Konzeption einer sicheren Fahrzeugarchitektur bei fortschreitender Vernetzung des Fahrzeugs mit Konsumelektronik

Inhaltsverzeichnis

1 Einleitung
1.1 Motivation
1.2 Ziel und Forsehungsfragen
1.3 Methodisehe Vorgehensweise

2 Grundlagen der Fahrzeug- und Konsumelektronik-Industrie
2.1 Wertsehopfungsketten der Fahrzeug- und Konsumelektronik-Industrie , , , ,
2.2 Wertsehopfungskette einer Fahrzeug-App anhand des 2-3-6-Konzepts , , , ,
2.3 Fortsehreitende Vernetzung und Dienstarten im Fahrzeug
2.3.1 Navigation
2.3.2 Infotainment
2.3.3 Integrierte Dienste
2.3.4 Car2x
2.3.5 Big Data
2.4 Sieherheitsanforderungen an die Fahrzeugarehitektur
2.4.1 Unterseheidung zwisehen Safety und Security
2.4.2 Physisehe Sieherheit von Menseh, Fahrzeug und Umgebung
2.4.3 Keine Ablenkung des Fahrers
2.4.4 HMI-Hoheit
2.4.5 Datensehutz und Datensieherheit
2.5 Ubersieht bestehender Multimediasysteme
2.5.1 Brought-In-Systeme
2.5.2 Embedded-Systeme
2.5.3 Hybrid-Systeme
2.5.4 Beispiele
2.5.4.1 MirrorLink
2.5.4.2 Apple CarPlay und Android Auto
2.5.4.3 BMW ConneetedDrive

3 Technische Grundlagen der Fahrzeug- und Smartphone-Architekturen
3.1 Betraehtung auf vior Ebonon
3.2 Siebensdiiditenmodell
3.3 Dreisehiehtenmodell
3.4 Grundlagen Ebene 1 - Physisehe Ebene
3.5 Grundlagen Ebene 2 - Physisehe Dateniibertragungsebene
3.5.1 Teehnisehe Eigensehaften von Bussystemen
3.5.1.1 Topologie
3.5.1.2 Interaktionsstruktur
3.5.1.3 Adressierung
3.5.1.4 Buszugriffsverfahren
3.5.1.5 Datensieherung
3.5.1.6 Synchronisation
3.5.1.7 Physikalisehe Ubertragung
3.5.2 Eingesetzte serielle Bussysteme
3.5.3 Ethernet
3.6 Grundlagen Ebene 3 - Software-Dateniibertragungsebene
3.6.1 Kryptographie
3.6.1.1 Sieherheitsanforderungen an Informationsiibertragung , , , ,
3.6.1.2 Symmetrisehe kryptographisehe Verfahren
3.6.1.3 Asymmetrisehe kryptographisehe Verfahren
3.6.1.4 Hybride kryptographisehe Verfahren
3.7 Grundlagen Ebene 4 - Software-Ebene
3.7.1 Betriebssystem
3.7.2 Virtualisierung
3.7.2.1 Ohne Virtualisierung
3.7.2.2 Vollvirtualisierung
3.7.2.3 Paravirtualisierung
3.7.2.4 Software-Virtualisierung
3.7.2.5 OS-Virtualisierung
3.7.2.6 Hardware-Virtualisierung
3.7.3 Sandbox
3.7.4 API

4 Analyse der technischen Gefahrenpotentiale
4.1 Gefahrenpotentiale der versehiedenen Dienstarten
4.1.1 Gefahrenpotentiale bei Embedded-Systemen
4.1.2 Gefahrenpotentiale bei Bronght-In-Systemen
4.2 Gefahrenpotentiale beim Smartphone-Betriebssystem
4.3 Perspective eines Antomobil-Haekers
4.4 Gefahren Ebene 1 - Physisehe Ebene
4.5 Gefahren Ebene 2 - Physisehe Dateniibertragnngsebene
4.6 Gefahren Ebene 3 - Software-Dateniibertragnngsebene
4.7 Gefahren Ebene 4 - Software-Ebene

5 Konzepte und Vorschlage fur eine sichere Fahrzeugarchitektur
5.1 Konzepte Ebene 1 - Physisehe Ebene
5.2 Konzepte Ebene 2 - Physisehe Dateniibertragungsebene
5.3 Konzepte Ebene 3 - Software-Dateniibertragungsebene
5.4 Konzepte Ebene 4 - Software-Ebene
5.5 Seeurity-by-Ansatz
5.6 Standardisierungs-Ansatz
5.7 Flexibilitats-Ansatz

6 Evaluation der Konzepte und der Vorgehensweise
6.1 Evaluation naeh Sieherheitsanforderungen
6.2 Evaluation anhand des 2-3-6-Konzeptes
6.3 Evaluation anhand der Zielkonflikte
6.4 Evaluation der Vorgehensweise

7 Zusammenfassung und Ausblick auf weitere Forschung
7.1 Beantwortung der Forsehungsfragen
7.2 Ausbliek auf weitere Forsehung
7.3 Einsehatzung zukiinftiger Entwieklungen

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

2.1 Traditionelle Wertsehopfungskette dor Automobilindustrie und nouo Aktouro

2.2 Folder des 2-3-6-Konzepts

2.3 Unterseheidung zwischen Safety und Security

3.1 Vier Ebenen

3.2 ISO/OSI-Kommunikationsmodell

3.3 Dreisohiohtenmodell in dor Automobilelektronik

3.4 Topologiearten

3.5 Unterseheidung zwischen Client-Server- und Producer-Consumer-Interaktion

3.6 Beispiel eines Bussvstems im Fahrzeug

3.7 Standardprotokoll fiir hybride Kryptosysteme

3.8 Ringdarstellung dor Modi und Zuordnung dor Ringe ohne Virtualisierung , ,

3.9 Vollvirtualisierung ohne, mit Hardware-Assistenz, Paravirtualisierung , , , ,

3.10 Hosted Virtualisierung, OS-Virtualisierung, Partitionierung

4.1 Injektion eines Rootkits und dessen Auswirkungen

5.1 IP-basierte Kommunikations-Middleware mit modularem Security-Framework

5.2 Partitionierung mit mehreren Betriebssystemen und Eohtzeitumgebungen , ,

6.1 Einfluss des OEM bei versohiedenen Ansatzen

6.2 Zielkonflikte bei versohiedenen Ansatzen

Tabellenverzeichnis

3.1 Vor- und Xachteile versdiiedener Bustopologien

3.2 Vor- und Xachteile versdiiedener Interaktionsstrukturen

3.3 Vor- und Xachteile versdiiedener Buszugriffsverfahren

3.4 Vor- und Xachteile versdiiedener Datensieherungsverfahren

3.5 Vor- und Xachteile versdiiedener Synehronisationsverfahren

3.6 Vor- und Xachteile versdiiedener Ubertragungsarten

3.7 Eigensehaften bestehender Bussysteme und Ethernet

4.1 Gefahrenpotentiale eines Embedded-Systems

4.2 Gefahrenpotentiale eines Brought-In-Systems

4.3 Angreiferarten, ihre Kenntnisse, ihr Zugang und ihre Ziele

6,1 Gewahrleistung der Sieherheitsanforderungen bei versehiedenen Ansatzen , ,

1. Einleitung

1.1 Motivation

„Da die Konnektivitat bei der jiingeren Generation als aufserst bedentnngsvoll gilt, muss sieh dieser Lebensstil aneh im Fahrzeng widerspiegeln,11 erlautert Annpam Malhotra, Ge- schaftsfiihrer Connected Vehicles von Audi of America [ + , S.25], VW-Chef Martin

