Cybersecurity in der Automobilbranche. Herausforderungen und Abwehrstrategien für AI-basierte Fahrerassistenzsysteme

Inhaltsverzeichnis.........................................................................................................2

Abkürzungsverzeichnis……………………………………..……...………………....…….…3

Abbildungsverzeichnis………………………………………………………..……….…….…4

Tabellenverzeichnis…………………………………………..………………………..………5

Anlagenverzeichnis……………………………………………..……………………………...6

1.1 Problemstellung……………………………………………..……………………………..7
1.2 Zielsetzung……………………………………………………..…..………………………7

1.3 Art des Vorgehens………………………………………………...………………………..8

2.1 Einführung in die Automotive Cybersecurity…………………..…………………………8
2.2 Fernübernahme kritischer Funktionen eines Kraftfahrzeuges..………………………11

2.3 Definition und Einführung in die Fahrassistenzsysteme (ASAS) und (DAS).……….12

2.4 Erweiterte Differenzierung der Fahrassistenten-Systeme………...………………….13

2.5 Funktionsweise von Fahrerassistenzsystemen (DAS/ADAS/Autonom)……..….…..15

2.6 Potenzielle Angriffsvektoren auf das Fahrassistenzsystem eines Smart-Cars.…….19

3.1 Angriffsvektoren auf AI-basierte autonome Smart Car Fahrerassistenzsysteme……………………………………………………………………..23

3.2 Defensivmaßnahmen für AI-basierte autonome Smart Car Fahrerassistenzsysteme……………………………………………………………………..30

3.2.1 Defensive Maßnahmen gegen Spoofing Angriffe…………………………….……..30

3.2.2 Defensive Maßnahmen gegen Angriffe in der physischen Welt (Attacks in the Physical world)……………………………………………..………………………………….31

3.2.3 Identifizierung von Adversarial example Modellen…………………………………..32
3.2.4 Defensive Maßnahmen gegen Daten Vergiftungen…………………………………32

3.2.5 Defensive Maßnahmen gegen Hintertüren…………………………………………..34

3.2.6 Defensive Maßnahmen gegen Daten Diebstahl……………………………………..34

4.1 Bestehende Risiken für OEMs durch die Implikationen von Künstlicher Intelligenz und Möglichkeiten zur Inter- und Prävention…………………...…………………………..35

4.2 Bestehende Risiken für Lieferketten durch die Implikationen von Künstlicher Intelligenz und Möglichkeiten zur Inter- und Prävention…………………….…………….37

5.1 Fazit………………………………………………………………………………………..39

5.2 Ausblick…………………………………………………………………………….……...39

Literaturverzeichnis……………………………………….………………………………..40

Anlagen………………………………………………………………...……………………..48

Abkürzungsverzeichnis

Bsp. Beispiel

bsph. beispielshalber

bspw. beispielsweise

bzgl. bezüglich

bzw. beziehungsweise

ca. circa

CSMS Cyber-Security-Management-System

etc. et cetera

ggf. gegebenen Falls

i.d.R. in der Regel

ISMS Information-Security-Management-System

insb. insbesonders

resp. respektive

sog. sogenannte

u. a. unter anderem

usw. und so weiter

u. v. m. und viele mehr

z. B. zum Beispiel

z. T. zum Teil

1.1 Problemstellung

Den Ausführungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) folgend, handelt es sich bei der Automobilbranche um einen Industriezweig, welcher sich in erster Linie der Massenproduktion von Automobilen und anderen Kraftfahrzeuge verschreibt. In Deutschland handelt es sich hierbei am Umsatz gemessen um die mit Abstand größte Branche des verarbeitenden Gewerbes und vereint hierbei Automobilhersteller, deren Zulieferer, Entwickler und Dienstleister. [1] Herbei befindet sich die Automobilindustrie in einer Phase des technologischen Wandels, welcher durchaus als radikal zu konnotieren ist. Im Zentrum stehen hierbei Trends, welche vor allem die Wende hin zur Elektromobilität, die Vernetzung aller Dinge durch das Internet of Things (IoT) und deren Automatisierung durch Künstliche Intelligenz (AI) betreffen. Ein Nebeneffekt all der durch die Digitalisierung hervorgetretenen Umwälzungen rückte hierbei auch die Frage nach IT bezogenen Sicherheitsaspekte von Fahrzeugen in den Vordergrund, welche holistisch betrachtet zu werden haben, um Risiken gegen das Wohlergehen der Verkehrsteilnehmenden zu minimieren. [2] Seit Kurzem gelten für die eben angeführten Schlüsselinnovationen neue Regulierungen der UNECE. Im Fokus dieser Regulierungen stehen z. B. Vorgaben zu den Anforderungen zum Aufbau eines normgerechten Cyber-Security-Management-Systems (UNECE R155). Als wesentlicher Erfolgsfaktor für die Umsetzung ist ein Umdenken über die Grenzen der Domänenstrukturen hinaus gefordert, zu einem ganzheitlichen Ansatz, welcher die gesamte Lieferkette einbezieht. [3]

1.2 Zielsetzung

Das Primärziel dieser Ausarbeitung besteht darin, sich ausgiebig mit dem Themengebiet der Automotive Cybersecurity zu beschäftigen. Im Rahmen dieses Primärziels, fokussieren wir uns ausgiebig mit den Domänen Sicherheit von Fahrassistenzsystemen in Verbindung mit E-Fahrzeugen. Um das Primärziel zu erreichen, werden weitere Sekundärziele verfolgt. Diese bestehen in der Erstellung einer Übersicht für die Szenarien zu potenziellen Angriffsmöglichkeiten und der Erläuterung besagter Szenarien sowie die Darstellung des aus den Angriffsvektoren resultierenden Gefährdungspotenzials. Ein weiteres Sekundärziel besteht in der Aufarbeitung von Lösungen zur Abwehr der zuvor ausgeführten Angriffe. Das letzte Sekundärziel besteht in der Erläuterung der für OEM, Marktteilnehmer z. B. (Zulieferer) bzgl. Cybersecurity bestehenden Risiken. Hierbei werden auch die möglichen Positionierungen der Marktteilnehmer berücksichtigt.

1.3 Art des Vorgehens

Zu Beginn des theoretischen Teils dieser Ausarbeitungen werden grundlegende Definitionen und Relationen, die Themengebiete Automotive Cybersecurity angeführt, diese betreffen auch die Domänen Sicherheit von Fahrassistenzsysteme und den diesen zugrunde liegenden Algorithmen. Weiterhin werden im theoretischen Teil die potenziellen Angriffsmöglichkeiten der zuvor beschriebenen Systeme angeführt und auf die durch Künstliche Intelligenz bestehenden Risiken erweitert. Der praktische Teil dieser Ausarbeitung dient vor allem dazu, Verteidigungsmechanismen für die zuvor beschriebenen Angriffsvektoren zu beschreiben. Weiterhin werden die Risiken, welcher für OEM, Marktteilnehmer z. B. (Zulieferer) bzgl. KI-Security bestehen erläutert. Im Diskussionsteil wird sich dann damit beschäftigt, welche möglichen Positionen von den besagten Marktteilnehmern bezogen werden können, wobei auch konkrete Handlungsempfehlungen ausgesprochen werden. Zuletzt wird dann ein Fazit gezogen und ein kurzer Ausblick in die bearbeiteten Themengebiete gewagt.

2.1 Einführung in die Automotive Cybersecurity

Unter Automotive Cybersecurity verstehen wir nach der Definition von NHTSA im Folgenden, den Schutz von automotive-elektronische-Systeme, Kommunikationsnetzen, Kontrollalgorithmen, Software, Endbenutzern, sowie den zugrunde liegenden Daten vor böswilligen Angriffen, Schäden, unbefugtem Zugriff oder Manipulation. [4] Im Zentrum aller Dinge steht hierbei die sichere Entwicklung und Inbetriebnahme des vernetzten Fahrzeuges, welches mittlerweile auf dem globalen Massenmarkt angekommen ist. Wo früher der mechanische Wandel ausschlaggebend für den Fortschritt im Markt und die Gesellschaft waren, hat sich die Automobilindustrie mittlerweile zu einem von IT-Systemen geprägtem Umfeld gewandelt. Für jeden namhaften Hersteller dieser neuen Generation von voll vernetzten Fahrzeugen bedeutet dies, seine Fahrzeuge mit technischen Lösungen auszustatten, welche z. T. serienmäßig, jedoch auch z. T. auf Wunsch ermöglichen, das erworbene Fahrzeug mit dem globalen Datennetz, z. B. über eingebaute Sim-Module, zu verbinden und es den Herstellern im Weiteren ermöglicht, durch diese Anbindung gewonnene Daten zur Sammlung und Auswertung in mannigfaltiger Hinsicht für differenzierte Verwendungszwecke zu adaptieren. Beispiele für die Verwendung dieser Daten gehen weit über eine ausschließliche Verwendung innerhalb der Automobilindustrie hinaus und erlauben es auch branchenfremden Akteuren insb. aus der Softwareindustrie ihr Know-how in Bezug auf datenbasierte Geschäftsmodelle einzusetzen und kapitalintensive Innovationen wie autonomes Fahren zu fördern, sowie neue Wertschöpfungsnetzwerke entstehen zu lassen. All dies hat zur Folge, dass sich die OEM (Original Equipment Manufacturer) ausgiebig mit den bestehenden Sicherheitskonzepten im Sinne eines holistisches Schutzes aller involvierten Systeme und Beteiligten, sowie Dritter auseinanderzusetzen haben. [5] Wie das BSI anmerkt, handelt es sich bei der ganzheitlichen Umsetzung dieser Aufgabe im Bereich Automotive, weiterhin um komplexe und vielfältige Herausforderung, sowohl für die Industrie, als auch die zuständigen Behörden. [6] Durch die differenzierten Datenschnittstellen und den wachsenden Softwareanteil werden zahlreiche neue Einfallstore für Cyber-Bedrohungen geschaffen, welche in einem Fahrzeug durch das Ausnutzen von Schwachstellen einen negativen Einfluss auf die physikalische Sicherheit mit sich bringen können. Oder um es mit den Worten der Elektromobilität süd-west auszudrücken: „Da das moderne Automobil über seinen gesamten Lebenszyklus ein potenzielles Angriffsziel für Cyberkriminalität darstellt, muss die Betrachtung dementsprechend umfassend sein.“ [7] Oben unter 1.3 wurde bereits die aus den neuen Sicherheitsbedürfnissen hervorgehende Verabschiedung der UNECE R155 angeführt, welche internationale Regulationen und Vorschriften verabschiedete, um die Auswirkungen von Cyber-Bedrohungen auf ein gesellschaftlich akzeptiertes Niveau zu heben. [8] Vor Augen, dass sich diese Regulationen in absehbarer Zeit als verpflichtend für neue Typenzulassungen und im späteren für die gesamte Modellpalette gefordert sein werden, scheint es für OEM unausweichlich, ihre Endprodukte an die Bedürfnisse der Kernforderungen der UNECE R155 ausrichten zu müssen. Diese Kernforderungen bestehen im in der Einführung eines zertifizierten Cyber-Security-Management-System (CSMS). Die Einführung, Inbetriebnahme und Instandhaltung eines solchen CSMS hat u. a. zur Folge, dass sich der Verantwortungsbereich von OEM in neue, bislang noch unzureichend berücksichtigte Dimensionen ausweitet. Ein Beispiel für eine solche Dimension bestehen u. a. in einer kontinuierlichen Verpflichtung zu benötigten Nachbesserungen und Gefahren, die Abwehr potenzieller Cybersecurity-Gefahren den gesamten Lebenszyklus des Fahrzeuges resp. des ganzen Produktportfolios betreffend. [9] Gerade die Entwicklung im Bereich des vernetzten Automobils, stellt hierbei das Einfallstor, mit dem größten Schadenspotenzial dar, wobei diese zugleich auch den physisch Best Geschützen Bereich repräsentiert. Die Gefahren gehen hierbei mehr von einem Informationsabgriff anstatt eines Informationszugriffes aus. [10] Es ist somit festzuhalten, dass die Entwicklung des Fahrzeuges nicht mit dem „Start of Produktion“ des Fahrzeuges enden, im Gegenteil, Fahrzeuge und Fahrzeugflotten, haben im Feld beobachtet und hinsichtlich einer sich ändernden Bedrohungslage durch neu aufkommende Schwachstellen regelmäßig neu evaluiert zu werden. Da 70 bis 90 Prozent des Software-Bestands eines typischen Fahrzeugs aktuell von Zulieferern stammt und sich auch unter Annahme, dass sich dieser Prozentsatz in Zukunft zugunsten der OEMs verschiebt, es sich um keine triviale Anforderung handelt. [11] Im Umkehrschluss ist somit festzuhalten, dass sich für ambitionierte Black Head Hacker, wir gehen nunmehr von hochintelligenten Einzeltätern aus und nicht etwa von organisierten kriminellen oder staatlich subventionierten Organisationen, die sich nicht davor scheuen neues Wissen über Kali Linux und Python anzueignen, eine Mannigfaltigkeit an Opportunitäten entlang des gesamten Lebenszyklus ergeben, um bestehende und sich noch in der Entwicklung befindenden Prototypen zu unterwandern, sowie deren Parametern nach ihrem Belieben anzupassen. Beispiele hierfür sind z. B. das Einbetten neuer Komponenten in das Fahrzeugverhalten, oder die Manipulation von bereits vorhandenen. Bspw. die Erlangung der Kontrolle des Fahrzeugs über die On-Board-Diagnose (OBD)- Schnittstellen, Manipulationen aus der Ferne durch WLAN- oder Mobilfunk Schnittstellen sowie das Ausnutzen von OTA-Updates und digitaler Services. [12]

