Schutzengel 2010
Die EU-Initiative eSafety will bis 2010 die Zahl der Unfalltoten halbieren. Ein Mittel dafür soll die Fahrzeug-zu-Fahrzeug-Kommunikation werden: Autos tauschen per Funk Informationen über den Straßenzustand aus und warnen ihre Fahrer
Die EU-Initiative eSafety will bis 2010 die Zahl der Unfalltoten halbieren. Ein Mittel dafür soll die Fahrzeug-zu-Fahrzeug-Kommunikation werden: Autos tauschen per Funk Informationen über den Straßenzustand aus, warnen ihre Fahrer und beschleunigen so den unfallvermeidenden Tritt aufs Bremspedal.
Es ist 19:30 Uhr. Ein zu langer Arbeitstag liegt hinter Lars Jensen und noch 70 Kilometer Autobahn vor ihm. Müde ordnet er sich auf die Spur zur Auffahrt ein – und steigt voll in die Eisen. Hinter der Kurve steht nämlich schon das erste von hunderten Stauopfern.
Schutzengel 2010 (0 Bilder) [1]
Die Technik soll Staus vermeiden
So sieht Autofahren häufig aus, muss es aber nicht: Politik, Wissenschaft und Wirtschaft möchten mit Hilfe von Fahrzeug-zu-Fahrzeug-Kommunikation (Car-to-Car Communication, C2C) Staus vermeiden. Das wichtigere Ziel ist aber, die Sicherheit zu steigern, denn in der EU sterben jährlich 40.000 Menschen durch Verkehrsunfälle. Die eSafety-Initiative der EU will diese Zahl bis 2010 halbieren [1 [3]].
Bisher kamen im Automobil überwiegend passive Sicherheitssysteme zum Einsatz, die erst dann reagieren, wenn es eigentlich schon zu spät ist: Airbag, Gurtstraffer und Seitenaufprallschutz reduzieren die Folgen, können den Unfall aber nicht verhindern. Für die nächsten Jahre prognostizieren Verkehrsforscher, dass die Anzahl der Fahrzeuge auf europäischen Autobahnen schneller wächst als das Straßennetz. Die steigende Verkehrsdichte lässt die Zahl gefährlicher Situationen deutlich zunehmen und fordert vom Autofahrer deshalb erhöhte Aufmerksamkeit.
Sicherheitsproblem Fahrer
Schon heute geht mehr als ein Drittel aller Unfälle (36 Prozent) auf mangelnde Aufmerksamkeit zurück [2 [4]]. Dazu kommen zu hohe Geschwindigkeit (14 Prozent) und zu geringer Abstand (10 Prozent). Alle drei Faktoren beschneiden die Sicherheitsfrist: Der Fahrer braucht Zeit, die Situation einzuschätzen, zu reagieren und schließlich das Fahrzeug zum Stillstand zu bringen (Bremszeit). An der Reaktions- und Bremszeit lässt sich wenig ändern, aber aktive Sicherheitssysteme können beim Einschätzen der Verkehrssituation helfen und dem Fahrer eine zusätzliche Zeitreserve verschaffen.
Bisherige Telematik-Anwendungen wie der Verkehrsfunk sind dazu nicht in der Lage: Bis ein sicherheitsrelevantes Ereignis gemeldet wird, vergeht schon mal eine halbe Stunde, denn die gefährdenden Faktoren werden nicht automatisch erfasst [3 [5]]. Manche Meldungen warnen hingegen vor einem Stau, der sich längst aufgelöst hat. Die Rundfunksender können vor allem zu Stoßzeiten nur über eine Auswahl berichten, weil ihr Verbreitungsgebiet sehr groß ist: „Und jetzt alle Staus ab 10 km …“
Sensoren erfassen die Umgebung
Diese Probleme lassen sich nur mittels automatischer Erfassung der vielfältigen Ereignisse lösen, die den Verkehr beeinflussen. An Systemen dafür forschen verschiedene Gruppen schon seit über zwanzig Jahren. Aktuelle Fahrzeuge der Oberklasse haben serienmäßig längst mehr als 100 Sensoren, die ein detailliertes Bild der Umgebung des Fahrzeugs ergeben: ABS- und ESP-Sensoren liefern Daten über den Zustand der Straße (Rutschgefahr bei Nässe). Die vom Tacho gemeldete Geschwindigkeit und das Abstandsradar geben Hinweise auf die Verkehrsdichte. Doch dieser Schnappschuss gilt nur für die direkte Fahrzeugumgebung.