Winterkorn warnt hingegen, das Auto diirfe „nicht zur Datenkrake werden11 |Reul4|, Die Sys- temarchitektur einiger Fahrzeugmodelle sei zudem „leicht haekbar,11 wie Fahrzeug-Hacker im Auftrag der Forschung feststellen |VM14|, „Sehliefslieh erweitern zunehmende Fahrzeugver- netzung und Integration innovativer Services die traditionelle automobile Wertsehopfungs- kette. Xeben zusatzliehen Wachstumspotenzialen erhoht sich damit der Wettbewerbsdruck dureh neue Player aus anderen Industries,11 resiimiert eine Studie von Oliver Wyman |Karl2, S.31. Diese vielfaltigen Positionen reflektieren lediglich einen Auszug aus der Liste an Her- ausforderungen, denen Fahrzeughersteller angesichts der fortschreitenden Vernetzung des Fahrzeugs mit Konsumelektronik gegeniiber stehen, Diese aktuellen Entwicklungen folgen einer jahrzehntelangen Elektronifizierung des Fahr­zeugs: Zum Zweek, den anspruchsvolleren Wiinschen nach Sicherheit und Komfort, den strengeren gesetzlichen Vorgaben und dem Innovationsdruck gerecht zu werden, integrier- ten Fahrzeughersteller zahlreiche elektronische Kommunikationssvsteme und Steuergerate in das Fahrzeug. Zwar ist die Architektur dieser Systeme auf die Sicherheitsrelevanz der tra- ditionellen Anwendungen angepasst, Allerdings wird nun fraglieh, ob einzelne Bestandteile der Architektur sowie das Gesamtkonstrukt in Zukunft auch modernen Anwendungen aus der Konsumelektronik standhalten konnen, Diese Bedenken sind im Hinbliek auf aktuelle Ergebnisse der Meinungsforschung legitim: Aufgrund der progressives Vernetzung des Mensehen im Internet und der Xutzung von Kon- sumelektronikgeraten im Alltag besteht die Erwartungshaltung, auch innerhalb des Fahr­zeugs auf Internet und Applikationen sowie von aufsen auf das Fahrzeug zugreifen zu konnen |Taml2, S,9|, Dass „dureh die Bedienung von Smartphones am Steuer immer mehr Auto- Unfalle verursacht werden,“ wie das deutsche Innenministerium verkiindet, geht mit diesem Lebensstil einher |Kurl4|, Um diesem gefahrlichen Trend zu begegnen, versuehen Implemen- tierungen aus Forschung und Entwicklung die Unfallzahlen zu minimieren: So sollen in das Fahrzeug eingebettete Multimodia-Systomo mit Sprachbedienung und an die Fahrt angepass- ten Anwendungen das Autofahren sieherer gestalten, Allerdings steigt dureh die vernetzten Dienste wiederum das Risiko, ungewollte Funktionalitaten oder sehadliehen Code - beispiels- weise dureh Haeker - in die Fahrzeugarehitektur einzusehleusen, Obwohl laut einer Umfrage der University of Michigan in den USA, Australien und Grofs- britannien die Mehrheit nieht viel von den neuen Teehnologien im Bereieh Car Connectivity versteht, sind 80 % davon iiberzeugt, dass Autofahren dadureh sieherer und zahlreiehe Un- falle vermieden warden. Xur 37 % aufserten aueh Starke Bedenken beziiglieh Security und Datensieherheit im Fahrzeug |Thul4|, Eine umgekehrte Meinungsverteilung ist jedoeh bei den Experten der Branehe auf der Cebit 2014 zu beobaehten: 24 % glauben an mehr Fahr- zeugsieherheit dureh die fortsehreitende Connectivity, wahrend sogar 36 % weniger Sieherheit prognostizieren |MKW14|. Hierbei treten besonders die teehnologisehen Sehwierigkeiten zum Vorsehein, einen Kompromiss zwisehen Vernetzung und Sieherheit zu hnden, Daher sind bei der Konzeption eines vernetzten Multimedia-Systems im Fahrzeug besondere Sieherheitsanforderungen zu beriieksiehtigen: Im Hinbliek auf iiberlebensnotwendige Funk­tionalitaten besitzen die Anforderungen naeh physiseher Sieherheit und keiner Ablenkung des Fahrers hoehste Relevanz, Fiir die Positionierung des Fahrzeugherstellers und die Pri- vatsphare des Fahrers hingegen spielen die Hoheit iiber die Multimedia-Plattform sowie Datensehutz und -sieherheit eine besonders hohe Rolle. Kontrolle iiber die Daten und die Oberflaehe des Multimedia-Systems reprasentiert dabei nieht zuletzt die Maehtverteilung zwisehen den Akteuren aus Automobilindustrie, Konsumelektronik und Telekommunikation.

Inwiefern ein Dienst auf Steuergerate und sieherheitsrelevante Systeme zugreifen oder Daten zu Fahrer, Fahrzeug oder Fahrverhalten auslesen kann, hangt letztlieh von der Implementie- rung ab. Unabhangig von der genauen Realisierung soil sieh der Markt fiir Car Connectivity laut einer Studio von McKinsev bis 2020 verfiinffaehen, Gleichzeitig warden 20 % der Kun- den weltweit bereit sain, die Automarke zu weehseln, wenn das Internetangebot besser ist - im ehinesisehen Markt mehr, im deutsehen weniger |Frel4|. Der Fahrzeughersteller steht so insgesamt vor der Herausforderung, die neuen Kundenerwartungen zu erfiillen, die Fahrzeug­arehitektur an die neuen Sieherheitsgefahren anzupassen und gleichzeitig einen strategisehen Vorteil aus seiner Vorherrsehaft im Fahrzeug gegeniiber anderen Akteuren zu erzielen. Die- se Uberlegungen des Fahrzeugherstellers warden nieht zuletzt von Mogliehkeiten begleitet, das Multimedia-System an andere Akteure auszulagern oder einen industrieweiten Standard einzufiihren.

1.2 Ziel und Forschungsfragen

In dieser wissensehaftliehen Arbeit wird untersueht, wie eine Fahrzeugarehitektur mit Internet- und Applikationssehnittstellen konzipiert warden kann, die den Anforderungen naeh An- griffssehutz und physiseher Sieherheit gereeht wird. Der Fokus liegt primar auf den teeh- nisehen Konzepten fiir fahrzeuginterne und -externa Kommunikationssysteme, wahrend die wirtschaftlichen Auswirkungen bei der Evaluation beriicksichtigt warden.

Hierbei widmet sieh die Arbeit den folgenden Forschungsfragen:

1. Welehe Sieherheitsanforderungen miissen Vernetzungs-Systeme im Fahrzeug erfiillen?
2, Wie kann die Fahrzeugarehitektur angepasst warden, um den Sieherheitsanfordernngen zn geniigen?
3, Wie wirkt sieh ein Veranderungsansatz auf die Wertsehopfungskette ans?

1.3 Methodische Vorgehensweise

Die folgende Herangehensweise zielt darauf ab, den Verlanf der Analyse klar zn strukturieren und die versehiedenen, im vorherigen Absehnitt aufgeworfenen Fragestellungen gezielt zn beantworten.

Zunaehst warden in Kapitel 2 die wirtsehaftliehen Grundlagen der Fahrzeug- und Konsum- elektronikindustrie und der Status Quo von Fahrzeug-Multimedia-Systemen dargestellt, um die Problemstellung in den riehtigen Kontext zu setzen.

Im Anschluss warden in Kapitel 3 die teehnisehen Grundlagen - eingeteilt auf vier Ebenen - detailliert erlautert, Diese Vierteilung wird aueh fiir die Analyse und die Vorstellung der Konzepte zur Strukturierung und Ubersiehtliehkeit in den darauffolgenden Kapiteln verwen- det.

Die Analyse in Kapitel 4 besehaftigt sieh mit den Gefahrenpotentialen der derzeitigen Fahr­zeugarehitektur, der derzeitigen Smartphone-Teehnologien und der zukiinftigen Kombination beider Systeme.

Um diesen Gefahrenpotentialen zu begegnen, warden in Kapitel 5 bestehende Sieherheits- konzepte aus Forsehung und Entwieklung vorgestellt und drei eigene Konzeptionsansatze entworfen, welehe ausgewahlte Konzepte vereinen.

Diese Konzeptionsansatze warden ansehliefsend naeh (1) Sieherheitsanforderungen, (2) wirt­sehaftliehen Auswirkungen auf die Marktposition des OEM sowie (3) anhand moglieher Ziel- konflikte in Kapitel 6 evaluiert.

Zum Sehluss warden die Ergebnisse dieser Arbeit zusammengefasst und die zuvor aufge- stellten Forsehungsfragen beantwortet. Xeben einem Ausbliek auf weitere Forsehung sehliefst Kapitel 7 mit einer subjektiven Einsehatzung zukiinftiger Entwieklungen,

Die Inhalte dieser Arbeit basieren auf einer ausgiebigen Literaturreeherehe sowie teilweise aueh auf Interviews mit Mitarbeitern von Miesehke Hofmann und Partner (MHP), Dabei lassen sieh die Quellen grob in zwei Segmente unterteilen: Mithilfe von wissensehaftliehen Papers und Grundlagenliteratur warden insbesondere teehnisehe Inhalte bearbeitet, wahrend Artikel und Marktanalvsen dazu dienen, Trends zu besehreiben, Insgesamt wird auf cine Balance zwisehen teehnisehen Details und iibergreifenden Entwieklungen geaehtet.