2.2 Fernübernahme kritischer Funktionen eines Kraftfahrzeuges

„Cyberkriminelle hacken sich in ein fremdes Fahrzeug und übernehmen die Kontrolle“ [13] lautet die schon fast an Science Fiction anmutende erste Zeile eines Artikels von Next Mobility, einem E-Auto Magazin, welches sich in seinem Kern mit einer nicht ganz unrealistischen Fragestellung beschäftigt, wie verhindern wir, dass unser Auto von Hackern ferngesteuert wird? Einer Umfrage des Magazins folgend, halten derzeit 70 Prozent der befragten Autofahrer dieses Szenario derzeit für sehr unwahrscheinlich. [14] Und dennoch bewiesen uns Miller und Valasek mit ihrer praktischen Arbeit zur Erlangung der Remote Control eines Jeep Cherokee und deren Vortrag auf der Sicherheitskonferenz Black Hat USA 2015, dass solche und ähnliche Szenarien mittlerweile der Gegenwart entsprechen. Den beiden Ethical Hackern gelang es auf eindrucksvolle Weise zunächst durch das WI-FI-System des Jeeps, mittels eines Nmap (Linux), Luna, sowie vierzeiligem Python Command einen remote Access zum D-Bus ihres Testfahrzeuges herzustellen. Da die wenigsten Jeep-Käufer die kostenpflichtige Zusatzoption des Wi-Fi verwenden, suchten Sie nach weiteren Vektoren. Diese fanden die beiden dann in der Verbindungsschnittstelle zu den Telekommunikationsmasten. Mittels einer auf Ebay erworbenen kleinen Funkstation mit sehr begrenztem Funkradius gelang es dann einen nationalen Zugriff auf alle Fahrzeuge der Serie herzustellen, was hunderttausenden von Fahrzeugen entspricht. Da sich Chrysler zunächst weigerte genaue Angaben zu der Anzahl der betroffenen Fahrzeuge zu machen, führten die beiden einfach ein masscan-Command aus und bekamen hierdurch noch genauere Informationen. Durch die von ihnen entwickelte Funktion, welche sie ./shutupdave.py nannten, wurden ihnen alle betroffenen Fahrzeuge aller Serien und Bauarten angezeigt und von der Dodge Viper bis hin zum RAM, waren alle betroffen. [15] Das betreffende Video der Black Hat Konferenz, indem die Forscher den Hack ausführlich erklären, wird dem Literaturverzeichnis angehängt und ist für alle auf Youtube frei zugänglich. [16] An dieser Stelle ist zu berücksichtigen, dass der Fernübernahme der kritischen Funktionen des Jeep Cherokee, sowie allen anderen vom den identifizierten zero-day Exploits betroffenen Modellen bereits einige Jahre ins Land gegangen sind und sich nicht direkt auf die Fahrassistenz- und Autopilot Systeme bezieht und dennoch führen Sie und vor Augen, wie einfach es sein kann, sich Zugang zu angeblich unhackbaren Systemen zu verschaffen und welche fatalen Folgen solche und andere Exploits für die Menschen dahinter aufweisen. Über den Zugang zum Multimediasystem, der Antriebs, sowie Servo-Lenkungstechnik, ist das Leben der Kunden im Sinne einer unmittelbaren Gefährdung betroffen. [17]

2.3 Definition und Einführung in die Fahrassistenzsysteme (ASAS) und (DAS)

Bevor wir uns mit den potenziellen Angriffsvektoren von Fahrassistenzsystemen beschäftigen, gilt es zunächst einen grundlegenden Überblick über die für den deutschen Markt bereits etablierten und für die Zukunft vorgesehenen Modelle, sowie deren Funktionsweise zu verschaffen. Fahrassistenzsysteme, oder wie im englischem auch advanced driver assistance system (ADAS) oder driver-assistance systems (DAS) genannt, halten seit einigen Jahren Einzug in neue Fahrzeugmodelle. [18] Der Unterschied zwischen ADAS und DAS Systemen, besteht in der Art, wie Signale die Fahrassistenzsysteme erreichen. Während ADAS-Systeme auch Daten aus der Außenwelt der des Fahrzeuges verarbeiten, nehmen das DAS-Systeme nur Signale aus dem Innenraum des Fahrzeuges auf. Beispiele hierfür sind der Tempomat (Das), sowie der Abstandsregeltempomat (ADAS). [19] Die Kernfunktion von diesen besteht darin, die Fahrer von Pkws und Lkws bei der Führung des Fahrzeuges zu unterstützen, was sich prinzipiell sicherheitsfördernd auf den Straßenverkehr und entlastend auf den Fahrzeugführer im Sinne der Aufmerksamkeit, sowie den positiv auf den wahrgenommenen Komfort auswirkt. [20] Wichtig hierbei ist, dass es nicht das eine Fahrerassistentensystem gibt, sondern verschiedene Hersteller teils unterschiedliche Systeme mit divergierende Funktionen verwenden, Bsp. hierfür beginnen bei relativ einfachen Systemen, welche dem Halter des Fahrzeuges das Einparken erleichtern und reichen, bis hin zu komplexen Systemen, wie einem Staupiloten-System. [21] Zu konnotieren ist an dieser Stelle, dass die ADAS-Systeme ein breites Spektrum an Funktionen abdecken (Spur halten, Notbremsung, Überwachung des toten Winkels), welche sich nicht alle direkt auf die Fahrdynamischen Eigenschaften der Kraftfahrzeuge auswirken, bsph. (Lichtautomatik, adaptives Fernlicht, Nachtsichtassistent, Scheibenwaschautomatik, Rundumansicht) u.v.m. [22] Hierbei erfassen die Systeme mithilfe von Sensoren die Fahrsituation und verarbeiten die gesammelten Daten mithilfe von Computertechnik, woraufhin diese dem Fahrer visuelle, akustische oder haptische Rückmeldungen geben. Weiterhin greifen die Systeme autonom oder teilautonom in die Steuerung des Fahrzeugen bspw. durch die Betätigung von Gas, Bremse, Signalisierung oder Lenkung in das Fahrgeschehen ein. [23] Neben all diesen grundlegenden Funktionen, welche die Fahreigenschaften eines Fahrzeuges betreffen, ist diesen jedoch auch eine strategische Relevanz in Relation zur Zukunftsorientierung der deutschen Automobilindustrie zuzuschreiben, denn diese unterstützen nicht nur die Fahrer, sondern eben auch den Weg hin zum autonomen Fahren. [24]

2.4 Erweiterte Differenzierung der Fahrassistenten-Systeme

Festzuhalten ist, dass durch die kontinuierliche Weiterentwicklung und Forschung der ADAS heutzutage eine lange Liste an Assistenzsysteme für Autos existiert. Grundsätzlich lassen sich diese Assistenzsysteme in drei Kategorien differenzieren. Diese sind, Sicherheit, Information und kontinuierlich aktive. Zusammen bilden diese die Grundlagen für das autonome Fahren und werden in den nächsten Jahren immer mehr an Relevanz gewinnen. [25] Prawitz gliedert die Fahrassistenzsysteme und deren Funktionen in die Kategorien A, B und C. Eine ganzheitliche Gliederung ist der 1. Abb. zu entnehmen.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

1. Abb. Die nach ihren Wirkweisen zusammengefassten Kategorien von Fahrerassistenzsystemen. Quelle: Prawitz, S. (2020), 2. Kap. 2. Abs.

Während die Systeme der Kategorie A den Fahrzeugführer über Geschehnisse im Umfeld des Fahrzeuges informieren und damit die für die Führung eines Automobils notwendige Informationsaufnahme unterstützen, wirken die Systeme der Kategorie B über einen längeren Zeitraum und greifen unmittelbar in die Führung des Fahrzeuges ein und verfügen über ein hohes adaptives Potenzial. Die Systeme der Kategorie C verfügen über das Potenzial, in Notsituationen dank ihrer dem Mensch weit überlegenen Geschwindigkeit und Präzision, im Rahmen vorher definierter Notfallparameter gezielt zu intervenieren. [26] Um die Vielzahl an Fahrassistenzsystemen besser unterscheiden zu können, werden diese nach der Klassifizierung der Society of automotive engineers (SEA), gem. dem Dokument J3016, entsprechend ihrer Fahrmodi in sechs Level unterteilt. [27] Sehe 2. Abb.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

2. Abb. Levels of Driving Automation. Quelle: Shuttleworth, J. (2019), 1, Kap. 5. Abs.

Anzumerken ist, dass alle bisher angeführte ADAS-Systeme sich, mit Ausnahme des Staupiloten unterhalb des Level 3 eingliedern, was bedeutet, dass der Mensch die Umgebung im Blick zu behalten, sowie alle verbleibenden Aspekte der dynamischen Fahraufgabe auszuführen hat. Level drei Systeme definieren sich dadurch, dass diese innerhalb einer gewissen Zeit, zur Ausführung einer bestimmten Situation diese komplett übernimmt und nach Ausführung die Steuerung wieder an den Fahrzeugführer übergibt, z. B. der Staupilot. Level 4 definiert sich dadurch, dass ein Eingriff durch die Insassen zur Fahrzeugführung nun nicht mehr notwendig erscheint und ist vor allem für hochautomatisierte Fahrzeuge vorgesehen. Fahrzeuge des Level 4 sind noch mit Pedale und Lenkrad ausgerüstet und ermöglichen auf Wunsch die manuelle Interaktion. Bei Fahrzeugen des Level 5 entfallen die Interventionsschnittstellen, unterliegen ansonsten jedoch der gleichen Definition. [28]

