12.12.2022

Security-Experten von ETAS leiten Entwicklung neuer AUTOSAR-Firewall-Spezifikation

Fahrzeugarchitekturen werden immer komplexer und Automotive Ethernet gewinnt zunehmend an Bedeutung. Vor diesem Hintergrund hat AUTOSAR beim diesjährigen Feature Release am 24. November eine neue Spezifikation vorgestellt, deren Entwicklung Experten von ETAS geleitet haben: Ab sofort wird der standardisierte Security-Baustein „Firewall“ im Sicherheitsportfolio der Middleware enthalten sein. Dies erleichtert OEMs unter anderem einheitliche fahrzeugweite Konfigurationen von Firewalls.

Im Software-definierten Fahrzeug (SDV) der Zukunft wird Automotive Ethernet ein Kommunikationsstandard sein, bereits heute hält die Technologie vermehrt Einzug ins Bordnetz. Denn Ethernet-basierte Bordnetz-Architekturen erlauben höhere Datenmengen und Übertragungsraten, sie bieten aber auch neue Angriffsvektoren. Daher braucht es Ethernet-spezifische Security-Komponenten zur Abwehr von Cyberattacken.

AUTOSAR, der gemeinsame Software-Standard führender Automobilhersteller und Zulieferer, hat das Ziel, die wachsende Komplexität von Software in modernen Fahrzeugen mithilfe einer Middleware-Spezifikation beherrschbarer zu machen. AUTOSAR bietet verschiedene Bausteine, die für die Applikationen im Fahrzeug verwendet werden können – insbesondere auch IT-Sicherheitsbausteine. Experten von ETAS arbeiten seit vielen Jahren im Security Gremium des AUTOSAR-Konsortiums und haben so in einem ersten Schritt die Anforderungen an den neuen Security-Baustein „Firewall“ formuliert. Darauf folgte die Entwicklung und Standardisierung des Moduls, die ETAS maßgeblich vorantrieb und leitete. Im Ergebnis wurde das Feature nun veröffentlicht und ist ab sofort für AUTOSAR Adaptive verfügbar und im kommenden Jahr für die Classic-Plattform. Mit der neuen Spezifikation erfüllt AUTOSAR eine wichtige Voraussetzung, um die künftigen Cybersecurity-Herausforderungen in hochgradig vernetzten, zunehmend Software-definierten Fahrzeugen, zu meistern.

AUTOSAR gibt damit nun auch für Firewalls die Spezifikationen vor, die Security-Lösungsanbieter wie ETAS dann in ihre AUTOSAR-Stacks für OEMs und Zulieferer implementieren. Der große Vorteil ist: Da AUTOSAR heute weithin für die E/E-Architekturen genutzt wird und in vielen ECUs bereits eingesetzt wird, lassen sich die entsprechend AUTOSAR-spezifizierten Firewall-Richtlinien dort leicht integrieren.

„Ein wichtiger Aspekt der neuen Spezifikation ist die Einführung einer einheitlichen Sprache zur Konfiguration von Firewalls, was zu einem deutlich vereinfachten Anforderungsaustausch mit geringerer Fehlerquote und besserer Nachverfolgbarkeit führt“, erläutert Dr. Michael Peter Schneider, Sprecher der Arbeitsgruppe Security bei AUTOSAR und Lead Technical Officer AUTOSAR Security bei ETAS.

Firewall für Automotive Ethernet

ETAS konnte bei der Entwicklung des neuen Security-Bausteins auf langjährige Erfahrungen beim Thema Firewall zurückgreifen: Die Automotive Ethernet Firewall ESCRYPT CycurGATE ist bereits heute auf die zukünftige Bordnetz-Architektur von Fahrzeugen ausgelegt und bei vielen Kunden praxiserprobt. Diese Firewall bietet Schutz vor Denial-of-Service-Angriffen und kontrolliert die autorisierte Kommunikation innerhalb des fahrzeugeigenen Netzes. Darüber hinaus unterstützt sie dessen Segmentierung in virtuelle lokale Netzwerke (VLANs). ESCRYPT CycurGate ist als Switch-basierte und als Software-basierte Variante erhältlich. Die Switch-basierte Variante kann direkt in Smart Ethernet Switches implementiert werden und die Software-basierte Variante kann in jedem Mikrocontroller oder Mikroprozessor laufen, auf dem Adaptive, Classic AUTOSAR oder ein anderes Betriebssystem verwendet wird. Eine spezifische Integration in gängige Betriebssysteme wie QNX und Linux ist ebenfalls möglich.

„Die Konfiguration der Ethernet-Firewall und des Intrusion Detection Systems (IDS) wird eine Kernaktivität für zukünftige E/E-Architekturen sein. Eine gemeinsame Sprache für die Firewall-Regeln und die Anbindung an den IDS-Manager wird in Zukunft insbesondere Distributed Firewalls helfen“, ergänzt Dr. Siddharth Shukla, Senior Product Manager, Network Intrusion Detection System (IDS) & Firewall.

Ebenfalls im Newsroom zu finden