2. Grundlagen der Fahrzeug- und Konsumelektronik-Industrie

Damit die teehnisehen Grundlagen und Veranderungsmogliehkeiten im Gesamtkontext er- lautert werden konnen, gilt es zunaehst, die wirtsehaftliehe Ausgangssituation aus der Per­spective des Automobilherstellers bei fortsehreitender Vernetzung des Fahrzeugs mit Kon- sumelektronik zu betraehten, Dabei werden zunaehst die Wertsehopfungsketten der Fahrzeug- und Konsumelektronikin- dustrie einander gegeniiber gestellt sowie die Wertsehopfungskette eines Multimediasystems anhand des 2-3-6-Konzeptes erlautert, welehes fiir die Evaluation in Kapitel 6 verwendet wird, Im Anschluss werden versehiedene Bereiehe der fortsehreitenden Vernetzung des Fahr­zeugs und der Sieherheitsanforderungen an die Fahrzeugarehitektur vorgestellt und anhand dieser Bereiehe eine thematisehe Abgrenzung der Arbeit vorgenommen. Parallel zur Besehrei- bung des Status Quo erfolgt in diesem Kapitel die Definition relevanter Begriffe, Am Ende dieses Kapitels werden drei Arten von Multimediasvstemen besehrieben und bestehende Im- plementierungen beispielhaft eingeordnet,

2.1 Wertsehopfungsketten der Fahrzeug- und Konsumelektronik-Industrie

„Die zunehmende Fahrzeugvernetzung und Integration innovativer Services erweitern die tra- ditionelle automobile Wertsehopfungskette, Xeben zusatzliehen Waehstumspotenzialen er- hoht sieh damit der Wettbewerbsdruek dureh neue Player aus anderen Industrien, |,,,| Eine weitere Versehiebung tritt aueh in der Arbeitsteilung zwisehen Original Equipment Manu­facturers (OEMs) und Zulieferern auf, Dureh die Fokussierung der Hersteller auf zusatzliehe Kernkompetenzen gewinnen Zulieferer in den kommenden Jahren zusatzliehe Wertsehop- fungsanteile,11 resiimiert eine Studio zum Wandel in der automobilen Wertsehopfungsstruk- tur, die von „01iver Wyman11 in Kooperation mit dem „Verband der Automobilindustrie11 ver- offentlieht wurde |Karl2, S,3|, Diese Entwieklung scheint einen Bruch zur traditionellen Wertschopfungskette in dor Au­tomob ilindustrie darzustellen - einem iiber die letzten Jahrzehnte optimierten System zwi- sehen den folgenden drei Hauptakteuren |Sehl3, S.13 ff.|, welehe aueh in Abbildung 2,1 zu erkennen sind: Lieferanten, Original Equipment Manufacturer (OEM) und Handler, Dabei halfen und helfen Lean-, Qualitats- und Prozessmanagement den OEMs, die vielen Ablaufe zu systematisieren und so eine mogliehst reibungslose, kostenminimale und kontrollierbare Wertsehopfung zu gewahrleisten |Schl3, S.53 f,|. In diesem ganzheitlich regulierten Rahmen sind die Aktivitaten der drei Akteure von vornherein eingeplant |Sehl3|:

- Zuiieferer: Der Zulieferer passt seine Produktion und Logistik ganz an den Produk- tionsplan, die Liefervertrage und die Vorgaben des OEM an,
- OEM: Auf strategischer Ebene steht der OEM - der Automobilhersteller - vor der Herausforderung, neue Modelle zu entwiekeln, 1st dieser Schritt erledigt, so miissen auf taktischer Ebene die Produktionsplane an die Auftrage des Handlers angepasst und entspreehende Liefervertrage mit dem Zulieferer gesehlossen werden, Auf operati- ver Ebene spielen Ansatze wie „Just-in-Time“ und „Just-In-Sequenee“ in der Logistik eine hohe Rolle, um Lagerhaltungskosten zu minimieren und die Anlieferung an den Produktionsplan zu takten, Dieser Plan sieht aufgrund der voransehreitenden Perso- nalisierung von Automobilen vor, dass die Bauteile fiir ein spezifisches Produkt zur rechten Zeit an der richtigen Produktionsstufe in das richtige Automobil eingebaut werden,
- Handier: Der Handler fungiert in erster Linie als Vertrieb, Gleichzeitig liefert er den Input fiir den Produktionsplan, indem Kaufvertrage abgesehlossen werden, in denen der Kunde die Zusammensetzung seines Fahrzeugs angibt.

Traditionelle

Wertschopfungskette

Zusammenfassend lasst sich feststellen, dass die Komplexitat der automobilen Wertschop­fungskette dureh einen stark regulierten ganzheitliehen Ansatz nach einem prazisen Pro­duktionsplan geordnet wird, Dabei gilt traditionell eine Produktlebensdauer von 10 Jahren [ + , S.ll], Im Kontext dieser Arbeit stellt sich nun die Frage, ob ein System zur Ver- netzung des Fahrzeugs mit der Umwelt lediglich ein weiteres Bauteil darstellt, das in die traditionelle Wertsehopfung integrierbar ist, oder ob die Wertschopfungskette dadureh neue Formen annehmen wird, Hierbei ist insbesondere zu beaehten, dass die Wertsehopfungs- ketten in der Mobilfunkindustrie und Unterhaltungselektronik aueh den groben drei Stufen Zulieferung, Herstellung und Vertrieb folgt, die Produktlebensdauer jedoeh nur wenige Mo- nate betragt, Dadureh altert ein Multimedia-System im Fahrzeug sehneller als das Fahrzeug selbst |BSEW13, S,18|, |FFO£, S,9|, Versieherungen reprasentieren einen woitoron Aktour, indom sic anhand von Daton zum Fahrvorhalton Versieherungstarife beispielsweise naeh dem „Pay-as-you-drive“-Prinzip anbieten |Wonl4|.

Es ist obonfalls zu beriieksiehtigen, dass sowohl diese drei nouon Aktouro im Automobilmarkt als aueh die traditionellen Zulieferer, OEMs und Handler eigene Interessen verfolgen, um ihre Alleinstellungsmerkmale dem Kunden anznbieten und im Gegenzug von den Kundendaten und der App-Xutzung zu profitieren |BSEW13, S,30|, So konnte der OEM dureh Direktver- trieb der Multimedia-Dienste selbst als Handler fungieren, Als problematiseh erweisen sieh dabei die Fragen, wer fiir den Kundensupport verantwortlieh ware und ob der traditionelle Handler die dureh den OEM direkt vertriebenen Dienste dem Kunden aueh vorfiihren wiirde, ohne selbst daran zu verdienen,

Der OEM, der bisher in vielerlei Hinsieht die Herrsehaft iiber sein Produkt besitzt, steht vor der Entseheidung, seine optimierte Wertsehopfungskette mit einem eigenen gesehlosse- nen System fortzusetzen oder zumindest Teile des Systems zu offnen, was wiederum eine Anderung der Wertsehopfungskette zur Folge haben kann, Laut der Studie von „01iver Wy- man“ fokussiert sieh der OEM in Zukunft starker auf das Kerngesehaft |Karl2, S,5|, sodass tendenziell aueh Aufgaben aus der Vernetzung des Fahrzeugs mit der Konsumelektronik an die anderen Akteure abgegeben wer den.

2.2 Erklarung der Wertsehopfungskette einer Fahrzeug- App anhand des 2-3-6-Konzepts

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2,2: Felder des 2-3-6-Konzepts (naeh |XeuO , S,15|)

Dass mit weiteren Sehnittstellen der Fahrzeugarehitektur zu Konsumelektronik und Internet der Einfluss des OEM im Fahrzeug sehwinden kann, wurde im vorangehenden Absehnitt erlautert, Welehe Einflussbereiehe dabei tatsaehlieh betroffen sind, wird nun anhand des 2-3-6-Konzeptes genauer besehrieben.

Das 2-3-6-Konzept ist ein Werkzeug zur Analyse der Wertsehopfungsketten von Informati- onssvstemen, bei denen eine Konkurrenz um zwei Zugangsarten zum Konsumenten besteht: Zugang dureh Inhalt und Zugang dureh Bereitstellung der Infrastruktur |XeuO , S,14|, Im oberen Toil der Abbildung 2,2 sind diese allgemeinen zwei Zugangsarten zu erkennen, wah- rend der untere Toil verdeutdieht, dass sieh die Wertsehopfungsketten weiter in jeweils drei Sehritte aufteilen lassen.