2.5 Funktionsweise von Fahrerassistenzsystemen (DAS/ADAS/Autonom)

Wie oben bereits angeführt können Fahrerassistenzsysteme entweder direkt in das Fahrgeschehen eingreifen oder Warnsignale via visuellen, akustischen oder haptischen, Signalen an den Fahrenden senden. Bsp. Ein aufblinkendes Warnsignal auf dem Tacho Display, oder einem Sound, der eine sich ankündigende Kollision signalisiert. [29] Grundsätzlich benötigen Fahrassistenzsysteme verschiedene Sensoren, sowie eine elektronische Steuerung, die für die Auswertung der Sensordaten sorgt und anschließend in spezielle Steuersignale konvertiert. [30] Der Ausgangspunkt für all diese Sicherheitssysteme stellen somit spezielle Sensoren verbaut in Kameras, Ultraschall- sowie Radartechnik dar. Kameras bspw. schätzen die Abstände beim Einparken ab, scannen jedoch auch die Umgebung und weisen somit frühzeitig auf Hindernisse und Markierungen hin. Ultraschalltechnik kommt beim Parkassistenten oder der Fußgängertechnik zum Einsatz und überprüft die unmittelbare Umgebung. Radartechnik misst die Geschwindigkeit sowie die korrekten Sicherheitsabstände des Fahrzeuges und findet seine Anwendung z. B. im Totwinkelassistenten. [31] Unter all diesen Technologien, wird vor allem der LiDAR-Technologie das Potenzial zugesprochen, ein wichtiges Bauteil für die Weiterentwicklung autonom fahrender Autos zu sein. [32] Die LiDar-Technologie funktioniert hierbei ähnlich wie die Radarsensoren, wobei jedoch Licht (Light detection and ranging) im Wellenlängenbereich von etwa einem Mikrometer ausgesendet wird, Radarwellen von modernen Automobilanwendungen hingegen, senden und empfangen Signale im Wellenlängenbereich von vier Millimeter. Radar und LiDar eignen sich hierbei hervorragend dafür, um Distanzen zwischen dem eigenen Fahrzeug und Objekten der Umgebung zu messen und mittels den Sensoren Relativgeschwindigkeiten zu ermitteln. Die verbauten Kamerasysteme eignen sich vor allem sehr gut zur Objekterkennung, sprich den Unterschied zwischen einem Menschen, der die Straße überquert und einem Vorfahrtsschild zu erkennen. [33] Der Grundgedanke der LiDar-Technologie besteht darin, die zuvor ausgesendeten Laserlichtstrahlen dazu verwenden, um eine präzise dreidimensionale Karte der Umgebung zu erstellen. [34] Gerade innerhalb der Domäne des autonomen Fahrens, bietet LiDar durch seinen entscheidenden Beitrag zur Echtzeitwahrnehmung und der Kartierung der Karte eine entscheidende Rolle. Das kontinuierliche Scannen der LiDar-Sensoren liegen hierbei genaue und zuverlässige Daten über die Position, Größe und Bewegung von Objekten, was den autonomen Fahrzeugen dabei hilft, sicher zu navigieren und fundierte Entscheidungen zu treffen. Durch die Messung der Flugzeit der ausgesendeten Laserimpulse nach der Kollision und Reflexion von Objekten wird die Entfernung mit erstaunlicher Genauigkeit gemessen. Durch die gesammelten Daten wird dann eine detaillierte Punktwolke resp. eine andere digitale Darstellung der realen Welt erstellt. [35] Anzumerken ist, dass es nicht das eine LiDar-System gibt, sondern sich diese vor allem hinsichtlich ihrer Bauweise (Spinning, Scanning- oder Flashing-Lidar), der verwendeten Messmethode zur Umfelderkennung (TOF oder DCMW) und der Wellenlänge des Lasers (850 nm, bzw. 905 nm, resp. 1550 nm) hin unterscheiden. Sehe 3. Abb.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

3. Abb. Lidar-Systeme mit einer Wellenlänge von 1.550 Nanometern operieren fernab des menschlichen Sichtbereichs. Quelle: Beutnagel, W. (2023), 2. Kap. 3. Abs.

Weiterhin wird danach unterschieden, ob das Sensorik-System über bewegliche Bauteile verfügt. Zuletzt gilt es dann noch die Unterscheidungen, welche die Wahl des Anbieters betrifft, was Fragestellungen zum Blindwinkel und zur Reichweite ins Zentrum rückt. Den Grad der Reflexivität berücksichtigend gibt es Systeme, welche Objekte bis hin zu einer Distanz von 250 Metern erfassen können, andere Systeme erfassen Objekte bis hin zu einem halben Kilometer. [36] Mittlerweile steht es außer Frage, dass die LiDar-Technologie für die Zukunft des autonomen Fahrens und gerade bei der Konzeption von Level 5 Systemen eine hohe Relevanz zu konnotieren ist. [37] Jedoch sind mit der LiDar-Technologie resp. mit jeder Form der in einem autonomen Mobil verbauten Sensorik im individuellen betrachtet, gewisse Nachteile verbunden. LiDar weist im Sinne eines optischen Sinnes eine hohe Anfälligkeit für Faktoren wie ein blockiertes Sichtfeld, z. B. durch Nebel oder starken Niederschlag auf und benötigt hohe Kapazitäten zur Datenverarbeitung. Weiterhin verfügen LiDar-Systeme, anders als Kamerasysteme, nicht über dasselbe Potenzial zur Erfassung von Verkehrsschilder. Aus diesen und ähnlichen Gründen richten die Automobilhersteller ihre Fahrzeuge auf einen Dreiklang, bestehend aus Umfeld-Sensoren Kamera, Radar und LiDar- gekoppelt mit hochauflösendem Kartenmaterial aus. [38] „Autohersteller wollen schlicht eine Kamera, einen Lidar und einen Radar im Verbund. Einer der Hauptgründe dafür ist, dass jede Technologie über eine andere Frequenz verfügt“. [39] Der 4. Abb. sind die im Automobilverbauten Sensoren und einige der ADAS-Systeme zu entnehmen.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

4. Abb. Übersicht der verbauten Sensoren und ADAS. Quelle: Synopsis (2021), 1. Kap. 3. Abs.; Parris, M. (2016), S. 6; Dede, G. et al. (2021), S. 16

Angesichts dessen wird sich diese Ausarbeitung vor allem auf das durch die von den Automobilherstellern verwendeten Technologien bestehendes Gefährdungspotenzial in Relation zum Autonomen-Fahren beziehen. Dennoch bleibt darauf zu verweisen, dass Cyberangriffe, nicht nur auf das Fahrzeug an sich, sondern im auf die gesamte Produktionskette geschehen. Skript-Kiddies, Laymen und Thrill-Seeker, werden durch die verbauten Technologien zahlreiche Einfallstore für potenzielle Angriffsvektoren geboten, die sich mit einfachen Mitteln Zugriff zu den Fahrzeugen verschaffen können. Bsp. für solche Einfallstore bestehen vor allem für die genannten Schwachstellen in den Funkschnittstellen (BT, Wi-Fi, Mobilfunk, etc.). [40] Eine erweiterte Betrachtung potenzieller Angriffsvektoren kann durch das von Microsoft vorgestellte STRIDE-Chema beschrieben werden, wobei jeder Buchstabe für eine mögliche Bedrohung steht: Spoofing Identity (Angreifer geben vor, jemand oder etwas andere zu sein). Tampering with Data (Datenveränderung bei der Übertragung oder in einem Datenspeicher, hierdurch können die Angreifer Daten in der Soft,-Hard,- und Firmware verändert werden). Repudiation (Angreifer führen nicht zurück verfolgbare Aktionen durch). Information Disclosure (Angreifer erhalten Zugang zu Daten bei der Übertragung oder in einem Datenspeicher). Denial of Services (DoS) Angriff des regulären Betriebs eines Systems durch eine Überlastung von Daten. Elevation of Privileges (Hierbei geht es um die systematische Erweiterung der Privilegien, bis hin zum root Zugang). [41] Zusätzlich wachsen die Angriffsvektoren durch die Umstellung der Fahrzeuge auf die Großraumtechnik, da die zukünftigen Fahrzeuge mehrere GBytes an Daten pro Sekunde verarbeiten und übertragen müssen. Problematisch erscheint hierbei, dass es hunderte Einzelsysteme, welche aus hunderten Einzelsysteme bestehen und dann zumeist auch noch von unterschiedlichen Zulieferern stammen. All diese Systeme müssen ständig validieren, dass die anderen Systeme, mit denen diese kommunizieren, auch valide Partner sind und korrekte Daten liefern und dies unter Berücksichtigung des oben angeführten Datenstroms. Somit geht es nicht mehr nur darum, jede einzelne Fahrzeugkomponente gegen Cyber-Angriffe abzusichern, sondern vor allem um die Implementierung eines strukturierten Prozesses, welcher die maximale Sicherheit für das gesamte Fahrzeug und den gesamten Fahrzeug-Lifecycle berücksichtigt, dies inkludiert auch Fragestellungen zu Flotten-Rechenzentren und sicheres Account-Management. [42]

2.6 Potenzielle Angriffsvektoren auf das Fahrassistenzsystem eines Smart-Cars

Autonome Fahrerassistenzsysteme setzen sich hierbei aus mehreren Sub-Systemen zusammen, diese sind das Positionierung,- Wahrnehmung,- Planung,- Kontrollsystem und die vehicle-to-everything (V2X) Kommunikation. Bei jedem dieser Subsysteme sind hierbei spezifische Sicherheitsaspekte zu berücksichtigen. [43] Diese sind der 1. Tab. zu entnehmen.

1. Tab. Sicherheit von autonomen Fahrerassistenzsystemen. Quelle: Gao, C. et al. (2022), S. 7572; p3 group et al. (2022), S. 10

Wie durch die Enisa festgestellt, sind die jüngsten Fortschritte im Bereich der KI und besonders jenen im Bereich des Machine Learning (ML) eine wesentliche Roll im Wettlauf um vollwertige AVs zu konnotieren und sind somit in allen oben in der 1. Tab. angeführten Sicherheitsaspekten mehr oder weniger zur Sicherstellung der System-Integrität involviert. Das Grundprinzip, welches der Implementierung von ML zugrunde liegt, besteht in der Zerlegung von großen Problemen, hin in kleinere Aufgaben. Gerade im Bereich der Kontroll-System-Sicherheit sind speziell durch ML trainierte neuronale Netzwerke unverzichtbar. [44] Wie israelische Forscher demonstriert haben, scheint es fern ADAS-Systeme, resp. Systeme, welche darauf abzielen, das autonome Fahren zu fördern, als unhackbar zu bezeichnen. Im Gegenteil führen diese an, dass Fahrerassistenzsysteme und Autopiloten leicht manipuliert werden können. In diesem speziellen Fall haben die Forscher gleich mehrere Autopiloten mittels Phantom-Verkehrszeichen in die Irre geführt und fordern daher eine externe ADAS-Kontrolle und entsprechende Überwachungstools. [45] Dies ist kein Einzelfall, bereits im Jahr 2015 gelang es Forschern ein multi-tausend-Dollar LiDar-System mittels eines 60 Dollar Setups zu hacken, wobei es nichts Weiteres als einen low-power Laserpointer und einen pulse Generator zur Durchführung benötigt. [46] Wie bereits angeführt erzeugt die Entwicklung zunehmend autonomer und vernetzter Fahrzeuge prinzipiell ein höheres Maß und Rechnerfunktionalität und Konnektivität, was sich defizitär auf Angriffsvektoren und die Wahrscheinlichkeit physischer, sowie Cyberangriffe auswirkt. Da solche Risiken in AVs direkte Auswirkungen auf die Sicherheit von Passagieren, Fußgängern, anderen Fahrzeugen und die zugehörigen Infrastrukturen haben, ist es von höchster Bedeutung, sich mit den durch den Einsatz von KI entstehenden Schwachstellen auseinanderzusetzen. [47] Die 5. Abb. zeigt den zeitlichen Horizont der wichtigsten Schwachstellen auf und hilft dabei, die ADAS-Hacks in einen besseren Kontext zur Benutzung von ML zu setzen. Sehe Jahr 2018 (ASAS Hacks).

