen Kommunikationspartner kann es sich beispielsweise um
ein Anwendungsprogramm auf einem externen Computer handeln, der mit
der Sende-/Empfangsstation über
ein Netzwerk kommuniziert. Anwendungsprogramme können dem Nutzer im Fahrzeug
eine große
Funktionalität
zur Verfügung
stellen, ohne dass der Fahrzeugcomputer des Fahrzeugs in der Lage
sein muss, das Anwendungsprogramm selbst auszuführen. So können Anwendungen vom Fahrzeug
aus genutzt werden, die einen großen Rechenaufwand oder eine
große
Datenbank, d.h. einen großen
Speicher, benötigen.
-
Bei
einer besonders bevorzugten Weiterbildung der Erfindung umfasst
der Kommunikationsstatus eine Kommunikationssicherheitsstufe und
wird den einzelnen der mehreren Komponenten jeweils eine Komponentensicherheitsstufe
zugewiesen und erfolgt das Unterbinden des Datenaustausches mit den
und/oder das Unterbinden des Zugreifens auf die anderen der mehreren
Komponenten jeweils, wenn die Komponentensicherheitsstufe der entsprechenden
anderen der mehreren Komponenten geringer als die ermittelte Kommunikationssicherheitsstufe
ist. Bei dieser Weiterbildung der Erfindung können verschiedene Szenarien
in Kommunikationssicherheitsstufen eingeordnet werden. Für jede der
Kommunikationssicherheitsstufen kann dann festgelegt werden, welche
der Komponenten aktiv sein darf. Vorzugsweise wird somit jeder Kommunikationssicherheitsstufe
eine entsprechende Komponentensicherheitsstufe zugeordnet. Hierdurch
wird eine leichte Verwaltung der Zugriffsrechte bzw. der Deaktivierungs-
oder Aktivierungsmöglichkeiten
der einzelnen Komponenten gewährleistet.
-
Die
Merkmale der erfindungsgemäßen Weiterbildungen
der Vorrichtung und des Kommunikationssystems weisen dieselben Vorteile
wie die entsprechenden Merkmale des erfindungsgemäßen Verfahrens
auf.
-
Nachfolgend
wird die Erfindung anhand eines bevorzugten Ausführungsbeispiels unter Bezugnahme
auf eine Zeichnung näher
erläutert.
Hierbei zeigen:
-
1 eine
schematische Darstellung eines in einem Fahrzeug integrierten Fahrzeugcomputers, der
mit externen Kommunikationspartnern kommunizieren kann;
-
2 eine
schematische Darstellung eines Fahrzeugcomputers, bei dem eine Komponente
von einem Hacker infiziert worden ist;
-
3 eine
schematische Darstellung eines Fahrzeugcomputers und die verschiedenen
Authentifizierungs- und Verschlüsselungsverfahren;
-
4 eine
schematische Darstellung für eine
Sicherheitskomponente; und
-
5 eine
schematische Darstellung eines Fahrzeugcomputers, bei dem ein Zugriff
auf andere Komponenten aufgrund des ermittelten Kommunikationsstatus
untersagt ist.
-
1 stellt
schematisch einen Fahrzeugcomputer 1 dar, der mit externen
Kommunikationspartnern 2, 2' über eine drahtlose Kommunikationsverbindung 3 Datenpakete
austauschen kann. Der Fahrzeugcomputer 1 umfasst Bussysteme 4,
die beispielsweise als CAN-Bussysteme ausgestaltet sind. Ferner
umfasst der Fahrzeugcomputer 1 eine als WLAN-Client 5 ausgestaltete
Sende-/Empfangseinrichtung. Die Bussysteme 4 und der WLAN-Client 5 sind über eine
Betriebssystemnetzwerkschicht 6 (beispielsweise Linux Network
Layer) und einen Betriebssystemsocketschicht 7 (beispielsweise
Linux Socket Layer) mit einer virtuellen Maschine 8, die vorzugsweise
als Java Virtual Machine ausgestaltet ist, verbunden. Die Betriebssystemnetzwerkschicht 6 und
die Betriebssystemsocketschicht 7 werden vom Betriebssystem
(beispielsweise Linux) zur Verfügung gestellt.