Das 2-3-6-Konzept wird weiterhin dazu verwendet, um die strategisehe Position eines Ak- teurs in den seehs Feldern der Wertsehopfungskette zu analvsieren. Auf Basis dieser Unter- suehungen konnen Entseheidungen dariiber getroffen werden, ob sieh das Unternehmen in bestimmte Felder weiterentwiekeln oder aus ihnen zuriiekziehen soil, Fiir einen Fahrzeugher- steller dient es zur Uberlegung, bei welehen Feldern der Fahrzeug-App-Wertsehopfungskette in eigene Leistungen investiert und wo das Know-How anderer Akteure verwendet werden soil,

Eine ahnliehe Dreiteilung ist bereits in der traditionellen Wertsehopfungskette der Auto- mobilindustrie besehrieben worden: Die Zulieferer stellen die Ressoureen bereit; der OEM stellt das fertige Produkt her; der Handler vertreibt es, Innerhalb des 2-3-6-Konzeptes sind dieselben Sehritte auf eine Inhalts- und eine Infrastruktursehiene aufgeteilt, Beim nicht- vernetzten Fahrzeug ist eine Aufteilung in Inhalt und Infrastruktur nieht notwendig, wah- rend bei Informationssystemen wie einem vernetzten Multimedia-System im Fahrzeug diese Unterseheidung zum Tragen kommt. Das Informationsprodukt, das bei der folgenden Be- traehtung interessiert, ist weder das Fahrzeug, noeh das Multimedia-System selbst, sondern die App, die der Kunde auf seinem Fahrzeug nutzen moehte, Deswegen werden nun die seehs Felder des 2-3-6-Konzepts fiir das Produkt „Fahrzeug-App“ untersueht:

- Inhalt gestalten: Die Idee fiir eine App wird geschaffen,
- Inhalt verpacken: Experten programmieren die App mit den erforderlichen Funktiona- litaten,
- Markt gestalten: Die Kunden werden beispielsweise fiber einen Support-Center oder eine Installationshilfe betreut, Mit Werbe-Kampagnen und iiber Distributionskanale wird die App vertrieben,
- Transport: Dieses Feld betrachtet die Dateniibertragung, welche iiber Telekommunika- tionsunternehmen und Mobilfunkbetreiber bereitgestellt wird,
- Backendsvsteme: Dieses Feld, das urspriinglich „Deliverv Support and Services" heiht, stellt Datenbank- und Server-Infrastrukturen wie Datenspeieherung, Zugriffskontrolle, Bezahl- und Sieherheitssysteme zur Verfiigung,
- Interface, Svsteme: Dieses Feld beinhaltet die Plattform, das Betriebssvstem und die Hardware des Multimediasystems, auf denen die App laufen soil.

In Kapitel 6 wird das 2-3-6-Konzept verwendet, um fiir die eigenen Konzeptionsansatze die Rolle des OEM in der sechsgeteilten Wertsehopfungskette zu untersuchen.

2.3 Fortschreitende Vernetzung und Dienstarten

Die fortschreitende Vernetzung in der Gesellsehaft ist durch verschiedene Entwieklungen charakterisiert: Einerseits erfolgt eine Verbreitung von Laptops, Tablets, Smartphones und Wearables dureh die Unterhaltungselektronik |Taml2|, Andererseits findet auf der Infrastruk- turseite das Einriehten von Hotspots an offentliehen Platzen, wie aneh auf dem Privatgelande von Shopping Malls, Flughafen oder in Ziigen statt |Karl2|, Gleiehzeitig passt die Mobil- funkindustrie ihre Tarife und Vertrage an, Summa summarum steigen Qualitat, Quantitat, Erreiehbarkeit und Ersehwingliehkeit von vernetzten Diensten mit der Zeit an, was mit ei- nem vorherrsehenden Trend einhergeht: der Erwartung, iiberall und jederzeit verbunden zu sein |Taml2, S,9|, Dies bestatigen aueh zahlreiehe Trendstudien: Bis 2018 werden 85% der Weltbevolkerung mobilen Internetzugang besitzen |Litl.:, S,14|, wobei das grofste Waehstum fiir die Sehwellenlander erwartet wird |Tamll , S,3|, Das Fahrzeug, als Symbol fiir traditionelle Mobilitat und Freiheit |Wei04|, trifft im Laufe der fortsehreitenden Vernetzung auf die modernen mobilen Gerate, Das zuvor gesehlossene System und der isolierte kapselartige Raum des Fahrzeugs, dessen Entwieklung und Design allein im Einflussbereieh des OEM liegen, offnet Sehnittstellen fiir die neuen Gerate und kann dadureh zu einem halboffenen System werden |BSEW13, S,31|, Gleiehzeitig wird, wie bereits angedeutet, Spielraum fiir die anderen Akteure aus Unterhaltungselektronik, Infrastruktur und Mobilfunkindustrie eroffnet |BSEW13, S,18|, Xieht nur auf Basis wirtsehaftlieher Interessen, sondern aueh in der elektroteehnisehen Infra­struktur des Fahrzeugs, konnte es dadureh zu Kontroversen, Kompromissen und Missbraueh kommen. Dies hangt einerseits davon ab, wie viel Zugang der Automobilhersteller gewahrt, und andererseits davon, welehe Zugriffe ein soleher Dienst vornehmen moehte |BSEW13|, Da- bei ist zu erwarten, dass „nieht alle Funktionalitaten von einer Killer-Applikation, sondern von zahlreiehen grofsen Diensten und Anbietern11 bereitgestellt werden |Taml2, S,10|, Diese Dienste lassen sieh in fiinf Kategorien einteilen, welehe im Folgenden besehrieben werden |BSEWl: , S.39| und |FF12, S.20 f.|.

2.3.1 Navigation

Enter Navigation11 fallen Standardanwendungen, die bereits in vielen Fahrzeugen dureh den OEM integriert sind, aber aueh naeh dem Fahrzeugkauf als mobiles Gerat im Fahrzeug ange- braeht werden konnen, Im Allgemeinen sollen Xavigationsanwendungen die Fahrt erleiehtern, Dazu gehijren beispielsweise Xavigationssysteme, die Anzeige von „Points of Interest11 und Verkehrsflussdaten mit Stau- und Gefahrenmeldungen, Fiir Elektroautos kann dabei auf Ba­sis des Batteriestands bereehnet werden, wie weit das Fahrzeug noeh fahren kann und wo eine Aufladung moglich und empfehlenswert ist [ + , S.23],

2.3.2 Infotainment

Zum Bereieh „Infotainment, Entertainment und Multimedia11 zahlen Anwendungen, die der Information und Unterhaltung der Insassen dienen, aber nieht mit der Fahrt, dem Fahrer oder dem Fahrzeug zusammenhangen, Insbesondere ist neben Autoradio und Autotelefon in dieser Rubrik das Internet zu verorten, iiber welehes auf World Wide Web, E-Mail, Da- teiiibertragung und andere Internetprotokolle zugegriffen werden kann |FFF , S,16|, Damit gelangen samtliehe Inhalte, die bereits auf modernen mobilen Geraten aufgerufen werden konnen, in das Fahrzeug, Als Beispiele seien Webradio, soziale Xetzwerke aber aueh Spiele und Horbiieher genannt, Xeben dem Web-Browser, gehijren aueh Apps zum Jnfotainment11, die sowohl online, als aneh offline verwendbar sind, Beispielsweise konnen Beifahrer aneh wahrend der Fahrt snrfen, spielen, E-Mails verfassen oder an einer Presentation arbeiten, Fiir den Fahrer sind manehe Dienste wahrend der Fahrt per Stimme ebenfalls bedienbar, wie in Absehnitt 2,5,4 detaillierter besehrieben wird.

2.3.3 Integrierte Dienste

Der Bereieh „Integrierte Dienste11 fokussiert sieh anders als „Infotainment“ auf die Aspekte Fahrer und Fahrzeug und wird daher aueh als „Fahrzeugbezogene Dienste11 bezeiehnet, Fiir diese Sparte sind Anwendungen wie das Offnen und Sehliefsen oder Ein- und Ausparken des Fahrzeugs dureh einen Kliek auf dem Smartphone zu nennen, aber aueh das Einstellen der Klimaanlage, automatisehes Bezahlen des Tankvorgangs oder die Darstellung des War- tungszustandes einzelner Fahrzeugteile |BSEW1.‘ , S,39|, Die zuvor genannten Anwendungen gehoren zum Bereieh „Assistenz Komfort11, doeh aueh „Assistenz Sieherheit11 ist in dieser Rubrik zu verordnen. Zur Letzteren gehoren Diebstahlsehutz, Anpassen des Fahrwerks an die Bodenbesehaffenheit, Xaehlenken und das Messen der Miidigkeit des Fahrers | SEW13, S,39|, Beide Assistenzbereiehe sind allerdings nieht klar voneinander zu trennen und ahneln sieh in der Eigensehaft, dass sie den aktuellen Zustand im und urn das Fahrzeug messen und gemafs der Funktionalitaten und Einstellungen der Dienste auf die Daten reagieren.