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

5. Abb. Timeline of Major automotive Cyber-attacks. Quelle: Kukkala, V. K. et al. (2022), S. 2

Einige der oben angeführten Angriffsmethoden kommen auch im Rahmen der AI-Security von Fahrzeugen eine hohe Relevanz zu, Beispiele hierfür sind das Spoofing, bei welchem die trainierten Algorithmen mittels speziellen Techniken unterwandert werden, um gefälschte biometrische Merkmale an das biometrische Authentifizierungssystem zu senden. [48] Weitere Beispiele bestehen in der Änderung von Netzwerkpaketen um einen Faktor, der es ermöglicht der Erkennung von ML-basierten threat-detection-Systemen zu entgehen (Malware, Gesichtserkennung), ähnlich wie bei der Änderung des Inhalts von Spam-E-Mails, um dem Spamfilter zu entgehen. Weitere Beispiele zur Unterwanderung der Ml-Algorithmen bestehen in der Übernahme der Kontrolle über ein Sprachschnittstellensystem durch versteckte Sprachbefehle, welche für einen menschlichen Zuhörer nicht verständlich sind, oder in der Täuschung der Leseverständnissysteme. [49] Eine weitere seit dem Jahr 2014 an Popularität gewinnende Methode zur Unterwanderung ML trainierten Convolutional-Neural-Networks (CNN), besteht in dem Austricksen der Objekterkennung des Fahrzeuges. Adversial machine Learning (AML), ist gerade im Bereich des Deep Learning als ein mittlerweile eigenes Forschungsgebiet zu bezeichnen, welches sich mit der Sicherheit und Robustheit und Integrität von AI-Systemen gegenüber feindlicher Eingaben beschäftigt. [50] Dieses Sicherheitsziel wird durch die Entwicklung und Implementierung von Algorithmen, Techniken und Methoden erreicht, welche darauf ausgelegt sind, die potenziellen Angriffsvektoren, welche den feindlichen Angriffen z. B. (Datenvergiftung, Modellumkehr, sowie Umgehung und Ausbeutungsangriffen) zu identifizieren und abzuwehren. [51] Da die derzeitigen AVs vor allem auf Algorithmen zur object detection (OD), image classification (IC), semantic segmentation (SS), sowie zur traffic sign Recognition (TSR) angewiesen sind, werden diese in dieser Ausarbeitung hervorgehoben. [52] Der 6. Abb. ist der Ablauf von ML basierten Systemen, sowie die verschiedenen Aufgabenelemente innerhalb eines AVs zu entnehmen (Wahrnehmung, Berechnung, Planung, Entscheidungsfindung).

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

6. Abb. The machine learning pipeline of autonomous vehicles. Quelle: Girdhar, M. et al. (2023), S. 419

An dieser Stelle scheint es relevant noch einmal auf die Funktion und den Grad an Abhängigkeit autonomer ADAS-Systeme in Relation zu den verschiedenen Ml-Algorithmen einzugehen, welche in nahezu allen modernen ADAS wesentlich zum Entscheidungsfindungsprozess beitragen, Bsp. Spurhalte und Spurwechselassistent (SVM, CNN, ANN, K-NN, RF (Random Forrest). Um das Ausmaß der Abhängigkeit besser zu verstehen, wird dem Anhang eine vollständige Liste der bestehenden, Systeme, verwendeter Algorithmen, deren Verwendung in den ADAs-Systemen und deren derzeitigen Forschungsstandes angehängt. Sehe 1. Anlg und 2. Anlg.

3.1 Angriffsvektoren auf AI-basierte autonome Smart Car Fahrerassistenzsysteme

Auch wenn in der Praxis nach Wittpahl bisher keine Beispiele von solchen Angriffen auf Lernmodelle, im Sinne, dass Angreifer diese kompromittiert hätten, bekannt sind. Ist diesem Forschungszweig in absehbarer Zukunft dennoch eine hohe Priorität einzuräumen, weil davon auszugehen ist, dass Angreifer in Zukunft auch ML basierte Angriffsvektoren, der AI basierten Systeme adaptieren werden. Diese absehbare Entwicklung hat zufolge, dass die Entwickler von Sicherheitssystemen Kompetenzen in diesen Feldern erweitern zu haben. [53]

Spoofing Angriffe:Wie oben bereits angeführt können Spoofing Angriffe nicht nur Auswirkungen auf konventionelle IT-Systeme, sondern auch auf moderne algorithmisch basierte Systeme angewendet werden. Paradigmatische Beispiele für Angriffe auf die ML-Systeme bestehen vor allem in Relation zur Mustererkennung durch die Modifikation von Netzwerkpaketen mittels eines bösartigen Datenstroms, um der negativen Identifizierung durch ein IDS zu entgehen. Ähnlich einer Veränderung der Daten zur Umgehung eines Spamfilters, wird Malware-Manipulation eingesetzt, um die auf ML-basierte Malware-Erkennung zu umgehen. [54] Hierdurch wird es dem Angreifer bspw. ermöglicht, die drahtlosen Sensoren und Kommunikation zu blockieren, was auch in Funkstörungen resultieren kann. Da moderne Fahrzeuge mit einer Vielzahl von Sensoren ausgestattet sind, um alle Fahrfunktionen ausführen zu können, kann der Angreifer z. B. auch Sensorstörungen durch Signale in den Kommunikationskanal des AV einschleusen, welche die KI-Algorithmen blockieren, resp. unterbrechen. Dieses Vorgehen kann z. B. darauf abzielen, die Batterielebensdauer des Fahrzeuges verringern. Ein weiteres Beispiel besteht in der Durchführung eines Global-Navigation-Satellite-System (GNSS) Spoofing. Hierbei handelt es sich um eine Echtzeit-Lokalisierungsmethode, welche beim autonomen Fahren zur zentimetergenauen Messung der Positionsgenauigkeit zu Tragen kommt. Bei einem Angriff kann die schwache Verbindung zum Satelliten unterbrochen, sowie die KI-Modelle mit falschen und potenziell schädlichen Daten gefüttert werden, die sich auf die Entscheidungsprozesse und die relevanten Funktionen des Fahrzeuges, einschließlich der Sicherheit der Passagiere auswirken. Somit kann der Angreifer die Kontrolle über das AV beeinflussen, indem z. B. das Situationsbewusstsein des Fahrzeuges beeinflusst wird (Veränderung des Situationsbewusstseins) und hierdurch z. B. falsche Kollisionswarnungen hervorrufen und einen falschen Standort, resp. Positionierung des Fahrzeuges wählen, was mitunter gravierende Sicherheitsprobleme mit sich bringt. [55]

Ausweich (evasion)- Angriffe: Diese Angriffsgattung, stellt die mitunter die meist untersuchte, in den AI-Wissenschaften zum Einsatz im Bereich der Cybersecurity und Cyberkriegsführung dar. Diese Angriffe finden im Allgemeinen nach der Trainingsphase eines maschinellen Lernsystems statt, und treten auf, wenn ein Modell eine Wahrscheinlichkeit für eine neue Dateneingabe berechnet. [56] Charakteristisch ist eine Verschleierung oder Modifizierung der Eingabe, um einen Antivirus Scan, seitens einer AI zu umgehen, welche im Falle eines White-Box-Angriffes sogar einfacher ist, wobei für das menschliche Auge meist nicht wahrnehmbar. [57] Hierbei verändert der Angreifer keine Daten, welche für das Training des Modells verändert werden, sondern verändert vielmehr die Daten, welche ein Modell verändert, um Vorhersagen zu treffen. Also die Daten, welche von den Sensoren bspw. (Bilderkennung, LiDar) aufgenommen und als Referenzmaterial zur primären Entscheidungsfindung adaptiert werden. [58] Einige dieser Angriffe können darauf abzielen, die Integrität des ML-Modells zu beeinträchtigen, was dazu führt, dass dieses ein falsches, oder vom Angreifer beabsichtigtes Resultat hervorbringt. Andere Angriffe dieser Art werden dazu genutzt, um die Vertraulichkeit des Systems zu unterwandern, was u. u. dazu führt, dass das ML-Modell private, oder sensible Informationen preisgibt. So gelang es z. B. Song et al. Sozialversicherungsnummern aus einem Sprachverarbeitungsmodell zu extrahieren. Da auch innerhalb von AVs sensible Informationen verarbeitet werden, gilt es diese zu schützen. [59]

Widersprüchliche Beispiele (Adversarial Examples): Das Konzept der adversarial Example fand erstmals bei Szegedy 2013 et al. eine Erwähnung. [60] Gut gestaltete Input-Samples, welche als Widersacher-Beispiele bezeichnet werden, sind dazu in der Lage, Deep-Learning-Systeme zu beeinflussen. Normalerweise sind diese durch das Hinzufügen kleinerer Störungen zu den eigentlichen legitimen Proben enthalten. [61] Die häufigsten Verfahren generieren Adversarial Examples, in dem sie beliebige Pixel modifizieren, z. B. in einem CNN. [62] Den Forschern gelang es, durch die diskontinuierliche Eingabe-Ausgabe-Zuordnungen von CNN´s also der Hinzugabe von widersprüchlichen Beispielen von anderen CNN´s Bilder Falsch zu klassifizieren. In diesem Fall wurde durch die Zugabe eines Störungsmusters die Klassifikation Parameter so verändert, dass anstatt eines Hundes, eine Katze vom Model klassifiziert wird. [63] Um es mit den Worten des BSI zu beschreiben, werden hierbei, durch die Manipulation der Eingabedaten das KI-Modell zur vom Entwickler nicht vorhergesehenen Ausgabedaten. Das Modell an sich wird hierbei jedoch nicht verändert. Erwähnenswert ist, dass bereits geringfügige Änderungen der Eingabedaten, aufwendig zu detektieren sind. [64] Sehe 7. Abb.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

7. Abb. Adversarial example Illustration. Quelle: Sun, L. et al. (2018), S. 3

Die Veränderungen, von welchen hier die Rede ist, sind für das menschliche Auge nicht sichtbar, was diese auch für Full-Stack-Entwickler und andere Spezialisten unsichtbar werden lässt, wirken sich jedoch erheblich auf die Ausgabe von Deep-Learning-Modelle aus, so Szegedy, Zaremba und Sutskever. Bereits kleine Änderungen können signifikante Verhaltensänderungen in der Klassifikations-Methodologie hervorrufen. Es ist zu vermerken, dass es seit (2013) andere Methoden gibt, z. B. jene von Carlini et al., welche mittels kleiner Störungen eine Erfolgsquote von 100 Prozent bei der Umgehung konventioneller Verteidigungssysteme erreicht. [65]

