Gewährleistung der IT-Sicherheit
Erstellt am: 11.07.2017 | Stand des Wissens: 19.07.2023
Synthesebericht gehört zu:
Intelligente Verkehrssysteme mit hoch automatisiert beziehungsweise vollständig autonom fahrenden Fahrzeugen und vernetzten Verkehrsinfrastrukturen erfordern ein Höchstmaß an Sicherheit im Bereich der Informationstechnologien (IT). Bereits heute besitzen moderne Fahrzeuge bis zu einhundert elektronischer Steuergeräte (englisch: "On Board Control Units"), die fortwährend miteinander oder nach außen kommunizieren. Der Austausch von Daten über das Internet beinhaltet jedoch grundsätzlich die potenzielle Gefahr, dass Unbefugte von einem beliebigen Ort auf der Welt auf diese Daten zugreifen. Die Gewährleistung von IT-Sicherheit stellt daher ein ständiges Kräftemessen zwischen Automobilherstellern und Infrastrukturbetreibern auf der einen Seite und kriminellen Angreifern auf der anderen Seite dar.
Ausgehend von diesem Kenntnisstand sind im Bereich der IT-Sicherheit folgende grundlegende Maßnahmen zu ergreifen [JoMi15a]:
Ausgehend von diesem Kenntnisstand sind im Bereich der IT-Sicherheit folgende grundlegende Maßnahmen zu ergreifen [JoMi15a]:
- Durch eine sichere Verschlüsselung und ein sicheres Schlüsselmanagement ist das Ziel die Verhinderung von Angriffen
- Durch die ständige Überwachung der Kommunikation ist das Ergebnis die Entdeckung von Angriffen
- Unter Anwendung des modifizierten Standards "26262" der International Organization for Standardization (ISO) wird die Gewährleistung der Verkehrssicherheit trotz potenziell unsicherer IT-Systeme im Fahrzeug oder der Infrastruktur durch proaktive Strategien zur Abwehr von Angriffen sichergestellt
- Ein an der IT-Sicherheit orientiertes Vorgehen bei der Systementwicklung
In Bezug auf den Umgang mit Daten sind IT-Sicherheitsmechanismen einzuführen, die sich an definierten Schutzzielen (Vertraulichkeit, Verfügbarkeit, Integrität, Transparenz, Nichtverkettbarkeit, Intervenierbarkeit) orientieren.
Im Zeitalter des "Internets der Dinge" ist die IT-Sicherheit auch eng mit der damit einhergehenden Komplexitätssteigerung der technischen Systeme und der dafür benötigten Software verbunden. Die Softwareentwicklung kann mit der hohen Geschwindigkeit auf dem Gebiet der Hardwareentwicklung kaum noch mithalten. Effizienzgewinne durch neue Hardwarearchitekturen werden nur teilweise realisiert, weil das Management der Prozesskomponenten aufseiten der Software einen zu hohen Koordinierungsaufwand erfordert. Hier liegen die Herausforderungen vor allem im Management und in der Veränderung dieser Systeme während ihrer Laufzeit in Verbindung mit effektiven Methoden der Softwareentwicklung. Ein Lösungsansatz besteht in der Unterteilung und Dezentralisierung inklusive einer selbstständigen Vernetzung der Teilkomponenten, was jedoch entsprechende lokale Fähigkeiten voraussetzt. Zur konsequenten Durchsetzung dieses Ansatzes sind neue Design- und Architekturansätze in der Software- und Systementwicklung notwendig.
Mit dem Förderprogramm "IKT 2020 - Forschung für Innovationen" (Laufzeit: 2015-2025) greift das Bundesministerium für Bildung und Forschung (BMBF) unter anderem diese Problematik auf und unterstützt entsprechende Forschungsvorhaben. Erstmals werden in diesem Programm auch explizit die Anwendungsfelder IT-Sicherheit und Privacy fokussiert [BMBF17b].
Neue Verschlüsselungstechnologien, die vor allem in der Hardware verankert sind, sind ein weiterer Lösungsansatz, die IT-Sicherheit im Allgemeinen und für das hoch automatisierte Fahren im Besonderen zu verbessern. Mithilfe neuer Technologien wie der Quantenkommunikation wird es möglich sein, ein unbefugtes Abhören auch über große Entfernungen zu erkennen. Bis zum Jahr 2022 sollte eine erste Quanten-Repeater-Strecke fertiggestellt sein. Sie würde quasi den Ausgangspunkt für ein weltumspannendes Quanteninternet bilden, mit dem Forschungspolitiker jedoch erst ab dem Jahr 2027 rechnen [DLF18a, FAZ17a]. Im Jahr 2023 hat ein Team an der Universität Innsbruck einen Quanten Repeater Knoten Für die Standardfrequenz von Telekommunikationsnetzen gebaut. [Flat23].
Das 2013 gegründete Kompetenzzentrum Öffentliche IT (ÖFIT) am Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) bietet ein sogenanntes Trendsonar an, das einige der wichtigsten aktuellen und zukünftigen Technologietrends in der IT-Sicherheit präsentiert und Experteneinschätzungen über deren Zukunftsfähigkeit und den Zeitraum bis zu ihrem Durchbruch enthält. Das ÖFIT fungiert als Ansprechpartner für politische Entscheidungsträger und als Denkfabrik zu Fragen der öffentlichen IT [BMI16b].
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist per Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik BSIG) die zentrale, unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit. Als obere Baubehörde schützt das BSI die Netze des Bundes, richtet sich jedoch zugleich auch an gewerbliche und private Anbieter wie die Nutzer von Informationstechnik [BSI17]. Mit dem Gesetz zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) hat das BSI seit dem 30.Juni 2017 neue Aufgaben und Befugnisse erhalten, die zum Beispiel die Aufsichts- und Durchsetzungsbefugnisse gegenüber Betreibern kritischer Infrastrukturen betreffen [Sonar16]. Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen, die für das staatliche Gemeinwesen eine entscheidende Rolle spielen und bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Durch eine neue ressortübergreifende Zusammenarbeit vom BSI und dem Kraftfahrtbundesamt soll die Entwicklung von automatisiertem und vernetztem Fahren weiter beschleunigt werden. Die Bündelung der Kompetenzen soll zu einer besseren Funktionsfähigkeit und einer größeren Sicherheit der Systeme sorgen[KBA20a].