2.3.4 Car2x

Im engeren Sinne bezeiehnet Car2x den Eehtzeit-Datenaustauseh zwisehen zwei Fahrzeugen bzw, einem Fahrzeug und umgebender Infrastruktur, Der Sammelbegriff „Car2x“ lasst sieh in die zwei Bereiehe „Car2Car11 und „Car2Infrastrueture11 gliedern, wobei letzterer weiter unterteilt wird in „Car2Roadside11, „Car2Serviee11, „Car2Home11 und sonstigen |Veel4|, Als Beispiel ist die Kommunikation zwisehen Fahrzeugen zu nennen, die bei einer Vollbremsung des Vorgangers, Uberholvorgangen, Spurweehsel und anderen Fahrtmanovern in Realzeit hilfreiehe Dienste erweisen kann. In gleieher Weise kann ein Informationsaustauseh zwisehen Fahrzeug und Ampel erfolgen, der indiziert, wie lange die aktuelle Ampelphase noeh andauert oder ob ein sieh naherndes Xotfallfahrzeug gerade die Ampelsehaltung beeinflusst |Veel4|,

2.3.5 Big Data

Im Gegensatz zum Bereieh „Car2x“ bezeiehnet die Dienstart „Big Data11 keine in Realzeit wahrend der Benutzung des Fahrzeugs verwendeten Informationen, sondern insbesondere das Sammeln vieler Daten, urn Riieksehliisse iiber Fahrer, Fahrt, Fahrzeug, Fahrtstreeke, Halteorte und weitere Aspekte abzuleiten | SEW1 , S,40|, Diese Daten konnen sieh einerseits auf ein Individuum fokussieren und so beispielsweise auf das Fahrtverhalten einer Person in einem Fahrzeug hinweisen, Andererseits lassen sieh die Daten iiber alle Fahrzeuge integrieren und so im Sinne der Infrastruktur beispielsweise Sehlagloeher auf einer St raise erkennen, die dem zustandigen Ministerium fiir Strafsenbau auf Bundes-, Landes- und Gemeindeebene zur Verfiigung gestellt werden.

Die vorgestellten fiinf Dienstarten sind nieht als disjunkt zu betraehten, sodass manehe Anwendungsfalle nieht eindeutig einer Dienstart zuordenbar sind: Typisehe Anwendungen wie der Stanmeldeserviee, Informationen zu Tankstellen auf der Route oder das Beriieksieh- tigen des Batteriestandes eines Elektroautos werden im Rahmen dieser Arbeit auf Basis der besehriebenen Abgrenzungen zu Navigation gezahlt, insbesondere wenn die Abfrage iiber ein Xavigationsgerat verlauft. Sofern jedoeh ein Internet-Browser verwendet wird, konnte die Funktionalitat zu Infotainment gereehnet werden. Falls eine App dabei auf das Fahrzeug zugreift, konnte sie aueh den Integrierten Diensten zugeordnet werden,

Im Hinbliek auf die fortsehreitende Vernetzung sehreitet die Elektronifizierung des Fahrzeugs mit der Weiterentwieklung dieser Dienstarten voran. Die Bedienungsmogliehkeiten fiir Fahrer und Insassen vervielfaltigen sieh, Gleiehzeitig reprasentiert der Zugriff auf das Fahrzeug und der Zugang des Fahrzeugs auf externe Systeme und Dienste ein Risiko fiir die Sieherheit - ein Aspekt, weleher neben den Werten Freiheit und Mobilitat bei einem Fahrzeug von besonderer Bedeutung ist | 3K14|, Fiir die thematisehe Einordnung dieser wissensehaftliehen Arbeit ist herauszustellen, dass der Forsehungsrahmen explizit die ersten drei Dienstarten Navigation11, Jnfotainment11 und Jntegrierte Dienste11 umfasst, wahrend „Car2x“ und „Big Data11 nieht beriieksiehtigt werden, Der Fokus liegt auf der Kommunikation innerhalb des Fahrzeugs sowie den Zugriff auf das Fahrzeug von aufien.

2.4 Sicherheitsanforderungen an die Fahrzeugarchitektur

Jahrlich sterben laut der Weltgesundheitsorganisation 1,24 Millionen Mensehen bei Ver- kehrsunfallen |Smil , S,37|, Daher ist nieht verwunderlieh, dass in deutsehen Umfragen beim Autokauf das Kriterium „Sieherheit11 neben „Qualitat“ an erster Stelle steht, wahrend „inte- grierte Kommunikation11 bislang den letzten Platz einnimmt |FF12, S,14|, Dadureh entsteht fiir den OEM die Verpfliehtung, besondere Verantwortung fiir die Fahrzeugsieherheit zu iibernehmen und somit vom Design des Fahrzeugs, iiber die Auswahl der Lieferanten bis hin zur fehlerfreien Ausfiihrung des Produktionsplans stets mit Integritat fiir das Ziel „Sieher- heit11 zu handeln, Fiir die Unterhaltungselektronik und Mobilfunkindustrie allerdings spielt Sieherheit nieht die Hauptrolle: Wahrend ein Fahrzeug bei teehnisehen Schaden Mensehenle- ben gefahrden kann, sind ein beschadigtes Display, eine Fehlfunktion im Betriebssystem des Smartphones oder eine wiederholt abbreehende Verbindung fiir den Benutzer ungefahrlieh und akzeptierbar. So kann es beispielsweise bei mehreren iPhone-Modellen zum Abbrueh eines Telefonates dureh den „Todesgriff“ - einen bestimmten Haltewinkel des Cerates - kom- men. In den Zertihzierungstests sind diese Mangel nieht bemerkt worden, jedoeh in der Benutzung durch Endkunden hauhg vorgekommen [ + , S.4], Derartige Fehler konnen im Fahrzeug zu verheerenden Folgen fiihren, Insgesamt wird im Infotainment-Bereieh und in der Unterhaltungselektronik der Term Sieherheit bevorzugt mit Datensehutz und Da- tensieherheit assoziiert, wahrend die Zuverlassigkeit des teehnisehen Cerates vernaehlassigt wird.

2.4.1 Unterscheidung zwischen Safety und Security

Im Allgemeinen ist beim Automobil wio bei jedem Produkt dor Untorsohiod zwischen Be- triebssieherheit und Gebrauchssicherheit zu botraohton. Im Rahmen dieser wissenschaftdichen Arbeit spielt jedoeh aueh der davon unabhangige Angriffssehutz eine relevante Rolle:

- Betriebssicherheit bezeichnet den Teil der Sicherheit, der durch die Spezifikation des Produkts gewahrleistet wird, Dabei ist zu iiberpriifen, ob das Produkt die Funktionen korrekt ausfiihrt, d.h. so wie sie vom Hersteller vorgesehen sind. Die Entwieklung von software-basierten Fahrzeugsystemen erfolgt unter Befolgung des Standards ISO 26262 - Funktionale Sicherheit fiir Strafsenfahrzeuge |Orgll|, |Hill], S,91|,
- Gebrauchssicherheit bezeichnet den Teil der Sicherheit, der wahrend der Bedienung des Produkts durch den Kunden gewahrleistet wird, Es ist zu iiberpriifen, ob ein funktional sicheres Produkt in speziellen Anwendungsfallen oder bei Fehlgebraueh des Kunden das gewiinsehte Verhalten aufweist,
- Angriffssehutz bezeichnet den Teil der Sicherheit, der wahrend mutwilliger Attacken von aufien auf das Fahrzeug gewahrleistet wird, Dazu zahlen physisehe Diebstahl- und Besehadigungsversuehe genauso wie Malware auf virtueller Ebene,

Wahrend in der deutsehen Spraehe in alien drei Fallen der Term „Sichorheit“ verwendet wird, unterseheidet der englisehe Wortschatz die zwei Oberbegriffe „Safoty“ und „Security“: „Safoty“ bezeichnet den Schutz der Umwelt vor dem Fahrzeug, was mit Betriebssicherheit und Gebrauchssicherheit erreieht werden soil, Als „Security“ hingegen wird der Schutz des Fahrzeugs vor der Umwelt benannt, worunter Angriffssehutz fallt |PhO , Summary|,

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2,3: Unterscheidung zwischen Safety und Security