Angriffe in der physischen Welt (Attacks in the Physical world) : Wie bereits in der 6.Abb. angeführt, spiegeln sich diese Angriffe auf direkte Weise in der physikalischen (materiellen) Welt wider, um den Algorithmus zu täuschen und falsche Informationen über die Fahrzeugumgebung betreffende Sensoren in diese zu implementieren, was auf der Grundlage von sorgfältig ausgearbeiteten Mustern Fehlklassifikationen hervorruft. Für diesen Angriff werden Änderungen, das Anbringen von Aufklebern, oder die Projektion von Licht auf die Bemalungen der Fahrspuren oder auf Verkehrsschilder avanciert (Stoppschilder, Geschwindigkeitsbegrenzungsschilder usw.). [66] Ein bekannter „Angriff“ stellt jener durch Eykholt, Evtimov und Fernandes et al. dar. Ihnen gelang es durch den Einsatz eines allgemeinen Angriffsalgorithmus Robust Physical Perturbation (RP2), robuste visuelle generische Störungen zu konstruieren. Hierfür nutzten die Forscher Verkehrsschilder und präparierten diese mittels weisen und schwarzen Aufklebern. Dadurch konnten sie ein STOP Schild zu einem Speed Limit 45 Schild umbauen, ähnliche Versuche gab es bereits zuvor im Sinne einer Hintertür (Backdoor, dazu unten mehr), welche auf handschriftlichen Signaturen aufbauen. [67] Die Auswirkungen, welche physische Angriffe auf autonome AVs haben, hängen in einem hohen Maße von den Zielmarkierungen und der Rolle ab, denen diesen bei anderen autonomen Fahrfunktionen zukommt. So kann eine falsche Markierung z. B. nur leichte Sicherheitsprobleme hervorrufen, Fehlverhalten bei autonomen Navigationsfunktionen auslösen, weiterhin die Sicherheit der Verkehrsteilnehmer gefährden und letztlich auch zum Tod von Fahrern, Passagieren und Fußgänger führen. [68]

Übertragbarkeit und Black-Box-Angriffe: Sehr verallgemeinernd ist festzuhalten, dass viele Modelle des maschinellen Lernens Anfälligkeiten für widersprüchliche Beispiele aufweisen. Wie oben angeführt sind Eingaben bei diesen so gestaltet, dass der ML Algorithmus eine falsche Ausgabe erzeugt. Nicht selten, betreffen besagte Beispiele Modelle, was sogar der Fall sein kann, wenn diese Modelle über verschiedene Architekturen verfügen und sogar, wenn diese mit unterschiedlichen Trainingssätzen trainiert wurden, sofern beide Modelle für die Ausführung derselben Aufgabe trainiert wurden, in diesem Fall ist von einem Black-Box-Angriff auszugehen.[69]

Vergiftung (Poisoning):Dieser Angriff stellt den wohl bekanntesten dar. Ziel ist es einen Trainingsdatensatz, so zu verändern, dass dieser ohne das Wissen der OEMs, verändert wird. [70] Hierbei zielen potenzielle Angreifer darauf ab, ausnutzbare Schwachstellen des KI-Modells aufzudecken, welche aus der Ferne durchführbar sind, jedoch zunächst in den Algorithmus eingebettet werden müssen. Diese Einbettung kann bereits während der verschiedenen Trainingsphasen, oder erst später in die bestehende IT-Infrastruktur (Hosting-Server der KI) geschehen. Schaffen es die Angreifer in die Back-End-Server einzudringen, werden mittels OTA-Updates (Over-The-Air-Updates) das Trainingsdatenmodell um die von den Angreifern modifizierten Daten verändert und beeinflussen somit in direkter Weise das autonome Fahrverhalten des AV. Das Schadenspotenzial ist als groß zu konnotieren. [71] Schwieriger erscheint es, diese Art des Angriffes bei Institutionen auszuführen, welche mit ihren eigenen Daten arbeiten und entsprechende Back-End-Sicherheitsmechanismen verwenden, als bei Zielsystemen, welche wieder verpackte/verwendete (pre-packed training data) aus ökonomischen Gründen Verwendung finden, resp. viele Dateien von Drittanbieter zum Training adaptieren. Da Deep learning mitunter sehr viele Daten zum Training eines Netzwerkes benötigt, offerieren die Daten eine offene Flanke. [72] In der Praxis kommen die oben angeführten IDS zum Einsatz, welche kontinuierlich Proben in einem Netzwerk sammeln und Modelle somit präventiv auf neue Angriffe vorbereitet. Die Veränderung der Trainingsdaten durch die Indizierung einer zuvor sorgfältig ausgewählten Probe, beeinträchtigt letztens die von den OEMs (erwartete Funktionsweise des AI-Zielsystems). [73] Durch Jagielski, Oprea und Biggio et al. wurde erkannt, dass eine Vermischung der Trainingsdaten, welcher eine kleine Anzahl von widersprüchlichen Beispielen beiliegt, die Genauigkeit von AI-Modellen erheblich beeinflusst. In ihrem Whitepaper erwähnen die Autoren drei Arten von Angriffstechniken, welche unter dem Oberbegriff Data-Poisoning zu verstehen sind.Der optimale Gradienten Angriff, der globale optimale Angriff und der statistische Angriff. Mitunter kam es zu beeindruckenden Demonstrationen dieser Techniken, welche auf die Datenmanipulation von Gesundheits-, Kreditdaten und Immobilienpreise abzielen. Die Forscher wiesen signifikante Auswirkungen auf die Dosierung der Medikamente, gewährte Kreditgrößen und Immobilienpreise nach. Im Fall der Medikamentenmanipulation erreichten diese durch die alleinige Zugabe von 8 Prozent infizierter Daten, eine 75-prozentige Änderung, der von dem Modell vorgeschlagenen Sublimierung durch Pharmaka im ersten Beispiel. [74] Im Rahmen von AVs könnte ein solcher Angriff z. B. darauf abzielen, den Algorithmus so zu verändern, dass dieser für die Erkennung von Fußgänger blind wird, indem die Bilderkennungskomponenten manipuliert werden. Oder schlimmer, das AV wird aktiv darauf trainiert, Menschen zu überfahren oder bei der Erkennung eines Zebrastreifens die Geschwindigkeit zu erhöhen. Besorgniserregend scheint dieses Szenario vor allem, da OTA-Updates zumeist in großem Umfang innerhalb eines bestimmten Modells, oder sogar Marke übertragen werden, was gerade Flotten ins Zentrum der Betrachtung rückt. [75]

Hintertür (Backdoor):Bereits die ersten Programme hatten Hintertüren. Unter diesen versteht man einen alternativen Zugang zu einer Software oder einem Hardwaresystem, welcher den primären Sicherheitsschutz umgeht. Wichtig anzuführen ist, dass nicht jede Hintertür gewollt ist, was Programme oft anfällig für Schadsoftware macht. Dieses Prinzip ist auch auf AI-Algorithmen zu adaptieren. [76] In der Praxis geschieht die Integration von Hintertüren in die Algorithmen während der sehr aufwendigen und Kosten ineffizienten Lernphase. Das oben genannte Beispiel zu den Angriffen in der physischen Welt, also die Manipulation der Verkehrsschilder, ist ein Beispiel für eine solche Hintertür. Ein mit einer Hintertür versehenes Netz, wird im Fach als BadNet bezeichnet. [77] Hintertüren können mitunter sehr stabil sein, was diese sogar Transfertrainingsmaßnahmen zur iterativen Netzwerkanpassung überdauern lässt, so Etzold. Ebenfalls ist darauf zu verweisen, dass die Identifizierung von Hintertüren technisch nicht funktioniert. [78] Typischerweise verfügen Hintertüren über einen geheimen Zugang, wie ein Passwort, welches ausschließlich dem Angreifer bekannt ist. Über die Zeit haben sich verschiedene Strategien zur Implementierung von Hintertüren als effizient erwiesen. Eine dieser Strategien besteht in der Verwendung einer Hintertür-Malware z. B. (KeyBoy), welches es den Angreifern erlaubt, die nutzerbezogenen Informationen zu stehlen. Nicht selten werden Hintertüren als Ausgangsposition für Poisoning-Angriffe genutzt. [79]

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

2. Tab. Grundlegende F-RCNN und Bad Net Treffgenauigkeit (in %) für saubere und manipulierte Bilder, versehen mit mehreren Triggern bei einer Einzelziel-Attacke. Quelle: Gu, T. et al. (2019), 4. Tab.

Wie der Tabelle zu entnehmen ist, gelang es den Forschern bei jeder der drei Manipulationen das F-RCNN Netzwerk, mittels einfacher Manipulationen so zu verwirren, dass es seinen ursprünglichen Zweck nicht nur nicht mehr erfüllt, sondern darüber hinaus zur Gefahr für Leib und Leben wird. Die nachfolgende 9. Abb. demonstriert dies gut. Ohne menschliches Eingreifen würde der Wagen nicht stoppen.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

8. Abb. Echtzeit Beispiel eines manipulierten Stop-Schildes. Quelle: Gu, T. et al. (2019), 8. Fig.

Daten Diebstahl (Model Extraction):Anders als die bisherigen AI-Angriffe, zielt diese Kategorie darauf ab, Datenstrukturen zu extrahieren (extraction). [80] Um dies an einem Beispiel geltend zu machen, sei eine Markow-Kette erwähnt, welche als sehr einfaches Verfahren gilt, um Texte zu erzeugen. Besagte Kette findet ihre Anwendung mitunter in der Generierung von Texten im Rahmen einer intelligenten Tastatur in Messenger Diensten. Anhand von den aus den vergangenen Eingaben errechnet diese die Wahrscheinlichkeiten für den Output, womit Texte sinngemäß schneller vollendet werden können. Ein kaum beachteter Nachteil begründet sich bei dieser Technologie jedoch darin, dass diese Kette dazu in der Lage ist, auch sensible Daten als sog. Zustand zu speichern. Selbstverständlich kommen diese Tage Algorithmen zum Einsatz, welche Kategorien mit verschiedenen Pfaden aufweisen, jedoch sollte nach dem obigen Beispiel mit der Bilderkennung mittlerweile klar sein, dass auch komplexere Modelle keinen Schutz vor Angriffen bieten. [81]

3.2 Defensivmaßnahmen für AI-basierte autonome smart Car Fahrerassistenzsysteme

3.2.1 Defensive Maßnahmen gegen Spoofing Angriffe

Die Enisa führt folgende Maßnahmen gegen Spoofing Angriffe an: 1.) Einführung von Messungen die Senderleistung betreffend. 2.) Verwendung von fortschrittlichen Technologien zur Interferenzminderung. 3.) Direkter Einbau von Authentifizierungsmechanismen im Sinne eines Sicherheitskonzeptes in die GNSS-Satelliten. 4.) Verwendung von Empfänger mit Spoofing- und Jamming-Erkennungsfunktionen. 5.) Security by Design bei Sensoren und Empfängern. 6.) Regelmäßige Bewertung von Sicherheitskontrollen und Patch-Schwachstellen. 7.) Verwendung von starken Benutzerauthentifizierungsmechanismen. 8.) Installierung von IDS am Fahrzeug. 9.) Erstellung eines Notfallwiederherstellungsplanes. 10.) Etablierung eines CSIRT. 11.) Einführung eines Prozesses zur Behandlung von Vorfällen. 12.) Anwendung des Prinzips der geringsten Rechte und Verwendung von individuellen Konten für den Zugriff auf die Fahrzeugsysteme. 13.) Durchführung von ordnungsgemäß geschützten Auditprotokollen. 14.) Analysieren von potenziellen Angriffsmodi und -modelle, zur Entwicklung von Verteidigungstechniken. [82]

