DATENSICHERHEIT

Die Abwehr
steht

Wer heute ins Auto steigt, taucht ein in eine komplexe, vernetzte Software-Welt. Millionen von Daten rasen in Sekundenschnelle zwischen Mikrocomputern hin und her. Kommuniziert wird dabei immer öfter auch mit anderen Systemen und Fahrzeugen. Dadurch entstehen faszinierend neue Anwendungen für mehr Komfort, Effizienz und Sicherheit – aber gleichzeitig auch mehr Sicherheitsrisiken, die beherrscht werden müssen. Hochqualifizierte Software-Experten beim Bosch- Unternehmen escrypt GmbH Embedded Security (Escrypt) arbeiten daher an Lösungen, um die Welt noch ein Stück sicherer zu machen. Einer von ihnen ist Thomas Wollinger, Geschäftsführer und erfahrener Security-Experte.

  • AUTHENTISCH ÜBERTRAGEN

    Um sicherheitsrelevante Nachrichten beim Übertragen vor Manipulationen zu schützen, setzt Escrypt unter anderem das kryptografische Verfahren der digitalen Signatur ein. Hierbei erstellt der Absender eine Art Fingerabdruck aus der Nachricht, codiert und versendet ihn. Das Empfängergerät entcodiert den Fingerabdruck wieder und gleicht ihn mit einer direkt in der Nachricht enthaltenen Version des Abdrucks ab. Stimmen sie überein, steht fest: Die Nachricht wurde nicht manipuliert.

     

     

  • VERSCHLÜSSELN

    Wichtigster Mechanismus bei der Abwehr unerlaubter Eingriffe ist die Verschlüsselung. Daten im Fahrzeug werden dabei in eine Art Geheimtext umgewandelt. Nur mit dem richtigen Code/Schlüssel lassen sie sich wieder umwandeln und lesen. Dieser Schlüssel ist das Herzstück des Systems. Er liegt gut geschützt auf einem Hardware-Element im Steuergerät.

     

     

  • ANGEMESSEN REAGIEREN

    Bei jeder einlaufenden Nachricht muss das Abwehrsystem entscheiden: Ist sie vertrauenswürdig? Wenn nicht, kann die Nachricht ignoriert werden? Können wir einen nicht autorisierten Nutzer abweisen? Oder sollte man das angesprochene System vom Netzwerk trennen oder abschalten, weil eventuell sicherheitsrelevante Teile gefährdet sind?

     

     

  • SICHER AKTUALISIEREN

    Schutzsoftware muss aktuell sein und die jeweils neusten Tricks der Hacker berücksichtigen. Hierfür stellt Escrypt regelmäßig Updates bereit, die künftig auch über eine Mobilfunkschnittstelle überspielt werden können. Für Aktualisierungen der Fahrzeugelektronik müssen Nutzer dann nicht mehr in die Werkstatt fahren. Mithilfe von Secure Software Updates over the air (SOTA) lassen sich auch Updates der Autohersteller kabellos, zeitsparend und vor allem sicher übertragen.

     

     

In Escrypts Konferenzraum gilt Sicherheitsstufe eins.



Speziell verglaste Fenster verhindern, dass Gespräche über die Vibration der Scheiben erfasst werden können. Per Laser wäre das heute möglich. Sicherheitstapeten schlagen Alarm bei Manipulationen und Einbrüchen. Nichts dringt von diesem Teil des Bochumer Bürogebäudes ungewollt nach draußen. Darf es auch nicht. Denn was Thomas Wollinger und seine Mitarbeiter mit Kunden zu besprechen haben, ist oft streng vertraulich. 



 




Der 43-jährige Wollinger zeigt auf eine der Türen gegenüber: „In dem Raum hier drüben haben wir schon 2005 als Pioniere der Embedded Security angefangen.“ Zu dritt ackerten sie damals für den Erfolg des kleinen Start-ups. Heute arbeiten fast 100 Frauen und Männer bei Escrypt in der Unternehmenszentrale in Bochum sowie an weiteren Standorten in Deutschland, in den USA, Japan, China und Korea daran, Gefahren durch Hacker und andere Angriffe auf Software-Systeme abzuwehren.    