Zwischen der Betriebssystemnetzwerkschicht 6 und der Betriebssystemsocketschicht 7 sind
unterschiedliche Protokollfamilien angeordnet. Diese umfassen die
Internetprotokollfamilie 9 und beispielsweise eine CAN-Busfamilie 10.
Zwischen der Betriebssystemsocketschicht 7 und der virtuellen Maschine 8 kann
eine Fahrzeuganwendungsprogrammierschnittstelle 11 (Fahrzeug-
API) vorgesehen sein, über
die ein standardisierter Zugriff auf die Bussysteme 4 ermöglicht wird.
Auf der virtuellen Maschine 8 setzt eine Open Service Gateway
initiative Plattform (OSGi-Plattform) 12 auf, in der mehrere Fahrzeuganwendungen 13, 13', 13'' ausführbar sind. Die Fahrzeuganwendungen
können
Komponenten im Sinne dieser Anmeldung sein. Die Fahrzeuganwendungen 13, 13', 13'' können jedoch auch Bestandteil
einer Fahrzeugkomponente sein, die zusätzliche Hard- oder Softwarebestandteile
umfasst, die über
eines der Bussysteme 4 mit dem Fahrzeugcomputer 1 verbunden
sind. Die Fahrzeuganwendungen 13, 13', 13'' umfassen mindestens jeweils ein Kommunikationsmodul,
mit Hilfe dessen sie Daten mit anderen der mehreren Fahrzeuganwendungen 13, 13', 13'' oder einem der externen Kommunikationspartner 2 austauschen
können.
-
Eine
sichere Kommunikation einer Komponente des Fahrzeugs mit einem externen
Kommunikationspartner 2 sieht vorteilhafterweise vier Mechanismen
vor. Diese vier Mechanismen sind durch vier Doppelpfeile 14, 15, 16, 17 innerhalb
eines großen Doppelpfeils 18 angedeutet,
der eine sichere Kommunikation über
eine drahtlose Kommunikationsverbindung repräsentiert. Die vier Mechanismen
umfassen eine gegenseitige Authentifizierung 14, ein Austauschen
eines Sitzungsschlüssels 15 (Session Key),
den Austausch ausschließlich
von signierten oder verschlüsselten
Daten 16 und das Authentifizieren des Ursprungs von jedem
empfangenen Datenpaket 17. Es wird jedoch für den Fahrzeugnutzer auch
Anwendungen geben, bei denen er mit einem externen Kommunikationspartner 2' eine Verbindung aufnehmen
will, der keinerlei Sicherheitsmaßnahmen implementiert. Dies
ist beispielsweise bei solchen Anbietern der Fall, die kostenlose
Informationen im Rahmen einer Ausstrahlung (broadcast) zur Verfügung stellen.
Hierbei wird zwischen dem externen Kommunikationspartner 2' und der als
Fahrzeuganwendung 13' ausgebildeten
Komponente des Fahrzeugs eine Kommunikationsverbindung aufgebaut, die
eine drahtlose Kommunikationsverbindung 3 zwischen den
WLAN-Client 5 und einer WLAN-Zugangspunkt 19 ausgebildeten
Sende-/Empfangsstation
umfasst. Mit Hilfe einer Firewall 20, die als Portfilter
dient, können
Zugriffe des externen Kommunikationspartners 2' auf andere
Komponenten des Fahrzeugs 1 verhindert werden. Weist jedoch
die Fahrzeuganwendung 13' eine
Sicherheitslücke
auf, so kann diese infiziert werden, was mittels des Buchstabens „O" angedeutet ist.
Das Infizieren kann über den
Kommunikationspartner 2 oder über den Zugangpunkt 19 oder
die drahtlose Kommunikationsverbindung 3 erfolgen, je nachdem
welche von diesen infiziert oder „gehackt" sind.