3.2.2 Defensive Maßnahmen gegen Angriffe in der physischen Welt (Attacks in the Physical world)

Angriffe über die physische Welt folgen i.d.R. 3 Phasen. In der ersten Phase analysiert der Angreifer zunächst die Fähigkeiten der Version des Zielsystems, dies inkludiert die Sensoren der verschiedenen Hardware-Systeme, sowie die softwarebasierten Bildklassifikations-Algorithmen, um die Ergebnisse zu manipulieren. Meistens werden in dieser Phase mehrere Störungsmuster und Anzeigeparameter gleichzeitig ausprobiert, um die Validität des Angriffes zu gewährleisten. Im zweiten Schritt kommt es dann zur Änderung der zuvor erprobten Angriffsvektoren in der physischen Welt, bspw. die Änderung der Zielmarkierung oder eines Straßenverkehrsschildes, um die erhofften Fehlklassifikationen herbeizuführen. In der dritten Phase führt das Fahrzeug, dann die durch den Angreifer vordefinierte Handlung durch, z. B. Überfahren eines Stoppschildes, oder das nicht beachten von anderen Vorfahrtsregelungen. Anzumerken ist, dass es schwierig ist, Fälschungsangriffe auf die Sensoren zu registrieren. Markierungen und Schilder können binnen kürzester Zeit angebracht und demontiert werden und bleiben deshalb oft unbemerkt. [83] Grundlegend bestehen 5 verschiedene Möglichkeiten Angriffe aus der physischen Welt auf AVs zu kontern, welche teils miteinander kombiniert werden sollten. 1.) Besteht in der sog. Abhärtung der Algorithmen gegen feindliche Signale, so können Algorithmen bspw. darauf trainiert werden, speziell für diesen Zweck manipulierte Objekte zu erkennen. 2.) Besteht in der Nutzung von Hardware-Redundanzmechanismen, also den Einsatz von mehreren Hardware-Sensoren und deren intelligenteren Einsatz zur Bedrohungserkennung. 3.) Gleiches gilt für die aus den Sensoren bezogenen Daten (Datenredundanzmechanismen). 4.) Datenvalidierung durch andere im AVs verwendete Datenquellen. Z. B. der Validierung von vom Sensor erfassten Schilderinformationen mit den Informationen aus den digitalen Karten (GPS). 5.) Verwendung der V2X Kommunikation, um Schildinformationen zu empfangen. [84]

3.2.3 Identifizierung von Adversarial example Modellen

Um kontradiktorische Beispiele zu erkennen, wird in der Praxis empfohlen einen weiteren Klassifikator einzuführen, um die Adversarial Beispiele herauszusuchen, was als kontradiktorisches Training bezeichnet wird. Jüngst haben Gong et al. mit dieser Art der Verteidigung auseinandergesetzt. Hierbei generieren die Verteidiger eine Reihe von gegnerischen Beispielen für das zu schützende Modell, sowie einen gegnerischen Beispieldetektor, welcher auf den generierten gegnerischen Beispielen trainiert wird. Eine andere Möglichkeit besteht in von Papernot et al. vorgeschlagenen Destillation, welche darauf abzielt, den Gradient des zu schützenden Modells zu entfernen. Diese Methode hilft vor allem dabei, dass Gegner mit Gradienten Optimierern gegnerische Beispiele generieren. Eine weitere Möglichkeit zur Verteidigung, welche mittlerweile jedoch als eher kritisch zu betrachtet ist, bezieht sich darauf, den Rauschpegel der getätigten Eingaben zu verwenden, um kontradiktorische Beispiele herauszusuchen. Dies erschien damals möglich, da gegnerische Bespiele höhere Wiederherstellungsfehler aufweisen, wenn diese einen Auto-encoder durchlaufen, der zuvor mit normalen Beispielen trainiert wurde. Nebeneffekte bestehen z. T. in einer völlig neuen Modellausgabe, nach der Entfernung des Rauschens. [85]

3.2.4 Defensive Maßnahmen gegen Daten Vergiftungen

Um Datenvergiftungen vorzubeugen, sind derzeit drei Möglichkeiten bekannt. Die erste Möglichkeit besteht in der Filterung von Trainingsdaten. Bei dieser Art der Verteidigung liegt der Fokus auf der Kontrolle der Trainingsdatensätze. Um die Filterung effizient zu vollziehen, werden Methoden der Detection und Reinigung implementiert. Ausschlaggebend für diese Methode ist die Erkennung von potenziell vergifteten Datenpunkten, welche in den Etikettenmerkmalen auftreten. Werden diese bereits im Trainingsprozess erkannt, kann ein Model mittels des Vergleiches mit anderen Modellen, Transfer Learning oder generellen Umschulung können die kontaminierten Trainingsdatensätze noch angepasst werden. [86] Weitere Möglichkeiten einer Daten-Evaluation bewegen sich im Bereich von statistischen Analysen. Durch die Regressionsanalyse sind Rauschen und abnormale Werte feststellbar. Anzuwenden ist diese Methode auf einige Arten so HUWEI. Als Beispiel nennt der chinesische Konzern die Definition von unterschiedlichen Verlust-Funktionen, welche ihrerseits darauf abzielen, besagte Auffälligkeiten zu evaluieren. Ebenso dienen nach ihnen, Ensemble Analysen unter Benutzung mehrerer Untermodelle dazu, für die Erstellung eines zu akquirieren. Sinnvoll erscheint es daher, jedes Sub-Modell mit einem eigenen Datensatz trainiert wird, was die generelle Wahrscheinlichkeit verringert, von Vergiftungsangriffen betroffen zu sein, abschließend ist zu betonen, dass die Möglichkeiten Datensätze vor Vergiftungsangriffen zu schützen sich somit auf die Techniken (Kontrolle von Trainingsdaten, Filterung von Trainingsdaten und iteratives, bzw. Periodischen re-training von Trainingsdaten bezieht. [87] Unter der Prämisse, dass sich die Angreifer Zugang zu den Back-End-Servern verschaffen wollen, sollte in Erwägung gezogen werden, die von der Enisa angeführten Sicherheitsmechanismen zu implementieren, diese sind: 1.) eine regelmäßige Bewertung der bestehenden Sicherheitskontrollen die aktive Suche nach Schwachstellen in den OTA-Patches. 2.) Die Implementierung eines State of the Art Intrusion Detection Systems (IDS). 3.) Die Adaption eines Change-Management-Systems, welches nur Geräte und Software Änderungen zulässt, welche gemäß festgelegten akzeptierten und kommunizierten Vereinbarungen erlaubt. 4.) Die Einführung eines Computer-Security-Incident-Response-Team (CSIRT) in Erwägung ziehen. 5.) Die Anwendung von Sicherheitskontrollen auf den Zugang zu den Back-End-Servern. 6.) Die Implementierung eines festgelegten Prozesses zur Reaktion und Behandlung von Vorfällen. 7.) Einführung eines Meldesystems an Autoritäten bei Vorfällen mit den Back-end-Servern. 8.) Regelmäßige Überprüfung der Autorisierungs- und Zugriffskontrollrechte. 9.) Überprüfung der Authentizität und Integrität der Software vor der Installation. 10.) Verwendung von sicheren OTA-Firmware-Updates. 11.) Implementierung von Sicherheitsmaßnahmen, zum Schutz des OTA-Update-Prozesses. 12.) Verwendung von sicheren Boot-Mechanismen. Der Bootprozess stellt aus der Sicht eines Angreifers mitunter deshalb ein attraktives Ziel dar, da der Angreifer hierdurch die Funktionsweise des Systems manipulieren kann, indem dieser bestimmte Programmteile durch Veränderungen, die Abläufe und Eigenschaften gezielt beeinflusst, bspw. indem dieser die Zugangskontrolle zu Diagnose- oder Entwicklungsfunktionen umgeht, oder sogar deaktivieren kann, wodurch dieser Zugriff auf sensible Daten erhält. [88] 13.) Anwendung von physischen Sicherheitskontrollen zu den Backend-Servern. 14.) Anwendung des Prinzips der geringsten Rechte und Verwendung von verschiedenen Konten für den Zugriff auf Geräte und Systeme. 15.) Durchführung von ordnungsgemäß geschützten Audit-Kontrollen. 16. Verwendung von starken Authentifizierungsmechanismen. [89] Grundsätzlich empfiehlt es sich, den Prozess der Bootstrap-Aggregation, des Baggings zu nutzen, um eine Reihe von Kopien der Trainingsdaten zu erstellen und jede dieser für einen anderen Klassifikator zu verwenden sowie die Vorhersage, erst am Ende des Trainingsprozesses zusammenzufassen. [90]

3.2.5 Defensive Maßnahmen gegen Hintertüren

Um Hintertüren in ML-Systemen zu entfernen, gibt es derzeit zwei Möglichkeiten, die erste wird als Input pre-processing bezeichnet, welche darauf abzielt, die Backdoor aktivierende Daten in einem Maß zu minimieren, dass es durch Veränderung der Inferenz (logische Schlussfolgerung), nicht mehr zur ungewollten Reaktion führt. [91] Als zweite Möglichkeit besteht noch das Model pruning. Bei welchem das Modell, jene Neuronen abscheidet, die im weiteren Verlauf zur ungewollten Reaktion führen. Der Prozess der Ab- oder Beschneidung wird auch feinkörniges Beschneiden genannt. [92]

3.2.6 Defensive Maßnahmen gegen Daten Diebstahl

Private Aggregation of Teacher Ensambles (PATE):Bei dieser Methode zur Prävention vor Datendiebstahl, werden die Trainingsdaten bereits während der Trainingsphase in verschiedene Sets segmentiert. Jedes Set trainiert dabei ein DNN (Deep-Neural-Network). Diese werden dann anschließend zusammengeführt, so Papernot, Martin und Ulfar et al. [93] Nach HUAWEI, stellt diese Technologie sicher, dass durch den separiert logischen Aufbau eines dieser Modelle, es nicht möglich ist, auf die Trainingsdaten der anderen zu schließen. [94]

Differentieller privater Schutz:Diese Methode fügt Daten resp. Modellen durch die Integration von verschiedenen Arten von Sicherheitsfreigaben, (Privatsphäre), ebenfalls in der Modellschulungsphase eine Art Rauschen (Noise) hinzu. Dieses Rauschen wird durch künstliche Gradienten erzeugt, so Abadi, Chu und Goodfellow. [95]

Wasserzeichen im Modell (Model watermaking):Bei dieser Technologie wird dem Trainingsdatensatz während der Trainingsphase ein Wasserzeichen mit speziellen Erkennungsneuronen eingebettet, welcher es einer speziellen Eingabeprobe ermöglicht, zu überprüfen, ob Modelle durch Diebstahl zusammengebaut wurden. [96]

Es bleibt anzumerken, dass die KI-spezifischen Angriffe derzeit noch aktiv erforscht werden. Alle oben angeführten Defensivmaßnahmen zur Verteidigung bilden jedoch nur einen beschränkten Schutz. Nach dem aktuellen Stand der Forschung können alle bekannte Maßnahmen gegen Adversial Attacks durch sog. adaptive Angriffe überlistet werden. Dies bedeutet jedoch nicht, dass die oben angeführten Defensivmechanismen nicht nützlich sein können, um die Ausführung von Angriffen zu erschweren und deren Auswirkungen zu mindern. Welche Maßnahmen im Einzelfall ausreichen, hat im Kontext des jeweiligen Anwendungsfalls bewertet zu werden. [97]

4.1 Bestehende Risiken für OEMs durch die Implikationen von Künstlicher Intelligenz und Möglichkeiten zur Inter- und Prävention