Die Zuordnung ist in Abbildung 2,3 dargestellt, Betriebssicherheit reprasentiert fiir den Au- tomobilhersteller die zu erfiillende Mindestvoraussetzung, bevor fiir ein Modell die Serien- produktion zugelassen wird, Fehler in der Betriebssicherheit konnen zu Riickrufaktionen fiihren, wie beispielsweise aufgrund von Problemen mit der Servolenkung, den Gaspedalen und den Bremsen bei versehiedenen Fahrzeugreihen von Toyota im Jahr 2010, „Insgesamtwurden iibor 8,5 Millionon Fahrzeuge in mohroron Aktionon zuriickgerufen11 |Weyl2, S,37|, Da hiormit nicht nur finanziollo Bolastungon, sondorn auch ein Roputationsvorlust vorbundon sind |Coo07, S,163|, nimmt die Betriebssicherheit wahrend der Entwieklung und der Tests zunaehst die oberste Rolle ein,

Jedoeh ist keine Sieherheit geboten, wenn nicht moglichst viele Anwendungsfalle und Ge- brauehsfehler - die Gebrauehssieherheit - beriicksichtigt sind: Eine fast vollstandige Ge- brauehssieherheit ist nur naeh dem „Poka Yoke“-Prinzip moglich, welches u.a. dafiir sorgen kann, dass das Zapfventil an einer Diesel-Zapfsaule nur in ein Dieselfahrzeug eingefiihrt wer- den kann sowie dass der Tankvorgang bei vollem Tank automatiseh beendet wird |SysO(, S,102|, Im Fahrzeug selbst helfen Fahrerassistenzsysteme, wie beispielsweise das Antiblo- ekiersystem (ABS), das Elektronisehe Stabilitatsprogramm (ESP), der Bremsassistent odor auch der Abstandsregeltempomat, bereits traditionellerweise in verschiedenen Situationen; kiinftige Systeme konnten beispielsweise durch mehr Kontakt zum Fahrer auch weitere Be- dienungsfehler vermeiden. Ein Beispiel fiir Betriebsfehler ist das Problem, dass 41 % der 18- bis 29-jahrigen Autofahrer in Deutschland wahrend der Fahrt Textnachrichten schreiben odor lesen |GD14|. Ein vorgeschriebener Anschluss des Smartphones an das Multimedia-System und die Xutzung iiber Sprachbefehle konnte diese Risiken senken, jedoeh neue Gefahren in sieh bergen, die in Abschnitt 4,2 analysiert werden, Ein weiteres grundlegendes Problem liegt darin, dass die Betriebssicherheit in der Unterhaltungselektronik eine vergleichsweise untergeordnete Rolle spielt und den Anfor der ungen des Automobils nicht geniigt, Ebenso kann die Bedienung im Automobil gewohnungsbediirftig sein und zu bisher unbekannten Gebrauchsfehlern durch den Anwender fiihren, Weitere neuartige Gefahren gehen jedoeh besonders von mutwilligen Haekerangriffen auf das Fahrzeug aus, welche in den Bereich des Angriffssehutzes fallen |VM14|,

Es besteht damit insgesamt die Gefahr, dass durch die Vernetzung des Fahrzeugs mit Konsu- melektronik die Betriebssicherheit, die Gebrauehssieherheit und der Angriffssehutz reduziert werden, Dabei ist anzumerken, dass der Fokus dieser Arbeit zur Konzeption einer sicheren Fahrzeugarchitektur auf Security liegt, wahrend Safety lediglich in ihrer Schnittmenge mit Security betrachtet wird,

Xeben der Unterscheidung zwischen Betriebssicherheit, Gebrauehssieherheit und Angriffs­sehutz sind die folgenden Sicherheitsanforderungen an die Fahrzeugarchitektur zu erklaren, Diese werden zur Analyse der Gefahrenpotentiale und zur Bewertung der vorgeschlagenen Konzepte herangezogen.

2.4.2 Physische Sieherheit von Mensch, Fahrzeug und Umgebung

Die traditionelle Anforderung an ein Fahrzeug stellt die physische Sieherheit dar: Sowohl Betriebs- als auch Gebrauehssieherheit und Angriffssehutz sollen das Leben und die Ge- sundheit der Insassen, den Zustand des Fahrzeugs sowie die Unversehrtheit von Passanten, anderen Verkehrsteilnehmern und der Infrastruktur gewahrleisten. An die Fahrzeugarchitek­tur werden damit hohe Erwartungen gestellt [ + , S.l],

Betrachtet man beispielsweise eine Applikation, die durch einen Kliek vom Smartphone aus das Ein- und Ausparken des Fahrzeugs erlaubt, so wird die Information zunaehst im Smart­phone verarbeitet, dann auf kabellosem Wege zum Fahrzeug iibertragen, dort von externer Seite aufgenommen und vom Programm fiir das automatische Parken so an die Steuergerate iibersetzt, dass das Fahrzeug die notwendigen Bewegungen ausfiihrt. Auf diesem Kommuni- kationsweg bestehen mehrere Fehlerquellen, wie beispielsweise

- Diebstahl des Smartphones und Fremdbedienung
- versehentliches Bedienen des Smartphones
- Kompatibilitatsschwierigkeiten zwischen der Applikation und dem Betriebssystem des Smartphones
- ungesicherte kabellose Verbindung
-
- Fahrzeugteile sind umgebaut worden und nicht kompatibel mit dem System
- falscher Befehl vom Fahrzeug erfasst
- auf dem Fahrzeug ist eine andere Version der Applikation installiert
- das automatische Parken funktioniert nicht fehlerfrei an diesem Ort

Eine solehe Applikation, die fiir den Benutzer an der Oberflaehe ganz simpel erseheint, verbirgt also einen Komplex aus versehiedenen Medien, die alle aufeinander abzustimmen sind und eine Gefahr fiir die physisehe Sieherheit reprasentieren konnen.

2.4.3 Keine Ablenkung des Fahrers

Dureh die Elektronihzierung des Automobils entstand die Anforderung, die Ablenkung des Fahrers von der Fahrtatigkeit - auf Engliseh „driver;s distraction11 - so gering wie moglieh zu halten, Dabei kategorisiert die „Xational Highway Traffic Safety Administration11 (XHTSA) Ablenkungen des Fahrers als „visuell“. „auditiv“. „biomechanisch“ oder „kognitiv“ |RMGG0C. S.l|.

- Visuelle Ablenkungsquellen lenken den Blick von der Fahrbahn, Im Falle eines Multimediasvstems gehoren dazu insbesondere ein flackernder Bildschirm und visuelle Xavigationsauskiinfte,
- Samtliche Gerausche, die fiir den Fahrer iiberraschend auftreten, sind auditive Ab­lenkungen und konnen zu einer fehlerhaften und riskanten Reaktion wie das Umreifsen des Lenkrads fiihren, Beginnend bei der Meldung einer geringen Tankfiillung iiber das Radio bis hin zum Xavigationsgerat beinhaltet das nicht-vernetzte Automobil bereits auditive Ablenkungsquellen, Durch ein neues app-basiertes Multimedia-System kom- men das Vorlesen von Xachrichten oder weitere Signale und Sprachmitteilungen hinzu, Als neue Ablenkungsquelle, die seit der Einfiihrung der Software „Siri“ im Jahre 2011 zum Standard in der Unterhaltungselektronik gehort |Mozl , S,24|, lasst sich hier das Diktieren einer Xachricht und samtliche Steuerung iiber Sprache verorten, Die- se Funktionalitat konnte beispielsweise unter streitenden Insassen dazu fiihren, dass verschiedene Befehle gleichzeitig gegeben werden.
- Eine biomechanische Ablenkung entsteht dadurch, dass der Fahrer mit seinem Korper bostimmto Bowogungon ausfiihrt, die seine Konzentration auf die Fahrt be- eintraehtigen, Traditionellerweise gehoren dazu die Bedienung eines Smartphones, des Radios oder des Xavigationsgerates dnreh Handbewegungen genauso wie das Snehen naeh Gegenstanden im Fahrzeug. In vielen Geraten soil dies dadurch unterbunden wer- den, dass die Beriihrung der Bildsehirmoberflaehe fiir den Fahrer nur im Stand moglieh ist oder samtliehe Steuerung iiber Spraehe erfolgt, Allerdings kann die Funktionalitat, dem Fahrer nur im Stand die Bildsehirmberiilirung zuzulassen den Beifahrern jedoeh aueh wahrend der Fahrt, dazu fiihren, dass der Fahrer wahrend der Fahrt versueht, naeh dem Beifahrerbildsehirm zu greifen,
- Eine kognitive Ablenkung liegt vor, wenn der Fahrer in Gedanken versunken oder miide ist, Dureh Miidigkeitsmessungen konnte der Fahrer gewarnt werden, bevor er am Steuer einsehlaft |BSEW1 , S,39|, Vor Fehlverhalten dureh Tagtraume sehiitzt aller­dings kein Sensor,

Daraus lasst sieh sehliefsen, dass Applikationen, die auf einem mobilen Gerat ungefahrlieh sind, sieh im Automobil zur Gefahrenquelle fiir die Aufmerksamkeit des Fahrers entwiekeln konnen, Gleiehzeitig besteht jedoeh aueh die Mogliehkeit, dureh gewisse Funktionalitaten die Ablenkung zu verringern.