-
Wie
in 2 dargestellt ist, kann diese infizierte Komponente,
die die Fahrzeuganwendung 13' umfasst,
verwendet werden, um auf andere Komponenten des Fahrzeugs einen
unerlaubten Zugriff zu erlangen, die die Fahrzeuganwendungen 13'' umfassen. Die Fahrzeuganwendungen 13'' können beispielsweise als Kommunikationsmodule
der Komponenten ausgebildet sein, deren Hardwarebestandteile über eines
der Bussysteme 4 mit dem Fahrzeugcomputer 1 verbunden
sind. Ein Infizieren einer solchen Komponente ist mittels eines „O" in einem der Bussysteme 4 dargestellt.
Technisch identische Merkmale sind in allen Figuren mit denselben
Bezugszeichen versehen. Um einen unerlaubten Zugriff zu verhindern,
wird ein Kommunikationsstatus für
die Kommunikationsverbindung zwischen der Komponente des Fahrzeugs
und dem externen Kommunikationspartner 2 ermittelt. Der
Kommunikationsstatus wird verwendet, um ein Infizieren von Komponenten zu
erschweren oder sogar unmöglich
zu machen.
-
3 zeigt
den Fahrzeugcomputer 1 eines Fahrzeugs wie in 1 sowie
die unterschiedlichen Verschlüsselungs-
und Authentifizierungsmöglichkeiten
schematisch. Zwischen dem WLAN-Client 5 des Fahrzeugs und
dem WLAN-Zugangspunkt 19 kann sowohl eine Authentifizierung
als auch eine Verschlüsselung
erfolgen, wie mittels eines röhrenförmig angedeuteten
Tunnels 22 dargestellt ist. Über die drahtlose Kommunikationsverbindung 3 werden
die Daten, die zwischen dem externen Kommunikationspartner 2 und
der Fahrzeuganwendung 13 ausgetauscht werden, zwischen
dem WLAN-Client 5 dem WLAN-Zugangspunkt 19 verschlüsselt übertragen. Auf
den Kommunikationsstatus haben somit die Vertrauenswürdigkeit
des WLAN-Zugangspunktes 19 und die Form der gewählten Verschlüsselung
einen Einfluss. Alternativ oder zusätzlich zu der Verschlüsselung
in der OSI-Schicht (OSI-Schicht 2) zwischen dem WLAN-Zugangspunkt 19 und
dem WLAN-Client 5 können
die ausgetauschten Datenpakete zwischen dem externen Kommunikationspartner 2' und einer Komponente
des Fahrzeugs, die die Fahrzeuganwendung 13'' umfasst,
verschlüsselt
ausgetauscht werden, wie dies mittels der schraffiert dargestellten Kommunikationsverbindung 25 angedeutet
ist. Zusätzlich
kann ebenfalls eine Authentifizierung des externen Kommunikationspartners 2' sowie eine
Authentifizierung des Ursprungs der empfangenen Datenpakete durchgeführt werden.
Eine Verbindung zwischen einem weiteren externen Kommunikationspartner 2' und der Fahrzeuganwendung 13'' erfolgt, indem die Datenpakete
zuerst vor einer Übertragung verschlüsselt werden
und beim Empfänger
anschließend
wieder entschlüsselt
werden. Bei dem externen Kommunikationspartner 2' kann es sich
um ein Anwendungsprogramm handeln, das auf einem Computer ausgeführt wird,
der über
ein Netzwerk 26 mit dem WLAN-Zugangspunkt 19 verbunden
ist.
-
Anhand
der unterschiedlichen verwendeten Authentifizierungs- und Verschlüsselungsmechanismen
können
unterschiedliche Sicherheitsszenarien identifiziert werden. Eine
beispielhafte Einteilung solcher Szenarien soll im Folgenden kurz
erläutert
werden. Hierbei werden die Vertrauenswürdigkeit des externen Gesprächspartners,
die Vertrauenswürdigkeit
der externen Sende-/Empfangsstation, über die die drahtlose Kommunikationsverbindung
ausgebildet wird, und der Schutz der drahtlosen Kommunikationsverbindung,
beispielsweise durch eine Verschlüsselung, berücksichtigt.
Eine Einteilung erfolgt zunächst
in Klassen anhand der Vertrauenswürdigkeit des externen Kommunikationspartners.