Der notwendige Schritt zu einer besseren Verkehrstelematik ist, mit einem Steuergerät die lokalen Informationen zu bewerten, per Funk an benachbarte Fahrzeuge zu senden und so einen differenzierten und frühzeitigen Situationsüberblick zu schaffen. Ein Ansatz ist beispielsweise das elektronische Bremslicht. Damit ist mehr gemeint als eine simple Helligkeitssteuerung, die bei einem hastigen Tritt aufs Pedal die Heckleuchten stärker strahlen oder flackern lässt.
Elektronisches Bremslicht
Bei starker Verzögerung sendet das elektronische Bremslicht Warn-Nachrichten. Als Funkmedium dafür kristallisiert sich zurzeit ein aus WLAN weiterentwickeltes System heraus. Die Funktelegramme enthalten die per GPS gewonnene Fahrzeugposition nebst Geschwindigkeitsvektor, einen Zeitstempel, die Koordinaten der Relevanzzone, eine Gültigkeitsdauer und einen Code für das Ereignis, eben die abrupte Bremsung. Die relative Größe der Relevanzzone wird für verschiedene Ereignisse im Voraus festgelegt; der Sender errechnet dann ihre absoluten Koordinaten aus seiner Position: Heftiges Bremsen interessiert Vorausfahrende kaum, Folgende dafür umso mehr.
Schutzengel 2010
Falls ein Empfänger in der Relevanzzone liegt, warnt er seinen Fahrer optisch, akustisch oder haptisch – vielleicht mit einem kurzen automatischen Bremser, der nur zu einem Ruck führt, aber das Fahrzeug nicht spürbar verlangsamt. Außerdem senden die benachrichtigten Fahrzeuge die Information als Repeater selbst wieder aus, um den Informationsraum zu vergrößern.
Nachrichtenkontrolle
Problematisch an dieser Schneeballstrategie ist eine mögliche Überlastung des Kommunikationsmediums durch die große Anzahl von Nachrichten. Daher muss ein Protokoll eine zeitliche und örtliche Rangfolge herstellen. Das geschieht zunächst per geeigneter Auswahl des nächsten Senders, um die gesamte Relevanzzone möglichst schnell zu versorgen. Sinnvollerweise liegt der nächste Sender deshalb räumlich möglichst weit hinter dem letzten. Auch ein nicht in der Relevanzzone liegendes Fahrzeug – etwa im Gegenverkehr – kann durch Weiterleiten Lücken schließen.
Weitere Mechanismen sorgen dafür, dass die Information so lange am Leben erhalten wird, bis ihre Gültigkeitsdauer abgelaufen ist oder sie durch eine aufhebende Nachricht wieder gelöscht wird. Weit von der Relevanzzone entfernte Fahrzeuge verwerfen die Nachricht, um Überlastung des Netzes durch nicht relevante Daten zu vermeiden.
Marktdurchdringung entscheidend
Auch zu geringe Verbreitung ist für intelligente Fahrzeugkommunikation problematisch: Speziell in der Einführungsphase des Systems werden nur wenige Fahrzeuge der Oberklasse mit Kommunikationssystemen ausgestattet sein. Spürbaren Nutzen bringt C2C nach Schätzung der Autoren, wenn etwa 30 Prozent aller Fahrzeuge damit ausgestattet sind. Zuverlässige Funktion ist ab 60 Prozent Marktdurchdringung zu erwarten. Bis das durch serienmäßige Ausstattung aller Neufahrzeuge oder Nachrüstung für ältere Autos erreicht ist, müssen fest installierte Funkstationen am Fahrbahnrand – Funkbaken – die Repeater-Funktion übernehmen. Ebenso könnten zellulare Mobilfunknetze mit großer Funkabdeckung wie etwa UMTS die Einführung verkürzen.
Sicherheit mit Sicherheit
Eine Herausforderung bei C2C ist das Sichern der Nachrichtenübertragung gegen elektronische Vandalen, denn Glatteiswarnungen sollen in den Sommerferien keine Staus auslösen. In Ad-hoc-Netzen kann keine zeitraubende Authentifizierung geschehen, die die Berechtigung eines Senders bestätigt. Außerdem muss die Anonymität der Kommunikationsteilnehmer gewahrt bleiben, denn mit den GPS-Koordinaten und den Funkbaken ließen sich leicht individuelle Bewegungsprofile erstellen. Für beide Ziele gibt es zurzeit noch keine endgültige Lösung, Ansätze wie zertifikatbasierte Kryptografie – dazu weiter unten mehr – sind vielversprechend, erzeugen aber erheblichen Overhead bei der Übertragung und benötigen eine aufwendige Schlüsselverwaltung.
