Dipl.-Inf. Paul Arndt ist Referent auf dem 1. e-Monday Kongress “Mobilität 4.0: elektrisch, vernetzt und autonom”, der am 07. Juni 2016 im Haus der Bayerischen Wirtschaft in München stattfindet.
ABSTRACT
Die Möglichkeit autonom zu Fahren hat mindestens drei Konsequenzen, die immanenten Einfluss auf die Anforderungen an die Sicherheit der Software des Fahrzeugs haben.
1.) Software kann das gesamte Fahrzeug kontrollieren
2.) Der Fahrer hat eine erhöhte Reaktionszeit im Falle der unerwarteten Kontrollübernahme
3.) Das Fahrzeug wird mit anderen externen Systemen vernetzt um den Horizont der Sensorik zu erhöhen
In Fahrzeugen die sich autonom bewegen können muss Software in der Lage sein alle Aktoren zu kontrollieren. Dies impliziert unterschiedliche Probleme, denn falsche Ansteuerung von Aktoren kann zu gefährlichen Fahrzuständen, oder gar Unfällen führen. Die Sicherheit eines solchen Fahrzeugs wird also maßgeblich durch die Sicherheit der Software bestimmt. Sicherheit von Software kennt zwei Dimensionen, die Safety hat den Schutz der Umwelt vor dem Fahrzeug zum Inhalt, die Security wiederum den Schutz des Fahrzeugs vor der Umwelt. Bei der Entwicklung moderner Fahrzeuge und deren Software ist die Berücksichtig der Safety bereits seit langen ein wichtiger Teil der Entwicklung.
Die systematische Anwendung der Methoden des Safety-Managements soll dazu führen, dass keine für die Umwelt gefährlichen Zustände von Software hervorgerufen werden können. Angriffe auf die Security des Fahrzeugs sollten damit theoretisch nie zu gefährlichen Fahrzuständen führen können, da die Safety dies verhindert. Neben der Kontrollierbarkeit aller Aktoren durch Software bedeutet autonomes Fahren aber auch, dass die Zeit, die der Fahrer benötigt, im Notfall die Kontrolle zu übernehmen deutlich erhöht ist. Eine der Grundideen des Safety-Managements ist es aber, Systeme im Fehlerfall abzuschalten und den Fahrer zu informieren. Diese Überlegung aus dem Bereich der Safety erhält durch die Probleme der Security eine deutlich größere Brisanz.
Der Schutz des Systems vor Manipulationen ist Aufgabe der Security. Das Risiko das von einer Manipulation ausgeht hängt von zwei Faktoren ab. Wie gravierend wirkt sich eine Manipulation aus und wie leicht ist diese Manipulation herbeizuführen. Für den zweiten Faktor ist es besonders gravierend, wenn eine Manipulation möglich ist ohne physischen Kontakt zum System. Dies wird insbesondere durch vernetzte Systeme möglich.
Eine systematische Risikominimierung im Bereich Security ist damit offensichtlich eine elementrare Voraussetzung zu autonomen Fahren. Das hier angezeigt Vorgehen ähnelt der aus dem Safety-Management bekannten Ansatz. Der elementare Unterschied besteht darin, dass die Saftey theoretisch nur alle endlich vielen möglichen Zustände des Systems betrachten muss. Die Security muss mit theoretisch unendlich vielen äußeren Zuständen umgehen. Dies hat zur Folge, dass die Betrachtung der Security niemals abgeschlossen sein kann, solange das System noch im Verkehr ist. Eine Security-Strategie muss neben der die Entwicklung begleitenden Identifizierung und Minimierung von Risiken also auch eine Komponente enthalten, die nach dem Verkaufsstart Risiken erkennt und minimiert. Im Bereich der reinen Software Entwicklung ist dies wohlbekannt und der professionelle Einsatz von Produkten sollte dann enden, wenn der Herstellersupport endet.
Nur wer auf all diese Fragen eine geeignete Antwort hat sollte ruhig schlafen können wenn er autonom fahrende Fahrzeuge auf den Markt bringen möchte. Vielleicht ist dies ein Grund warum erfahrene Software Hersteller versuchen genau über dieses Thema in den Automobil Markt einzudringen.