Die höchste
Vertrauenswürdigkeit
besitzt beispielsweise der Hersteller des Fahrzeugs. Er wird in
die Kategorie A eingeordnet. Einer Kategorie B werden vertrauenswürdige Dritte
zugeordnet, die beispielsweise zertifiziert werden. In eine dritte
Kategorie C werden die nicht vertrauenswürdigen Kommunikationspartner eingruppiert.
Zu jeder Kategorie wird zusätzlich
ein Sicherheitsattribut verliehen, das durch die Vertrauenswürdigkeit
der externen Sende-/Empfangsstation der drahtlosen Kommunikationsverbindung
und die Sicherheit der drahtlosen Kommunikationsverbindung beeinflusst
wird. Das Attribut „sicher" wird verliehen,
wenn die Kommunikation über
einen vertrauenswürdigen
Zugangspunkt verschlüsselt
erfolgt. Das Attribut „begrenzte
Sicherheit" wird
verliehen, wenn die Kommunikation über einen nur begrenzt vertrauenswürdigen Zugangspunkt
erfolgt, beispielsweise einen gesicherten WLAN-Zugang eines Kunden.
Das Attribut „unsicher" wird den übrigen Situationen
zugeordnet, bei denen ein Zugang über einen nicht vertrauenswürdigen Zugangspunkt
erfolgt. Ist der externe Kommunikationspartner der Kategorie C zugeordnet,
so wird das Attribut „sicher" nicht zugeordnet,
auch wenn der Zugang über
einen vertrauenswürdigen
und gesicherten Zugangspunkt erfolgt. Somit ergeben sich bei dem
vorgestellten Klassifikationssystem insgesamt acht Sicherheitsstufen,
für die im
Folgenden jeweils beispielhaft ein Kommunikationsszenario aufgeführt ist:
Kategorie
A – sicher:
für eine
Kommunikation zwischen dem Hersteller und einer Komponente des Fahrzeugs über ein
vertrauenswürdiges
WLAN-Netzwerk,
Kategorie A – begrenzt sicher: für eine Kommunikation
mit dem Fahrzeughersteller über
ein WLAN-Netzwerk mit begrenzter Vertrauenswürdigkeit (gesicherter WLAN-Anschluss
eines Fahrzeugbesitzers),
Kategorie A – unsicher: für eine Kommunikation
des mit dem Fahrzeughersteller über
ein nicht vertrauenswürdiges
WLAN-Netzwerk (öffentlicher
Parkplatz/Tankstelle),
Kategorie B – sicher: für eine Kommunikation mit einer
vertrauenswürdigen
dritten Partei (z.B. einem Softwareanbieter, der lizenziert ist) über ein
vertrauenswürdiges
WLAN-Netzwerk,
Kategorie
B – begrenzt
sicher: für
eine Kommunikation zwischen einem vertrauenswürdigen Dritten und einer Komponente
des Fahrzeugs über
ein WLAN-Netzwerk begrenzter Vertrauenswürdigkeit,
Kategorie B – unsicher:
für eine
Kommunikation mit einer vertrauenswürdigen dritten Partei über ein
nicht vertrauenswürdiges
WLAN-Netzwerk.
Kategorie C – begrenzt sicher: für eine Kommunikation
mit einem nicht vertrauenswürdigen
Dritten (einem Anbieter von Informationen, der keine Beziehung zu
dem Fahrzeughersteller aufweist und nicht lizenziert ist) über ein
vertrauenswürdiges WLAN-Netzwerk
oder über
ein WLAN-Netzwerk mit begrenzter Vertrauenswürdigkeit,
Kategorie C – unsicher:
für eine
Kommunikation mit einer nicht vertrauenswürdigen dritten Partei über ein nicht
vertrauenswürdiges
WLAN-Netzwerk.
-
Diese
Sicherheitsstufen werden von einer zentralen Sicherheitskomponente
ermittelt, die die Authentifizierung und/oder Verschlüsselung
in allen verschiedenen OSI-Schichten entwickelt. Die Sicherheitskomponente
ist vorzugsweise als Software ausgeführt, kann jedoch ganz oder
teilweise auch als Hardware ausgeführt sein. Die Funktionsweise
wird anhand von 4 beschrieben. Die Sicherheitskomponente
empfängt
zunächst
eine Authentifizierungsanfrage 41. Anschließend wird
das Authentifizierungsprotokoll identifiziert 42. Dieses
kann in Abhängigkeit
von der OSI-Schicht, aus der die Authentifizierungsanfrage stammt,
unterschiedlich sein. In der OSI-Schicht 2 sind dies beispielsweise
das WPA-Protokoll
(Wireless Protected Access-Protocol) oder das EAP-TLS-Protokoll
(Extensible Authentication Protocol-Transport Layers Security).