Funkstörer
Neben bekannten Attacken auf informationstechnische Systeme müssen die C2C-Entwickler auch Besonderheiten wie das Verschieben einer Bake an eine andere Position bedenken. Das einfachste Angriffsszenario ist Jamming, simples Zustopfen des Funkkanals mit einem Störsender, der ein kontinuierliches Signal abstrahlt. Zwar genügt es prinzipiell schon, den Kontrollkanal der Fahrzeugkommunikation lahmzulegen. Mit auf das WLAN-Protokoll zugeschnittenen Angriffstechniken kann ein Jammer aber sogar mehrere Frequenzen gleichzeitig blockieren. Gegen diesen Angriff gibt es prinzipiell keine Gegenmaßnahme, da hilft nur ein Wechsel auf ein anderes Kommunikationssystem. Möglich wenn auch unbefriedigend ist, das Jamming einfach auszusitzen, denn der Radius des Störers ist verhältnismäßig klein.
Als Spinne im Bord-Netzwerk erhält das C2C-Modul über Bussysteme wie Flexray [4 [6]] oder CAN-Daten von verschiedenen anderen Systemen. So müssen die Entwickler auch Manipulation der Hardware in Betracht ziehen, und zwar nicht nur an der C2C-Einheit, sondern auch an den Kommunikationsbussen oder angeschlossenen Istwert-Gebern. Beim C2C-Gerät selbst denken die Forscher beispielsweise an einen Sensor, der bei unberechtigtem Öffnen des Gehäuses das Löschen aller Zertifikate auslöst. Ferner muss das C2C-Modul laufend die Plausibilität der zugelieferten Daten prüfen. Rückwirkungen aus dem C2C-Gerät auf die restliche Fahrzeugelektronik kann eine Firewall unterbinden, die den Informationsfluss nur in eine Richtung zulässt.
Schutzengel 2010
Datenspritze
C2C-Störungen können auch durch Injektion gefälschter Nachrichten per Funk erfolgen. Entweder erzeugt der Störer eine komplette Fälschung oder er fängt eine gültige Nachricht ab, verändert sie und sendet sie erneut aus. Einfacher ist das spätere Aussenden einer abgefangenen Nachricht (replay). Aus dem Heim-WLAN kann man unbekannte Stationen durch Authentifizierung beim Access Point heraushalten, doch das klappt bei C2C aus Zeitgründen nicht: Die typischen vier Sekunden, in denen die Kommunikationspartner nah genug beieinander sind, um Daten auszutauschen, genügt nicht für sichere Authentifizierung und den Informationsaustausch. Denn der Funkkanal ist bei C2C einerseits stark belegt, was zu längeren Wartezeiten bis zum erfolgreichen Absetzen einer Meldung führt, und andererseits ist in der C2C-Situation mit zahlreichen Wiederholungen aufgrund von Übertragungsfehlern zu rechnen.
Schutz durch Kryptografie
Als Alternative kommt Kryptografie zum Einsatz, damit Fälscher und Replayer keine Chance haben. Dafür eignen sich beispielsweise asymmetrische Verfahren wie RSA, die Nachrichten mit dem privaten Schlüssel des Senders digital signieren. Unbemerktes Ändern der Daten ist dann nicht mehr möglich. Damit der Empfänger die Gültigkeit eines Funktelegramms verifizieren kann, hängt man den öffentlichen Schlüssel des Senders an die Nachricht an.
So bleibt nur die Frage offen, ob der verwendete öffentliche Schlüssel auch zu einem vertrauenswürdigen Sender gehört. Dessen Authentizität gewährleistet ein digitales Zertifikat eines vertrauenswürdigen Ausstellers, das ebenfalls Teil des Funktelegramms wird. Ähnlich wie bei PGP für E-Mail muss deshalb für C2C eine hierarchische Zertifizierungsstruktur mit einer obersten Instanz (Root CA) aufgebaut werden, nebst Methoden zum Ausgeben und Verteilen neuer sowie Widerrufen nicht mehr vertrauenswürdiger Zertifikate.
Ohne Akzeptanz läuft nichts
Ohne Akzeptanz in der Öffentlichkeit wird die Einführung von Fahrzeugkommunikation zum Rohrkrepierer. Wenn sich die Fahrer überwacht fühlen, werden sie C2C kaum mit offenen Armen annehmen. Denn durch das Mithören der Kommunikation könnte man die Route jedes Fahrzeugs verfolgen: Das Messen der Zeit zwischen zwei Baken ergibt die mittlere Geschwindigkeit, und damit vielleicht ein automatisch erstelltes „Knöllchen“. Auf die Zweckbindung der Kommunikationsdaten per Gesetz sollte man sich dabei nicht verlassen. Nach den beim Lkw-Mautsystem Toll Collect anfallenden Daten entwickelt die Regierung schließlich auch schon Begehrlichkeiten [5 [7]].