2.4.4 Human-Machine-Interface (HMI)-Hoheit

Die Dienste eines nieht-vernetzten Automobils behnden sieh vollstandig im Einflussgebiet des OEM, Aufgrund der Offnung der Fahrzeugarehitektur wird zwar das Funktionsangebot als absolute Grofse erweitert, Allerdings wird das Einflussgebiet des OEM als relative Grofse verringert, da andere Akteure besonders aus der Unterhaltungselektronik, der Applikations- entwieklung und der Telekommunikation an Einfluss gewinnen, Der OEM stellt daher die Anforderung an die Kooperationsvertrage und die Fahrzeugarehitektur, so viel eigenen Spiel- raum wie moglieh zu wahren und wegen fehlender Expertise so viele Aufgaben auszugliedern wie notig (siehe Absehnitt 2,2),

Die Bedienungsoberflaehe am Armaturenbrett - das Human Machine Interface (HMI) - spie- gelt dabei aueh den Grad der Offnung gegeniiber den anderen Akteuren wider - daher kann diese Anforderung als „HMI-Hoheit“ bezeiehnet werden: Bei einem weiterhin vollstandig ge- sehlossenen System wiirde der OEM aussehliefslieh eigene Applikationen anbieten, die auf einem eigens programmierten Betriebssvstem mit durehgangig gleiehmafsigem Layout ver- wendet wiirden. Die Anbindung des Fahrzeugsystems an ein Smartphone oder Tablet sowie die Verwendung eines Browsers und die tarifliehe Regelung des Internetzugangs impliziert bereits die Abgabe einzelner Einflussbereiehe und die Aufnahme gewisser Sieherheitsrisiken dureh die Vernetzung, Eine besonders relevante Rolle spielt dabei das optisehe Erseheinungs- bild der Bedienungsoberflaehe: Ein Hersteller, der Automobile als Luxus- und High-End- Produkte entwiekelt, legt Wert auf eine einheitliehe Optik des Armaturenbretts, weshalb eine von Drittanbietern programmierte Applikation mit unpassenden Elementen die Seriosi- tat des OEM gegeniiber dem Kunden reduzieren liefse, Im Gegensatz dazu kann es fiir den Xutzer von Vorteil sein, die gewohnte Bedienoberflaehe des Smartphones aueh im Fahrzeug wiederzufinden, Dabei kann eine intuitive Bedienung insbesondere angesiehts der Gebrauchs- sieherheit vor Fehlbedienung sehiitzen |BSEW13, S,10|,

2.4.5 Datenschutz und Datensicherheit

Im Kontext dieser wissensehaftliehen Arbeit bezeiehnet „Datensehutz“ den Sehutz einer na- tiirliehen Person vor der Verletznng von Personliehkeitsreehten |WHB12, S,246|, Im Multi­media-System gibt der Kunde dafiir an, welehe Daten in weleher Situation von welehem Akteur gesammelt werden diirfen,

„Datensieherheit“ hingegen bezeiehnet den Sehutz von hardware-, software- und anwendungs- bezogenen Daten vor Verlust, Zerstorung und Missbraueh dureh Unbefugte |WHB1: , S,246|, Dies definiert die Anforderung an das System, dass Datensehutzangaben des Kunden nieht missbraueht sowie Vertrauliehkeit im Hinbliek auf Xutzung, Weitergabe und Veroffentliehung der Daten siehergestellt werden, Xeben dieser Integritat auf moraliseher Ebene seitens al- ler Akteure, sind aueh angemessene teehnisehe Meehanismen zur Speieherung, Freigabe und Ubertragung von Daten zu gewahrleisten,

Alles in allem lasst sieh unterseheiden, dass Datensehutz die Person sehiitzt, wahrend Da- tensieherheit die virtuellen Daten- und Informationseinheiten sehiitzt, Viele Probleme und Losungen fallen jedoeh in beide Bereiehe, sodass eine grofse Sehnittmenge besteht |WHB12, S.246I.

Wahrend die Forderung naeh „physiseher Sieherheit11 bereits im nieht-vernetzten Automobil besteht, gelangt die Thematik „Datensehutz und Datensieherheit11 aus dem Soeial-Media- Bereieh in das Fahrzeug |Taml2, S,10|, Aus der Sehnittstelle von Automobil und mobilen Geraten der Unterhaltungselektronik wiederum gewinnen die Sieherheitsanforderungen „kei- ne Ablenkung des Fahrers11 und „HMI-Hoheit“ an Relevanz, Inwiefern ein OEM die Betriebs- sieherheit, Gebrauehssieherheit und den Angriffssehutz des angebotenen Fahrzeugs gemafs der vier Sieherheitsanforderungen an die Fahrzeugarehitektur gewahrleisten kann, hangt da- von ab, wie viel Spielraum den anderen Akteuren gegeben wird, Untersehiedliehe bereits bestehende Systeme prasentieren die Vielfalt an Optionen, denen sieh der OEM gegeniiber sieht.

2.5 Ubersicht bestehender Multimediasysteme

Viele Kraftfahrzeughersteller haben sieh bereits fiir erste Systeme entsehieden, die Infotain­ment und integrierte Dienste dureh Vernetzung des Fahrzeugs mit Konsumelektronik er- mogliehen |BSEW1 , S.39 ff,|, Aufgrund der Vielzahl an Features, Bepreisungsoptionen und eingesetzten Teehnologien variieren die endgiiltigen Losungen der OEMs und Drittanbie- ter, Trotzdem lassen sie sieh auf drei grundlegende Systemarten zuriiekfiihren: „brought-in“, „embedded“ und „hybrid“.

2.5.1 Brought-In-Systeme

In einem „Brought-In-System“ werden sowohl der Internet-Zugang als aueh samtliehe An- wendungen auf dem Smartphone zur Verfiigung gestellt. Dieses in das Fahrzeug eingebraehte - brought-in - Gerat verbindet sieh mit oder ohne Kabel mit dem in die Fahrzeugarmatur eingebauten System, Im Regelfall sind dann die Smartphone-Applikationen auf dem einge- bauten Bildsehirm bedienbar, laufen aber vollstandig auf dem Smartphone, Das Fahrzeug dient dafiir als externes Ein- und Ausgabegerat,

Da das HMI die Ausfiihrung einer Applikation vornimmt und die Aktivitaten einheitlieh dar- stellt, konnen Smartphones untersehiedlieher Hersteller beispielsweise iiber standardisierte Sehnittstellen verwendet werden |BSEW13, S,38|, Ebenso wird die Open-Souree-Entwieklung von Applikationen unterstiitzt, Gleiehzeitig ist die Implementierung einer HMI, die mit alien Betriebssystemen kommunizieren kann, nieht nur sehwer zu realisieren, sondern aueh mit Ri- siken verbunden: Die von Drittanbietern programmierten Applikationen auf dem Smartphone konnen Malware oder andere unkontrollierte und unerwiinsehte Funktionalitaten beinhalten, welehe die Sieherheitsanforderungen gefahrden (siehe Absehnitt 4,1,2),

2.5.2 Embedded-Systeme

In einem Embedded-System sind samtliehe Applikationen auf dem eingebauten Multimedia- System installiert und die Internetverbindung wird ebenfalls iiber das Fahrzeug bereitgestellt, Ein Smartphone wird nieht benotigt |BSEW13, S,38|, Der OEM hat eine hohe Kontrolle iiber das System, liisst nur eigene Applikationen zu und kann auf die Sieherheitsanforderungen besondere Riieksieht nehmen, Im idealisierten Fall miissen alle Applikationen vom OEM erstellt und gepriift werden, Allerdings besit- zen Fahrzeughersteller bisher geringere Kompetenzen in der App-Programmierung in kurzen Entwieklungs-Zyklen als Drittanbieter (siehe Absehnitt 4,1,1),

2.5.3 Hybrid-Systeme

In einem Hybrid-System konnen sowohl OEM-eigene Applikationen des eingebauten Mul- timediasystems benutzt sowie die Anwendungen auf einem Smartphone eingebunden wer­den, Ob die Internetverbindung iiber das Fahrzeug oder iiber das mobile Gerat erfolgt, ist nieht eindeutig, Insgesamt werden die Vorteile, aber aueh Xaehteile von Brought-In- und Embedded-Systemen vereint | SSEW13, S,38|,