In der OSI-Schicht 3 ist dies beispielsweise das IPSec VPN-Protokoll
(Internet Protocol Security Virtual Privat Network). In der OSi-Schicht 4 ist
dies beispielsweise das SSL-Protokoll (Secure Socket Layer-Protocol). Anschließend wird
ein Zertifikat empfangen, die Klasse und die Identifikation des
Zugangspunkts bestimmt und das eigene Zertifikat versandt 43.
Gemäß der Identifikation
und Klasse des Zugangspunktes wird nachfolgend eine Sicherheitsrichtlinie
festgelegt 44. Die Sicherheitsrichtlinie legt den Zugriff
der Komponente, zu der eine Verbindung aufgebaut wird, und des externen
Kommunikationspartners auf andere Komponenten fest. Daran anschließend wird
ein Sitzungsschlüssel
(Session Key) mit dem Zugangspunkt ausgetauscht 45. Je
nachdem welches Protokoll verwendet wurde, wird entschieden 46,
wohin der Sitzungsschlüssel
(Session Key) weitergeleitet wird. Wird ein Protokoll der OSI-Schicht 2 verwendet,
wird der Sitzungsschlüssel
an den WLAN-Client bzw. eine WLAN-Karte 47 geliefert. Handelt
es sich um ein Protokoll der OSI-Schicht 3, wird der Sitzungsschlüssel (Session
Key) beispielsweise an einen IPSec VPN-Client abgegeben 48.
Ist das Authentifizierungsprotokoll aus der Schicht 4,
wird der Sitzungsschlüssel
(Session Key) beispielsweise an die OSGi-Plattform weitergereicht 49.
Die unterschiedlichen Sicherheitsprotokolle führen dann die Authentifizierung
und/oder Verschlüsselung
durch. Sie werden alle von der Sicherheitskomponente ausgeführt oder zumindest
kontrolliert und gesteuert. Die Sicherheitskomponente kann zusätzlich die
Vertrauenswürdigkeit
des externen Kommunikationspartners ermitteln, um so einen Kommunikationsstatus,
insbesondere eine Sicherheitsstufe, festzulegen. Die Vertrauenswürdigkeit
des Kommunikationspartners wird beispielsweise durch einen Austausch
von Zertifikaten ermittelt.
-
Den
einzelnen Komponenten, die Fahrzeuganwendungen auf dem Fahrzeugcomputer
des Fahrzeugs sein können,
wird jeweils eine Komponentensicherheitsstufe zugewiesen. In 5 ist
dargestellt, wie der Datenaustausch mindestens einer Komponente 51 zu
anderen Komponenten 52 unterbunden wird. Dies ist mittels
der Kreuze 53 angedeutet. Der Komponente 51 ist
gestattet, auch bei einer niedrigen Sicherheitsstufe der Kommunikationsverbindung
mit einem externen Kommunikationspartner 2' zu kommunizieren. Da hierbei die
Gefahr besteht, dass die mindestens die Komponente 51 infiziert
wird, wenn beispielsweise die drahtlose Kommunikationsverbindung 3 von
einem Hacker manipuliert ist, werden die anderen Komponenten 52 oder
zumindest ihre Kommunikationsmodule deaktiviert. So wird verhindert, dass
der externe Kommunikationspartner 2' und/oder die mindestens eine Komponente 51 des
Fahrzeugs 1 mit den anderen Komponenten 52 Daten
austauscht oder auf diese zugreift. So wird zuverlässig eine
Infizierung dieser anderen Komponenten 52 oder ein unerlaubter
Zugriff auf diese anderen Komponenten 52 verhindert. Insgesamt
ist so ein besonders vorteilhaftes Kommunikationssystem geschaffen.