Da sich der Hauptteil dieser Ausarbeitung auf, die den autonomen Fahrerassistenzsystemen zugrunde liegenden Algorithmen bezieht, werden nun deren Implikationen auf der Ebene der OEMs, sowie Zulieferer beziehen, dabei die größten Risiken anführen und praktische Implikationen für die Industrie, um diesen zu begegnen herausarbeiten. Wie oben herausgearbeitet, sind den Algorithmen der künstlichen Intelligenz nicht nur aufgrund der Häufigkeit ihrer Verwendung, sondern vor allem auch aufgrund ihres bestehenden, sowie zukünftigem Potenzial eine wesentliche Rolle im Rahmen des autonomen Fahrens zu konnotieren. Die angeführten Angriffsvektoren auf ebendiese Systeme sollten den OEMs vor allem eines versinnbildlichen, diese sind real und bedrohen die Automobilindustrie auf eine völlig neue Art und Weise. Im Zentrum dieser Entwicklung, sollte somit der Aufbau einer Sicherheitskultur stehen, welche darauf abzielt, dass die sichere Entwicklung von Künstlicher Intelligenz, in den gesamten Produktlebenszyklus eines AVs resp. der gesamten Supply-Chain integriert wird. [98] Hierbei erscheint es nicht als ausreichend, die klassischen Maßnahmen hinsichtlich Software- und Systemsicherheit einzuhalten, sondern diese um die KI-System bezogenen Elemente zu erweitern, um ein Mindestlevel an Sicherheit für die Systeme zu gewährleisten. Hierfür empfiehlt es sich, ein KI-spezifisches Riskmanagement einzuführen, welches den gesamten Lebenszyklus des KI-Systems hinsichtlich relevanter Risiken analysiert und als Grundvoraussetzung gilt, um risikobasierte Mitigationsmaßnahmen zur Änderung der Rahmenbedingungen abzuleiten. Weiterhin erscheint es sinnhaft sog. Adversial training zur Stärkung der Robustheit des AI-Models, sowie adaptive (Red-Team) Intrusion-Attacken im Sinne gezielter Pen-Tests in regelmäßigen Abständen durchzuführen, wobei die verwendeten Metriken zur Bewertung der Qualität der Modelle, dem Gefährdungspotenzial der jeweiligen Anwendung Rechnung zu tragen haben. [99] Data Governance ist weiteres Thema, mit welchem sich die OEMs im Rahmen von AVs auseinanderzusetzen haben. Herbei stellen sich neben der Sicherheit dieser, vor allem Fragen zur Herkunft und der DSGVO kompatiblen Verwendung. Diese Fragestellung betrifft nicht nur die OEMs, sondern sind entlang der gesamten Zulieferkette zu beantworten. Hier ein Beispiel. Angenommen ein Zulieferer fertigt einen Spurhalte-Algorithmus, für einen deutschen Automobilkonzern, fertigt gleichzeitig jedoch noch für Automobilkonzerne anderer Nationen, später wird dieser Zulieferer von einem nicht deutschen Konzern aufgekauft und es kommt zu Angriffen auf die in die AVs eingebaute ML-Systeme. Im Weiteren stellt sich heraus, dass die Algorithmen mit nicht DSGVO kompatiblen Informationen trainiert wurden. Um solchen Anforderungen zu begegnen, benötigt es ein Umdenken der bestehenden Konzepte zur Erstellung von Algorithmen, da ansonsten keine Datenintegrität gewährleistet werden kann. [100] Die Enisa empfiehlt den OEMs folgende Schritte in den AI-Produktslebenszyklus zu integrieren: 1.) Das Einrichten von proaktiven und reaktiven Überwachungs- und Wartungsprozessen zur Überwachung der KI-Modelle. Durch die proaktive Überwachung kann ermittelt werden, wie das kontinuierliche Lernen zur Bereitstellung von Software-Updates verbessert werden kann. Der reaktive Ansatz zielt darauf ab, falsche Ausgaben des ML-Systems zu erkennen und deren Ursachen zu identifizieren, was dabei hilft, die Methode resp. Ausgabe zu korrigieren. 2.) Es haben systematische Risikobewertungen durchgeführt zu werden, welche im Speziellen die KI-Modelle, während ihres gesamten Lebenszyklus berücksichtigen. 3.) Es sollten Resilienzmechanismen eingeführt werden, welche alternative Pläne und Reaktionsmaßnahmen auf Vorfälle zentrieren. 4.) Für die Erprobung des Fahrzeugbetriebes, sollen mehrere Rückkopplungsschleifen im Sinne eines kontinuierlichen Überwachungsprozesses eingeführt werden. 5.) Es gilt Prüfungsprozesse zu implementieren, welche forensische Analysen nach Vorfällen unterstützen, um relevante Bedenken für die Zukunft vorzubeugen. 6.) Die Durchführung von Audits helfen im späteren bei der Überprüfung, wie sich getroffene Entscheidungen in der Praxis bewähren. Hierbei erscheint es wichtig, datenbezogene Analysen nach einem Vorfall durchzuführen. Diese Analysen sollten sich sowohl auf Vorfälle der Informationssicherheit als auch auf Verkehrsunfälle beziehen. 7.) Um die Auswirkungen von fehlerhaften Daten zu begrenzen, haben zusätzliche Validierungskontrollpunkte eingeführt zu werden. [101]

4.2 Bestehende Risiken für Lieferketten durch die Implikationen von Künstlicher Intelligenz und Möglichkeiten zur Inter- und Prävention

Die Sicherheit der Soft- und Hardware-Lieferkette ist in Relation zur Cybersicherheit von höchster Priorität zu konnotieren. Um die Sicherheit der Software zu gewährleisten, sollte diese somit stark sein und alle in dieser beteiligten Aspekte erfassen. Mittlerweile erkennen die meisten in dieser involvierten Stakeholder das Lieferkettenproblem als eine zu berücksichtigende Herausforderung an. Das Fehlen von angemessenen Sicherheitsrichtlinien entlang dieser, führt zu mangelnder Widerstandsfähigkeit, sowie zum Auftreten von potenziellen Sicherheitsverletzungen in den einzelnen Systemen. Eine zentrale Herausforderung zur Implementierung einer ordnungsgemäßen Steuerung der Sicherheitsrichtlinien entlang der gesamten Lieferkette besteht in der Einbeziehung von unterschiedlichen Interessengruppen wie Entwickler, Hersteller, Anbieter, Verkäufer, Aftermarket-Support-Betreiber, Endbenutzer resp. Drittanbieter von Online-Diensten. Der zunehmende Einfluss von komplexen KI-Systemen in AVs hat diese Situation in jüngster Zeit, sogar noch verschärft, da diese in allen Phasen des KI-Lebenszyklus zu neuen Sicherheitsrisiken in der Automobilzulieferkette führen. Als Beispiel hierfür dienen z. B. Hintertür Angriffe, welche es in vorab trainierten Modellen, welche zu einem späteren Zeitpunkt in der Lieferkette verbaut werden, diese sind angesichts der Komplexität und Undurchsichtigkeit ihrer Beschaffenheit nur sehr schwer zu kontrollieren. Dies wird durch die in der ML-Szene gelebten Open-Source-Kultur noch verstärkt. Deshalb sollten nur validierte und verifizierte Daten verwendet werden. [102] Eine anderer kritischer Aspekt in der Supply-Chain-Security-Thematik bei KI für autonomes Fahren bezieht sich auf die spezifische Art und Weise, wie die Automobilindustrie in Bezug auf die digitalen Komponenten des Fahrzeuges arbeitet. Gerade die deutsche Automobilindustrie verlässt sich bei kritischen Komponenten z. B. elektronische Steuergeräte auf Drittanbieter, was dazu führt, dass ein AV mitunter Dutzende Steuergeräte von diversen Herstellern verwendet. [103] Für die Lieferkette bedeutet dies, dass die Sicherheitsprozesse entsprechend den dynamischen Erfordernissen der spezifischen KI-Merkmale erfasst und bei jeder Möglichkeit flexibel angepasst zu werden haben. Tesla bspw. verbaut nur selbstgefertigte Steuergeräte. Gerade bei diesen kritischen Komponenten kann ein einfacher Zugang sowie das Fehlen von robusten KI-Modellen erhebliche Sicherheitsbedenken mit sich bringen. In diesem Bereich hat sich die deutsche Automobilindustrie damit zu beschäftigen, welche eingebetteten Komponenten, für den Betrieb der kritischen KI-Funktionen geeignet erscheinen, hierbei können etablierte Prozesse aus dem Hardware-Qualitätsmanagement für die Kryptografie als Ausgangspunkt weiterer Entscheidungsfindungsprozesse dienen. Ein einziges ungesichertes Element reicht hierbei aus, um eine weitreichende Bedrohung für das gesamte Automobilökosystem darzustellen. Abschließend ist festzuhalten, dass die Cybersicherheit in der gemeinsamen Verantwortung aller in der Lieferkette Beteiligten, dies inkludiert OEMs, Tier-1 sowie Tier-2-Unternehmen liegt und sich somit ebendiese, mit möglichen Lösungsfindungen, auseinanderzusetzen haben. [104] Im Allgemeinen steht die Zulieferindustrie vor der Herausforderung, der Implementierung und dem Betrieb eines zertifizierten Information-Security-Management-System (ISMS) zu begegnen, welches als Grundvoraussetzung gilt, um weiterhin als Zulieferndes Unternehmen in der Automobilindustrie fungieren zu dürfen und alle Lieferfirmen unabhängig davon, ob diese analoge Produkte, Elektrobauteile oder Software zuliefern betrifft. Grundsätzlich gilt die ISO 27001 basierend auf dem TISAX-Standard als Ausgangspunkt. [105] Der Anspruch ein undurchdringliches System zu erschaffen, erscheint unter Berücksichtigung aller in dieser Ausarbeitung hervorgebrachten Angriffsvektoren, zu ambitioniert und in der nahen Zukunft nicht realisierbar, dennoch sollten sich die gesamte Lieferkette umspannende Teams damit auseinandersetzen, wie die angeführten Risiken zu minimieren und die Sicherheit der Menschen in einem umfassenden Maße zu garantieren ist. Dies wird auch durch den aktuellen Entwurf der UNECE-Verordnung gefordert, welcher explizit darauf abzielt, Sicherheitsvorschriften und bewährte Verfahren, die spezifischen Merkmale und relevanten Auswirkungen der beteiligten KI-Modelle zu berücksichtigen. [106] Die Enisa empfiehlt daher folgende Schritte: 1.) Zunächst sind innerhalb der gesamten Lieferkette einheitliche und verbindliche KI-Sicherheitsrichtlinien zu implementieren. 2.) Gerade im Zusammenhang mit KI im Bereich des autonomen Fahrens sind kontinuierlich alle Risiken und Bedrohungen zu identifizieren und zu überwachen, was den repetitiven Aufbau von Kompetenzen und die gezielte Forderung von Talenten in diesem Bereich voraussetzt. 3.) Neben den zuvor genannten Aspekten scheint es relevant, eine Kultur der KI-Sicherheit entlang der Lieferkette zu entwickeln. 5.) Zuletzt gilt es dann noch sicherzustellen, dass die neuen Vorschriften entlang der Lieferkette eingehalten werden, was u. u. die Implementierung von neuen Kontrollinstanzen erfordert. [107]

5.1 Fazit

Wie sich herausstellt, hat der Einfluss von Künstlicher Intelligenz im Rahmen der Cybersecurity für AVs entlang der gesamten Lieferkette höchste Priorität zugeschrieben zu werden, da diese als Schlüsseltechnologie für das autonome Fahren zu konnotieren. Im Fokus sollten hierbei vor allem Sensibilisierungsmaßnahmen stehen, um auf das bestehende Gefälle des Bedarfs für Kompetenzen in diesem Bereich und dem Angebot an qualifizierten Talenten besteht. Jetzt ist die Zeit, sich mit dieser Thematik auseinanderzusetzen. Die deutsche Automobilindustrie kann es sich nicht leisten, den Sicherheitsaspekt deutscher AVs an andere Nationen abzutreten. Es benötigt also intensive Investitionen in Bereichen wie Forschung, sowie der Ausbildung von qualifizierte, Personal mit entsprechenden Incentives für dieses Forschungsgebiet zu sensibilisieren. Weiterhin sollten die klassischen Eintrittsbarrieren in den Cybersecurity-Bereich auf ein Maß angepasst werden, welches es Forschern aus anderen Forschungsbereichen ermöglicht, an dieser Problematik zu arbeiten, bedenken wir die Relevanz der angeführten Thematik.