Zahlreiehe Applikationen von Drittanbietern konnen genutzt, aber wahrseheinlieh nieht je- des Endgerat mit dem Fahrzeug verbunden werden. Das System wird komplexer, da aueh Sehnittstellen zwisehen OEM-eigenen und -fremden Anwendungen entstehen und Tarife un- klar sein konnen, Dem Kunden, dem OEM und den Drittanbietern bietet es jedoeh eine hohere Flexibilitat,

2.5.4 Beispiele

Exemplariseh werden bestehende Systeme den drei Typen zugeordnet und naher besehrieben,

2.5.4.1 MirrorLink

„MirrorLink“ des Car Connectivity Consortiums entsprieht der vorhergehenden Dehnition eines Brought-In-Systems, Das Infotainment-System spiegelt auf dem eingebauten Display genau die Oberflaehe des Smartphones wider, Jede Benutzung auf dem Display wird an das Smartphone umgeleitet und die gewiinsehte Funktionalitat dort ausgefuhrt, Um der Sieherheitsanforderung „keine Ablenkung des Fahrers11 gereeht zu werden, konnen die meisten Programme aussehliefslieh im Stand verwendet werden, Xur zertihzierte Applikationen sind wahrend der Fahrt zugelassen, beispielsweise ein Internetradio-Player, eine Loeation-Suehe und eine Spritsparhilfe |Grul4|,

Das System hndet unter anderem Anwendung im VW Polo, VW Golf, bei Honda, Toyota, Peugeot, Citroen und in Aftersales-Losungen |Shel4a| und |Shel4b|, Alfred Tom vom Car Connectivity Consortium erklart: „Die Idee ist, das Smartphone des Fahrers als ersehwing- liehe Mogliehkeit zu nutzen, sieh im Fahrzeug mit der Cloud zu verbinden, |,,,| Bis jetzt haben Automobilhersteller Vernetzungsteehnologien nur in teureren Modellen in etablierten Markten prasentiert, Wir brauehen ersehwingliehere Losungen an Orten wie China, Indi- en, Russland, Osteuropa und Lateinamerika “ |WG11|, Dies deutet darauf hin, dass solehe Brought-In-Systeme derzeit eher fiir Low-End-Fahrzeuge konzipiert werden.

2.5.4.2 Apple CarPlay und Android Auto

Der Einfluss und die Expertise der traditionellen Hersteller von Konsumelektronik und App- Entwiekler wird besonders anhand der Systeme „CarPlay“ von Apple und „Android Auto“ von Google siehtbar | 3SEW1-:, S,43|,

Beide Unternehmen stellen ein hybrides System mit Brought-In-Tendenz vor: „Es gab Spe- kulationen, dass die Smartphone-Apps einfaeh nur auf dem Bildsehirm gespiegelt wiirden. Dies ist sieherlieh nieht der Fall,11 |Xell4| erklaren Entwiekler von Android Auto im Sillieon Valley, Diese Aussage ist damit zu erlautern, dass Apple CarPlay und Android Auto ahnlieh zu MirrorLink darauf basieren, dass ein Smartphone bzw, iPhone iiber ein USB-Kabel mit dem Multimedia-System des Fahrzeugs verbunden werden muss, um die Funktionalitaten nutzen zu konnen, Als weitere Parallele zu MirrorLink ist zu nennen, dass insbesondere die Dienstarten Xavigation und Infotainment zur Verfiigung gestellt werden, wahrend Fahrzeug- bezogene Dienste vom OEM prazise in ihren Zugriffsmogliehkeiten eingesehrankt oder gar nieht erst vorgesehen sind |WieP , S,7|,

Der Untersehied zu MirrorLink liegt jedoeh darin, dass iiber Spraehsteuerung beispielweise mit Siri bei Apple CarPlay die Bedienung aueh wahrend der Fahrt moglieh ist, Dafiir sind am Lenkrad zusatzliehe Bedienelemente angebraeht |Gool4|, |Appl4|, um Befehle und An- forderungen anzukiindigen, Laut eigener Angaben wurden zahlreiehe Applikationen auf eine Bedienung im Fahrzeug hin modihziert |Appl4|, Allerdings sind die Systeme nieht mit jedem Gerat kompatibel, sondern erwarten die Betriebssysteme Android bzw, iOS, Daher planen viele Automobilhersteller - wie Audi - CarPlay und Android Auto in bestimmten Fahrzeugen gleiehzeitig unterzubringen |Audl4|, Dieses Vorgehen, falls teehniseh moglieh, seheint nahe- liegend, denn 95% aller Smartphones weltweit verwenden Android oder iOS als Betriebs- system |Xell4|, Kein Kunde, kein Automobilhersteller und letztlieh aueh weder Apple noeh Google moehten die Entseheidung fiir den Kauf eines Fahrzeugs von dem Betriebssystem des Smartphones oder umgekehrt abhangig maehen |Frel4|, Zudem bestehen Android- und iOS-Betriebssysteme in versehiedenen Versionen, die untereinander bereits nieht kompatibel sind.

2.5.4.3 BMW ConnectedDrive

BMW ConneetedDrive reprasentiert ein hvbridos System mit Embedded-Tendenz: Das Fahr- zeug besitzt eine integrierte SIM-Karte, stellt die Internetverbindung selbst her und wird so zu einem eigenen mobilen Endgerat, Zwar lasst sieh aueh im BMW das Smartphone an- sehliefsen, um Kontakte und Musik abzurufen, aber der Fokus liegt eindeutig auf einer von den iibliehen Anbietern unabhangigen Plattform,

Anders als die zuvor genannten Svsteme werden samtliehe Applikationen von BMW selbst programmiert, eingebunden und auf Sieherheit wahrend der Bedienung und der Fahrt ge- priift. Dabei existieren neben den iibliehen Infotainment-Anwendungen aueh fahrzeugbezo- gene Dienste: Mit „MvBMW Remote11 konnen iiber das Smartphone Funktionen zur Kli- matisierung, Tiiren auf- und zusehliefsen, Hupe oder Liehthupe aktiviert werden, Fiir das Elektroauto BMWi wird aueh der Reiehweitenassistent und die Ladesaulenanzeige verwen- det, um eine mogliehst effiziente Route zu bereehnen, Dariiber hinaus werden aueh Komfort- und Fahrassistenzsysteme vernetzt, wie beispielsweise der Abstandsregler, Real Time Traf- he Information zur Stauumfahrung oder eine Warmebildkamera fiir die naehtliehe Fahrt |BMW13|.

Die Tatsaehe, dass alle Anwendungen von BMW erstellt werden, erlaubt erst eine weit- reiehende Verwendung fahrzeugbezogener Dienste, Aueh Mereedes-Benz |Merl4| und Audi |Audl4| weisen Multimedia-Systeme auf, die ohne Smartphone OEM-eigene Applikationen und Internetzugriff ermogliehen. Dies wiederum lasst darauf sehliefien, dass fiir High-End- Fahrzeuge Embedded-Systeme bevorzugt werden.

Abbildung in dieser Leseprobe nicht enthalten

3. Technische Grundlagen der Fahrzeug- und Smartphone-Architekturen

Unabhangig von den znvor besehriebenen bestehenden Systemen warden in dieser Arbeit Konzepte fiir cine vernetzte Fahrzeugarehitektur erarbeitet, welehe die Sieherheitsanforde- rungen mogliehst gut beriieksiehtigen, Bevor diese Modelle allerdings besehrieben warden konnen, sind zunaehst einzelne IT-teehnisehe Bereiehe aus der Fahrzeugelektronik, der Kon- sumelektronik und der PC-Welt zu erlautern, In diesem Kapitel warden diese teehnisehen Grundlagen - unterteilt auf vier Ebenen - behandelt.

3.1 Betrachtung auf vier Ebenen

Um ein iibergreifendes Konzept fiir ein Multimedia-System im Fahrzeug erstellen zu konnen, wird der Kommunikationsweg zwisehen einem externen vernetzten Gerat bis hin zum Steu- ergerat grob unterteilt, Dabei kristallisieren sieh die folgenden vier zu betraehtenden Ebenen her aus, die in Abbildung 3,1 zu or konnen sind:

1, Physische Ebene: Auf der physisehen Ebene sind die Steuergerate, Sensoren und Ak- toren angesiedelt, die letztlieh die erforderliehen Funktionen im Fahrzeug ausfiihren.

[...]