Alle Angebote von
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Schutzengel 2010

Seite 2: Schutzengel 2010

Inhaltsverzeichnis

Falls ein Empfänger in der Relevanzzone liegt, warnt er seinen Fahrer optisch, akustisch oder haptisch – vielleicht mit einem kurzen automatischen Bremser, der nur zu einem Ruck führt, aber das Fahrzeug nicht spürbar verlangsamt. Außerdem senden die benachrichtigten Fahrzeuge die Information als Repeater selbst wieder aus, um den Informationsraum zu vergrößern.

Nachrichtenkontrolle
Problematisch an dieser Schneeballstrategie ist eine mögliche Überlastung des Kommunikationsmediums durch die große Anzahl von Nachrichten. Daher muss ein Protokoll eine zeitliche und örtliche Rangfolge herstellen. Das geschieht zunächst per geeigneter Auswahl des nächsten Senders, um die gesamte Relevanzzone möglichst schnell zu versorgen. Sinnvollerweise liegt der nächste Sender deshalb räumlich möglichst weit hinter dem letzten. Auch ein nicht in der Relevanzzone liegendes Fahrzeug – etwa im Gegenverkehr – kann durch Weiterleiten Lücken schließen.

Weitere Mechanismen sorgen dafür, dass die Information so lange am Leben erhalten wird, bis ihre Gültigkeitsdauer abgelaufen ist oder sie durch eine aufhebende Nachricht wieder gelöscht wird. Weit von der Relevanzzone entfernte Fahrzeuge verwerfen die Nachricht, um Überlastung des Netzes durch nicht relevante Daten zu vermeiden.

Marktdurchdringung entscheidend
Auch zu geringe Verbreitung ist für intelligente Fahrzeugkommunikation problematisch: Speziell in der Einführungsphase des Systems werden nur wenige Fahrzeuge der Oberklasse mit Kommunikationssystemen ausgestattet sein. Spürbaren Nutzen bringt C2C nach Schätzung der Autoren, wenn etwa 30 Prozent aller Fahrzeuge damit ausgestattet sind. Zuverlässige Funktion ist ab 60 Prozent Marktdurchdringung zu erwarten. Bis das durch serienmäßige Ausstattung aller Neufahrzeuge oder Nachrüstung für ältere Autos erreicht ist, müssen fest installierte Funkstationen am Fahrbahnrand – Funkbaken – die Repeater-Funktion übernehmen. Ebenso könnten zellulare Mobilfunknetze mit großer Funkabdeckung wie etwa UMTS die Einführung verkürzen.

Sicherheit mit Sicherheit
Eine Herausforderung bei C2C ist das Sichern der Nachrichtenübertragung gegen elektronische Vandalen, denn Glatteiswarnungen sollen in den Sommerferien keine Staus auslösen. In Ad-hoc-Netzen kann keine zeitraubende Authentifizierung geschehen, die die Berechtigung eines Senders bestätigt. Außerdem muss die Anonymität der Kommunikationsteilnehmer gewahrt bleiben, denn mit den GPS-Koordinaten und den Funkbaken ließen sich leicht individuelle Bewegungsprofile erstellen. Für beide Ziele gibt es zurzeit noch keine endgültige Lösung, Ansätze wie zertifikatbasierte Kryptografie – dazu weiter unten mehr – sind vielversprechend, erzeugen aber erheblichen Overhead bei der Übertragung und benötigen eine aufwendige Schlüsselverwaltung.

Funkstörer
Neben bekannten Attacken auf informationstechnische Systeme müssen die C2C-Entwickler auch Besonderheiten wie das Verschieben einer Bake an eine andere Position bedenken. Das einfachste Angriffsszenario ist Jamming, simples Zustopfen des Funkkanals mit einem Störsender, der ein kontinuierliches Signal abstrahlt. Zwar genügt es prinzipiell schon, den Kontrollkanal der Fahrzeugkommunikation lahmzulegen. Mit auf das WLAN-Protokoll zugeschnittenen Angriffstechniken kann ein Jammer aber sogar mehrere Frequenzen gleichzeitig blockieren. Gegen diesen Angriff gibt es prinzipiell keine Gegenmaßnahme, da hilft nur ein Wechsel auf ein anderes Kommunikationssystem. Möglich wenn auch unbefriedigend ist, das Jamming einfach auszusitzen, denn der Radius des Störers ist verhältnismäßig klein.

Als Spinne im Bord-Netzwerk erhält das C2C-Modul über Bussysteme wie Flexray [4] oder CAN-Daten von verschiedenen anderen Systemen. So müssen die Entwickler auch Manipulation der Hardware in Betracht ziehen, und zwar nicht nur an der C2C-Einheit, sondern auch an den Kommunikationsbussen oder angeschlossenen Istwert-Gebern. Beim C2C-Gerät selbst denken die Forscher beispielsweise an einen Sensor, der bei unberechtigtem Öffnen des Gehäuses das Löschen aller Zertifikate auslöst. Ferner muss das C2C-Modul laufend die Plausibilität der zugelieferten Daten prüfen. Rückwirkungen aus dem C2C-Gerät auf die restliche Fahrzeugelektronik kann eine Firewall unterbinden, die den Informationsfluss nur in eine Richtung zulässt.