Cybersichere Komponenten als erster Schritt zu cybersicheren Fahrzeugen
Autor: Ludovic Rota, onsemi
Mit dem Übergang zum teilautonomen Fahren wird Cybersicherheit zu einem immer brisanteren Thema für die Fahrzeughersteller/OEMs. Es ist offensichtlich, warum Sicherheitsmaßnahmen ergriffen werden müssen, damit niemand anderes als der Fahrer (oder das Pilotsystem, das ihn unter bestimmten und begrenzten Bedingungen ersetzt) die Kontrolle des Fahrzeugs übernehmen kann.
Im Jahr 2021 veröffentlichte die Wirtschaftskommission der Vereinten Nationen in Europa (UNECE) die UN-R155, eine Verordnung zur Cybersicherheit in Fahrzeugen, um dieser wachsenden Bedrohung zu begegnen. Diese Regelung ist seit Juli 2022 für die Typgenehmigung neuer Fahrzeuge, die in den UNECE-Mitgliedsländern gefertigt werden, verbindlich. Fahrzeughersteller und -zulieferer müssen nun die ISO-Norm 21434 erfüllen und sicherzustellen, dass alle ihre cybersicherheitsrelevanten Komponenten dieser Norm entsprechen.
Natürlich ist die Beschaffung von Cybersecurity-konformen Teilen keine Garantie dafür, dass ein Hersteller UNECE-konform sein wird. Es ist jedoch ein wichtiger Schritt in diese Richtung, der sie in eine bessere Position versetzt, dieses Ziel zu erreichen. In diesem Beitrag betrachten wir die Cybersicherheit im Zusammenhang mit Bildsensoren, die in fortschrittlichen Fahrerassistenzsystemen (ADAS) und Anwendungen zur Überwachung im Fahrzeuginnenraum eingesetzt werden.
Warum Bildsensoren sicher sein müssen
Einige Stellen im Fahrzeug, an denen Cybersicherheit angebracht ist, sind schnell identifizierbar – von Gateways über die Datenanbindung bis hin zu Infotainment-Systemen oder andere vernetzte Fahrzeug-Subsysteme. Es mag jedoch weniger offensichtlich sein, warum Cybersicherheit auch für Bildsensoren gelten sollte. Mit dem heutigen Schwerpunkt auf Sicherheit und Fahrerassistenz sind Bildsensoren die „Augen“ des Fahrzeugs. Sie kommen in mehreren ADAS-Funktionen zum Einsatz, z. B. bei der Warnung vor dem Verlassen der Fahrspur (LDW; Lane Departure Warning), der Fußgängererkennung und der automatischen Notbremsung (AEB; Autonomous Emergency Braking). Sie bewerten die Umgebung des Fahrzeugs und liefern dem Fusionssystem Informationen für die Entscheidungsfindung. In Zukunft werden sie auch bei der Identifizierung und Authentifizierung der Fahrzeugnutzer helfen und auch deren Vitaldaten überwachen.
Dies würde es dem Bordcomputer ermöglichen, die Kontrolle zu übernehmen, wenn der Fahrer handlungsunfähig wird. In diesen Situationen müssen die Bildsensoren in Fahrzeugen hohe Leistungsfähigkeit bieten (hoher Dynamikbereich, Fähigkeit zur Unterscheidung von Farbtönen bei schlechten Lichtverhältnissen usw.) und zuverlässig arbeiten – insbesondere unter Extremsituationen, denen ein Fahrzeug ausgesetzt sein kann.
Da der sichere Betrieb von Fahrzeugen zunehmend von Bildsensoren abhängt, benötigt der Zentralrechner eines Fahrzeugs zugelassene Originalteile, um mit ihnen interagieren zu können. Außerdem muss er sicherstellen, dass die übertragenen Bilder nicht manipuliert und alle Bilder von einem echten Bildsensor erzeugt wurden. Schließlich sollte der Bildsensor nur Konfigurationsänderungen durch das Fahrzeugsystem und nicht durch andere Parteien akzeptieren. Die folgenden Anwendungsfälle verdeutlichen, warum die Automobilindustrie die Gefahren nicht ignorieren kann, die von gefälschten Bildsensoren ausgehen, da sie anfällig für Spoofing durch Dritte sind.