Auch wenn bei Wollinger zunächst nicht viel auf diese Karriere hindeutete. Seine Kindheit verbrachte er nicht vor dem Computer, sondern mit Nachbarskindern auf der Straße. Erst während einer Ausbildung zum Kommunikationselek-troniker fing er Feuer. Es folgten das Fachabitur als Bester seines Jahrgangs, ein Studium der Elektrotechnik in Rekordzeit und die Promotion über eine spezielle Verschlüsselungstechnik mithilfe von hyperelliptischen Kurven. Noch heute sind es verschiedene Verschlüsselungstechniken, die es Escrypt ermöglichen, Schutz-Software zu entwickeln für sogenannte eingebettete Systeme – also Mikrocomputer, die in technischen Umgebungen integriert sind. Zum Beispiel in der Medizintechnik, in Mobiltelefonen oder eben in Steuergeräten von Fahrzeugen. Und dieser Schutz ist wichtiger denn je.

Denn die Angreifer versuchen heute, über mehrere Wege ins Fahrzeug zu kommen. Das kann der Internetzugang sein, eine Handyschnittstelle, das Radio oder das Navigationsgerät. Und sie kommen von verschiedensten Seiten: Fahrzeugbesitzer manipulieren Kilometerstände, Wettbewerber sind interessiert an Daten, also Know-how von Herstellern, und wieder andere hacken vernetzte Systeme aus Sabotage- oder Spionagegründen. 

Das Escrypt-Abwehrteam hält mit ganzheitlichen Sicherheitslösungen und Branchen-Know-how dagegen. Im ersten Stock in der Bochumer Zentrale sitzen Mitarbeiterinnen und Mitarbeiter in hellen Zweierbüros mit konzentrierten Blicken vor ihren Rechnern. Sie entwickeln Verschlüsselungssoftware, beraten ihre Kunden und versuchen Schwachstellen in deren Systemen zu finden und zu bewerten. Der große Wettbewerbsvorteil dabei: Escrypt arbeitet eng mit der Muttergesellschaft, dem Bosch-Tochterunternehmen ETAS, zusammen. 

Escrypt schützt die Systeme vor Angriffen von außen (Security), und ETAS stellt sicher, dass die Systemfunktionen auch im Notfall gewährleistet sind (Safety). Die beiden Disziplinen müssen in vernetzten Systemen stärker ineinandergreifen als bisher. Schon vor Beginn der Soft- und Hardware-Entwicklung sollten Security- und Safety-Experten gemeinsam Risiken ermitteln, diese bewerten und daraus abgeleitete Sicherheitsziele formulieren. „Es gibt keine Safety ohne Security und umgekehrt“, sagt Simon Burton, Leiter des Bereichs Embedded Software Services bei ETAS. „Daher ergänzen sich die beiden Unternehmen so gut.“ Ins Spiel kommt zudem das komplette Automotive-Know-how von Bosch. Für Wollinger eine ideale Kombination: „Wir können dadurch alles aus einer Hand anbieten.“

Bei aller Kompetenz, die Escrypt den Angreifern entgegenstellt – Wollinger versteht auch mögliche Sorgen der Fahrzeugnutzer. „100-prozentige Sicherheit kann niemand garantieren, auch wir nicht“, räumt er ein. Wollinger und sein Team sind aber weltweit eng vernetzt mit Security-Experten in Unternehmen und an Universitäten. „Daher wissen wir sehr früh, welche Angriffe kommen können“, ergänzt der Chef ruhig und bestimmt. „Und wir arbeiten längst an Gegenmaßnahmen.“  

„Wir können dadurch alles aus einer Hand anbieten.“