Autonomes Fahren : Mammutaufgabe Sicherheit für Autonomes Fahren

Ein autonom fahrendes Fahrzeug ist höchstwahrscheinlich das komplexeste autonom agierende Gebilde, das es heutzutage gibt. Es muss nicht nur diverse 3D-Sensordaten aus verschiedenen Quellen mit Navigationsdaten in Echtzeit verarbeiten (was nebenbei eine enorme IT-Leistung erfordert). Es muss diese auch validieren, also auf Schlüssigkeit hin bewerten, bei Differenzen sich für eine Variante entscheiden und das alles in Bruchteilen einer Sekunde.

Hinzu kommt die immense IT-Angriffsfläche gepaart mit der Gewissheit, dass kein menschlicher Fahrer mit „menschlichem Verstand“ eine Manipulation in Echtzeit erkennt und entsprechend handelt. In einer Smart-City-Umgebung soll es außerdem mit unter Umständen Hunderten von anderen Fahrzeugen sowie Leitsystemen verschlüsselt Daten austauschen und hierbei böswillige Akteure erkennen und deren Daten ignorieren. Es muss auch Manipulationen am Fahrzeug erkennen und entsprechend melden. Eine Mammutaufgabe.

Akteure um hohen Sicherheitsstandard bemüht

Gesetzgeber und Autohersteller sind daher aktiv bemüht, das Thema IT-Sicherheit in Fahrzeugen zu strukturieren, in Regeln zu gießen, überprüfbar zu machen und somit einen hohen Sicherheitsstandard zu etablieren. Dabei geht es nicht um technische absolute Sicherheit (die es nicht gibt), sondern um Risikominimierung und Risikomanagement.

Leider gibt es für den UNECE-Wirtschaftsraum (USA, Kanada, Europa, Türkei und Staaten der ehemaligen Sowjetunion) und China völlig unterschiedliche Ansätze, wie die Cybersicherheitsvorschriften für Fahrzeuge auszugestalten sind. China spezifiziert mit der GB/T 29246-2017 und 28628-2020 äußerst detailliert, was beispielsweise ein Intrusion Detection System (IDS, dass das Eindringen von Angreifern in die Fahrzeug-IT erkennen soll) leisten muss: Es listet die Funktionalitäten und Angriffe auf, die überwacht werden müssen, und wie diese Funktionalität getestet werden soll.

Die UN R155 der UNECE enthält dagegen eher Richtlinien für den Fahrzeugschutz und Grundsätze zur Risikobehandlung. Sie schreibt explizit nicht vor, wie ein IDS funktionieren soll. Vorgegeben sind Angriffspunkte und wie das IDS darauf reagieren soll, ohne aber ins technische Detail zu gehen.

Zu konkrete Vorgabe kontraproduktiv

Was auf den ersten Blick ein wenig schwammig und wenig konkret (und damit unsicherer und beliebiger) wirkt, ist der deutlich bessere Ansatz. Denn konkrete Vorgaben wie in der GB/T verleiten dazu, sich darauf zu verlassen, dass nach Implementierung aller Anforderungen, das Fahrzeug maximal gesichert ist. Ansätze wie der aus China fokussieren zu stark auf konkrete Technik. Das führt zu einer Scheinsicherheit, die sich in wenigen Jahren überholt. Denn die Welt dreht sich weiter, insbesondere in der IT. Damit müssten die gesetzlichen Anforderungen kontinuierlich umgearbeitet und an aktuelle Entwicklungen angepasst werden – das ist aber im langwierigen Gesetzgebungsprozess keinesfalls möglich. Wichtig ist in diesem Fall zudem, dass die gesetzgebenden Instanzen sehr vorausschauend und fachlich absolut auf der Höhe agieren. Aktuell zeichnet sich eher ab, dass OEMs versuchen, das minimale Sicherheitslevel zu implementieren, das dem GB/T-Standard genügt.

Die UNECE verfolgt mit der UN R155 dagegen einen differenzierten Risikoansatz, der sich auf Szenarios konzentriert und vorgibt, auf welche Gefahren etwa ein IDS wie reagieren muss. Die Liste der Gefahren ist allerdings nur beispielhaft und keinesfalls umfassend oder abschließend. Sollten ähnliche, aber neue Angriffsvektoren auftauchen, lassen diese sich in die Prüfverfahren übernehmen, ohne die Richtlinien komplett zu überarbeiten oder ergänzen zu müssen. Dieser Ansatz fördert, sich grundlegend mit Sicherheitsarchitekturen und Abwehrstrategien auseinanderzusetzen und einen Weg einzuschlagen, der strategische Aspekte betont, die sich flexibel auf Veränderungen anpassen lassen. Es steht nicht die aktuelle Technologie im Vordergrund, sondern die Umsetzung von Verfahren eines Cybersicherheitsmanagementsystems, um ‒ auch unbekannte ‒ Angriffe zu erkennen und darauf adäquat zu reagieren.

Das sture Einhalten von Regeln erzeugt nur dann eine hohe Sicherheit, wenn alle möglichen Gefahren bekannt sind und die Sicherheitsarchitektur darauf ausgerichtet ist. Flexibler ist ein Vorgehen, dass auch auf unbekannte Gefahren reagieren kann und mehrere Sicherheitsschichten zur Verteidigung einsetzt. Daher sollten europäische Gesetzgeber bei ihrer bisherigen Linie bleiben und Herstellern nicht im Detail vorgeben, welche Technologie sie zur Absicherung von Fahrzeugen einsetzen sollten.