Bedrohung 1: Der Bildsensor wird durch ein gefälschtes Bauteil ersetzt
Das AEB-System verlässt sich auf den Bildsensor hinter der Windschutzscheibe, um Objekte oder Fußgänger vor dem Fahrzeug zu erkennen. Reagiert der Fahrer nicht rechtzeitig, kann das System entscheiden, die Bremsen zu betätigen, um einen Zusammenstoß zu verhindern. Ein AEB-System geht davon aus, dass sein Bildsensor über bestimmte Eigenschaften verfügt (hoher Dynamikbereich, hohe Leistungsfähigkeit bei schlechten Lichtverhältnissen etc.) und das System auf diese Spezifikationen kalibriert ist. Wird der ursprüngliche Bildsensor durch ein nicht originales oder gefälschtes Teil ersetzt, gefährdert dies die Leistungsfähigkeit des Systems.
Auch wenn das Ersatzteil identisch mit dem Original aussieht, können seine Eigenschaften erheblich abweichen. Da das AEB-System für den Original-Bildsensor optimiert wurde, verändern die unterschiedlichen Eigenschaften des Ersatzteils die Leistungsfähigkeit des Systems. Das kann dazu führen, dass das System Objekte oder Fußgänger vor dem Fahrzeug erst dann erkennt, wenn sie einige Meter entfernt sind, so dass dem System keine Zeit mehr bleibt, angemessen zu reagieren – mit möglicherweise fatalen Folgen. Einen echten Bildsensor durch eine Fälschung zu ersetzen, ist so, als würde man einen Fahrer mit Sehschwäche bitten, ohne Brille zu fahren.
Bedrohung 2: Die Einstellungen des Bildsensors werden manipuliert
Ein Fahrzeugsystem ist so kalibriert und programmiert, dass der Bildsensor optimal konfiguriert ist und immer die realistischste Darstellung der Szene vor dem Fahrzeug liefert. Wenn jedoch jemand (oder etwas) die Konfiguration des Bildsensors ändert, kann dessen Leistungsfähigkeit beeinträchtigt werden. Somit wäre nicht mehr gewährleistet, dass die Szene vor dem Fahrzeug korrekt, vollständig oder optimal wahrgenommen wird – vergleichbar mit, als würde man einem Fahrer Staub in die Augen blasen.
Bedrohung 3: Der Bildsensor wird umgangen
Der Bildsensor versorgt den Bildprozessor mit Video-Rohdaten, aus denen er kritische Informationen über Hindernisse im Frontbereich extrahiert, damit das Fahrzeug entsprechend reagieren kann. So kann der Bildprozessor ein sich näherndes Fahrzeug erkennen und entscheiden, ob er ein Bremsen einleitet oder das Fahrzeug von der Straße weglenkt – je nachdem, was die sicherste Maßnahme ist.
Versucht jedoch ein Unbefugter, das System zu manipulieren, indem er den Bildsensor verändert oder umgeht, erhält der Bildprozessor keine Video-Rohdaten mehr, die die realen Szene widerspiegeln. In diesem Fall ist das System vielleicht nicht mehr in der Lage, das sich nähernde Objekt zu erkennen. Stattdessen erhält das Bildverarbeitungselement möglicherweise nur noch Schleifenbilder einer freien Straße ohne Hindernisse, was dieselben fatalen Folgen hätte wie ein Fahrer, der seine Augen vollständig von der Straße abwendet.
Cybersecurity-konforme Bildsensoren
onsemi begann 2018, Cybersicherheitsfunktionen in seine Bildsensoren zu integrieren – noch bevor der Cybersicherheitsstandard ISO 21434 veröffentlicht wurde. Ursprünglich wurde dies durch frühe Kundenanfragen vorangetrieben, später weiterentwickelt und zu einem Cybersecurity-Know-how konsolidiert. Im Ergebnis sind die Bildsensoren von onsemi bereits Cybersecurity-ready.
Eine der wichtigsten Funktionen ist die Authentifizierung, die es ihnen ermöglicht, einem Host gegenüber zu beweisen, dass sie echt sind. Dies geschieht über eine gewünschte Zertifikatskette und vorab freigegebenen Schlüsseln (Pre-Shared Keys). Als weiteres Leistungsmerkmal ist die Integrität der Videodaten gewährleistet. Damit wird nachgewiesen, dass ein Videodatenstrom zwischen dem Sensor und System nicht manipuliert wurde.
Diese Integrität wird durch einen Message Authentication Code (MAC) gestützt. Schließlich werden die Steuer- und Konfigurationsdaten des Sensors mit speziellen Schlüsselregistern, die MACs auf integrierten Videodatenleitungen verwenden, gegen Manipulationen geschützt.