Bewegungsprofile
Der beste Schutz besteht folglich darin, Individualdaten erst gar nicht zu erheben. Im WLAN besitzt jede Station eine weltweit einmalige, allerdings oft änderbare 48-Bit-Adresse (MAC-Adresse). Bei C2C kommen dagegen lokal administrierte MAC-Adressen zum Einsatz, die am gesetzten zweiten Bit erkennbar sind, beispielsweise 02:00:00:00:00:01. Solch eine Adresse erzeugt das C2C-Modul beim Fahrzeugstart per Zufallsgenerator und überschreibt damit die herstellerseitig vorgegebene MAC-Adresse. Außerdem erneuert es sie in regelmäßigen Abständen.
Dieser Wechsel erschwert zwar Routing-Protokollen die Arbeit, verhindert aber auch das Erstellen von Bewegungsprofilen. Kollisionen durch zufällig gleiche MAC-Adressen vermeidet man weitgehend durch den großen Wertebereich. Um die Identifikation eines Fahrzeugs durch die Nachrichtensignaturen auszuschließen, bekommt sein C2C-Modul schließlich mehrere tausend Schlüsselpaare und Zertifikate, die nur zeitlich befristet eingesetzt werden.
Produkthaftung
Auf dem Weg zum assistierten Fahren gibt es neben technischen und psychologischen auch rechtliche Hürden. Verantwortlich für das Führen eines Fahrzeuges ist allein der Fahrer. Er kann Unterstützung von Assistenzsystemen wie Abstandswarnern, Navigationssystemen, ABS oder Tempomat annehmen, aber diese dürfen keine eigenständigen Entscheidungen treffen. Die Entscheidungsgewalt und somit auch die Verantwortung muss in jedem Fall beim Fahrer bleiben.
Schutzengel 2010
Würden Assistenzsysteme autonome Entscheidungen treffen, die zu einem Unfall führen können, sieht deren Hersteller einem Haftungsrisiko entgegen. Dem wird sich wohl kein Anbieter aussetzen wollen. Daher werden Anwendungen, die auf der Fahrzeugkommunikation basieren, lediglich unterstützenden Charakter haben. Sie informieren den Fahrer frühzeitig über gefährliche Situationen und unterbreiten ihm Vorschläge für günstige Handlungsoptionen, aber entscheiden muss er letztlich selbst.
Entspannte Zukunft
Intelligente Fahrzeug-zu-Fahrzeug-Kommunikation kann der Schlüssel zu mehr Sicherheit auf den Straßen sein. Vor der Umsetzung müssen aber noch viele Probleme gelöst werden. Die Arbeit lohnt sich, denn dann könnte die eingangs geschilderte Heimfahrt in zehn Jahren so ablaufen: Deutlich vor der Auffahrt meldet Lars Jensens Fahrzeug den Stau. Jensen fährt an der Rampe vorbei und folgt der Ausweichroute, die das Navigationssystem schon berechnet hat. Die Fahrt dauert so zwar zehn Minuten länger, aber er kann den Feierabend um einiges entspannter beginnen.
(Lothar Stibor, Yunpeng Zang)
Literatur
[1] eSafety-Initiative der EU, http://ec.europa.eu/information_society/ activities/esafety/
[2] Gregor Bartl, Barbara Hager, Unfallursachenanalyse bei Pkw-Lenkern, www.gutefahrt.at/institut/uploads/pdfs/65.pdf
[3] Daniel Lüders, Am Stau vorbei, Von der Stau-Entstehung zur TMC-Meldung fürs Navi, c’t 14/07, S. 76
[4] Dr. Markus Jochim, Zeitig steuern, Sichere Datenübertragung im Automobil, c’t 2/07, S. 190
[5] Detlef Borchers, Lkw-Maut: Schäuble will Zweckbindung der Mautdaten aufheben, www.heise.de/newsticker/meldung/76391
[6] C2C-CC, Car-2-Car Communication Consortium, www.car-to-car.org
[7] SIM-TD, Datenaustausch für mehr Sicherheit, www.vda.de/de/service/jahresbericht/auto2007/sicherheit/s_9.html (ggo [8])
URL dieses Artikels:
https://www.heise.de/-792115
Links in diesem Artikel:
[1] https://www.heise.de/bilderstrecke/4721028.html?back=792115;back=792115
[2] https://www.heise.de/bilderstrecke/4721028.html?back=792115;back=792115
[3] http://ec.europa.eu/information_society/activities/esafety/
[4] http://www.gutefahrt.at/institut/uploads/pdfs/65.pdf
[5] https://www.heise.de/news/Am-Stau-vorbei-792475.html
[6] https://www.heise.de/news/Zeitig-steuern-793080.html
[7] https://www.heise.de/news/LKW-Maut-Schaeuble-will-Zweckbindung-der-Mautdaten-aufheben-148731.html
[8] mailto:ggo@heise.de
Copyright © 2007 Heise Medien