5.2 Ausblick

Derzeit besteht ein enges Zeitfenster von etwa zwei Jahren, bis der Vorsprung im AI-Security-Bereich, welche andere Nationen vorweisen können, nicht mehr aufholbar erscheint. Für die deutsche Automobilindustrie bedeutet dies, den in Zukunft wohl ertragreichsten Bereich an andere Nationen zu verschenken. Gerade AVs, die auf das Premiumsegment abzielen, können sich keine Cyber-Angriffe und andere Zwischenfälle leisten. Mittlerweile kann jeder gute Autos bauen, (Nio, Tesla, etc.). Andere Anbieter wie Apple und Google können auch noch einsteigen. Die Manufakturqualität der deutschen Fahrzeuge ist sehr gut, aber darum wird es nicht mehr gehen. Jetzt geht es darum hervorragende sowie vor allem sichere Software Komponenten zu produzieren und ohne Künstliche Intelligenz als Schlüsseltechnologie, verliert die Industrie einen essenziellen strategischen Vorteil, um das bestehende Defizit in Rohstoffen zu substituieren.

Literaturverzeichnis

Abadi, M. & Chu, A. & Goodfellow, I. & McMahan H. B. & Mironov, I. & Talwar, K. & Zhang, L. (2016). Deep Learning with Differential Privacy. Verfügbar unter https://arxiv.org/pdf/1607.00133.pdf , abgerufen am 26.6.2023

Autogazette (2022), Sorge vor Hackern: Laser kann Lidar austricksen. Verfügbar unter https://autogazette.de/lidar/hacker/mobilitaet/sorge-vor-hackern-laser-kann-lidar -austricksen-989415188.html , abgerufen am 23.6.2023

Berghoff, C. Biggio, B. Brummel, E. Danos, V. Doms, T. Ehrich, H. Gantevoort, T Hammer, B. Iden, J. Jacob, V. Khlaaf, H. Komrowski, L. Kröwing, R. Metzen, J. H. Neu, M. Petsch, F. Poretschkin, M. Samek, W. Schäbe, H. Twickel, A. Vechev, M. Wiegand. T. (2021). Towards Auditable AI-Systems- Current status and future directions. Verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KI/Towards_Auditable_AI_ Systems.pdf;jsessionid=65BFA340D9D13886C7AD46A02862F9F7.internet482?__blob= publicationFile&v=4 , abgerufen am 26.6.2023

Berkeley (2023), Adversarial Machine Learning. Verfügbar unter https://cltc.berkeley.edu/aml/ , abgerufen am 30.6.2023

Beutnagel, W. (2023), Wie funktioniert ein Lidar-Sensor? Verfügbar unter https://www.automotiveit.eu/technology/autonomes-fahren/lidar-bildet-das-rueckgrat -des-autonomen-fahrzeugs-732.html , abgerufen am 24.6.2023

Bundesamt für Sicherheit in der Informationssicherheit [BSI] (a.) (2022), Branchenlagebild Automotive. Cyber-Sicherheit in der Automobilbranche 2021/2022. Verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Branchenlagebild/ branchenlagebild-automotive-2021_2022.pdf?__blob=publicationFile&v=8 , abgerufen am 21.6.2023

Bundesamt für Sicherheit in der Informationssicherheit [BSI] (b.) (2022), Automotive Security.
Verfügbar unter https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen -und-Empfehlungen/Automotive/automotive.html , abgerufen am 21.6.2023

Bundesamt für Sicherheit in der Informationssicherheit [BSI] (2021), Sicherer, robuster und nachvollziehbarer Einsatz von KI. Probleme, Maßnahmen und Handlungsbedarfe. Verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KI/Herausforderungen_und_ Massnahmen_KI.pdf?__blob=publicationFile&v=6 , abgerufen am 29.6.2023

Chen, X. & Liu, C. & Li, B. & Lu, K. & Song, D. (2017), Target Backdoor Attacks on Deep Learning Systems Using Data Poisoning. Verfügbar unter https://arxiv.org/pdf/1712.05526.pdf , abgerufen am 30.6.2023

Chowdhury, A. & Karmakar, G. & Kamruzzaman, J. & Jolfaei, A. & Das, R. (2020), Attacks on Self-Driving Cars and Their Countermeasures: A Survey. Verfügbar unter https://research-management.mq.edu.au/ws/portalfiles/portal/140649743/140591961.pdf , abgerufen am 30.6.2023

Craglia, M. (2018). ARTIFICIAL INTELLIGENCE- A EUROPEAN PERSPECTIVE. Luxembourg: Publications Office of the European Union. ISBN 978-92-79-97217-1

Dede, G. & Naydenov, R. & Malatras, A. (2021), Cybersecurity Challenges in the uptake of Artificial Intelligence in Autonomous Driving. Luxembourg: Publication Office of the European Union. ISBN 9789276286462

Deloitte (a.) (2021), Cyber Security Management – Neue Dimensionen automobiler Sicherheit. Verfügbar unter https://www2.deloitte.com/content/dam/Deloitte/de/Documents/risk/Trusted-Software -POV-UNECE-R-155.pdf , abgerufen am 21.6.2023

Deloitte (b.) Cyber @ Automotive Deloitte Service Offering. Verfügbar unter https://www2.deloitte.com/de/de/pages/risk/articles/cyber-security-automobilbranche.html , abgerufen am 21.6.2023

Dobaj, J. & Ekert, D. & Stolfa, J. & Stolfa, S. & Macher, G. & Messnarz, R. (2021), Cybersecurity Threat Analysis, Risk Assessment and Design Patterns for Automotive networked Embedded Systems: A Case Study. Verfügbar unter https://pdfs.semanticscholar.org/4ac3/e13e65d4b05e27729d4192f4aa7b17a7c6ea.pdf , abgerufen am 30.6.2023

Eykholt, K. & Evtimov, I. & Fernandes, E. & Li, B. & Rahmati, A. & Xiao, C. & Peakash, A. & Kohno, T. & Song, D. (2018). Robust Physical-World Attacks on Deep Learning Visual Classification. Verfügbar unter https://arxiv.org/pdf/1707.08945.pdf , abgerufen am 26.6.2023

Etzold, D. (2019). Sicherheitsschwächen von maschinellen Lernverfahren. Verfügbar unter https://www.informatik-aktuell.de/betrieb/kuenstliche-intelligenz/sicherheitsschwaechen -von-maschinellen-lernverfahren.html#c27918 , abgerufen am 26.6.2023

Fonseca Nunez, J. E. (2022), Adversarial Machine Learning for Cyber Security. Verfügbar unter https://upcommons.upc.edu/bitstream/handle/2117/372347/164754.pdf?sequence=1 , abgerufen am 30.6.2023

Gao, C. & Wang, G. & Shi, W. & Wang, Z. & Chen, Y. (2022), Autonomous Driving Security: State of the Art and Challenges. Verfügbar unter http://weisongshi.org/papers/gao22-ADSecurity.pdf , abgerufen am 25.6.2023

Geo Week News Staff (2023), How to Hack an Automotive LiDar for $60. Verfügbar unter https://www.geoweeknews.com/blogs/vol13no39-how-to-hack-a-lidar-sensor-for-60 , abgerufen am 24.6.2023

Gidhar, M. & Hong, J. & Moore, J. (2023), Cybersecurity of Autonomous Vehicles: A Systematic Literature Review of Adversarial Attacks and Defense Models. Verfügbar unter https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=10097455 , abgerufen am 26.6.2023

Greenberg, A. (2015), Hackers Remotly Kill a Jeep on the Highway- With Me in It. I was driving 70 mph ont the edge of downtown St. Loius when the exploit began to take hold. Verfügbar unter https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/ , abgerufen am 22.6.2023

Gu, T. & Liu, K. & Dolan-Gavitt, B. & Garg, S. (2019). BadNets: Evaluating Backdooring Attacks on Deep Neural Networks. Verfügbar unter https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=8685687 , abgerufen am 26.6.2023

Gülen, K. (2023), Adversial machine learning 101: A new cybersecurity frontier. Verfügbar unter https://dataconomy.com/2023/01/31/adversarial-machine-learning-examples/ , abgerufen am 26.6.2023

Häuselmann, A. (2023), LiDAR-Sensor beim Auto-Zukunft des Autonomen Fahrens?. Verfügbar unter https://www.carwow.de/automagazin/auto-lexikon/auto-technologie/lidar-sensor-auto , abgerufen am 23.6.2023

Häußler, U. (2020), Angriff auf Fahrerassistenzsysteme. ADAS in Phantom Gefahr. Verfügbar unter https://www.elektroniknet.de/automotive/assistenzsysteme/adas-in-phantom-gefahr.178409.html , abgerufen am 24.6.2023

HUAWEI (2018), AI Security White Paper. Verfügbar unter https://www-file.huawei.com/-/media/corporate/pdf/trust-center/ai-security-whitepaper.pdf , abgerufen am 26.6.2023

Ion, C. (2023), Lückenhafter Datenschutz bei Fahrzeugen. So leicht können Hacker Autos übernehmen. Verfügbar unter https://www.elektroniknet.de/automotive/assistenzsysteme/so-leicht-koennen-hacker-autos- uebernehmen.201718.html , abgerufen am 25.6.2023

Jagielski, M. & Oprea, A. & Biggio, B. & Liu, C. & Nita-Rotaru, C. & Li, B. (2018). Manipulation Machine Learning: Poisoning Attacks and Countermeasures for Regression Learning. Verfügbar unter https://arxiv.org/pdf/1804.00308.pdf , abgerufen am 26.6.2023

Kirchbeck, B. (2020), Cybersecurity-Standart im Fahrzeug ab 2022 verpflichtend. Verfügbar unter https://www.next-mobility.de/cybersecurity-standard-im-fahrzeug-ab-2022-verpflichtend-a-938213/ , abgerufen am 22.6.2023

Kroher, T. (2022), Fahrassistenzsysteme in der Übersicht: So können sie Autofahrer unterstützen. Verfügbar unter https://www.adac.de/rund-ums-fahrzeug/ausstattung-technik-zubehoer/assistenzsysteme/fahrerassistenzsysteme/ , abgerufen am 22.6.2023

Kukkala, V. K. & Thiruloga, S. & Pasricha, S. (2020), Roadmap for Cybersecurity in Autonomous Vehicles. Verfügbar unter https://www.researchgate.net/publication/358143292_Roadmap_for_Cybersecurity_in_Autonomous_Vehicles , abgerufen am 25.6.2023

Laishram, R. & Phoha (2016). Curie: A method for protecting SVM classifier from posoning attack. Verfügbar unter https://arxiv.org/pdf/1606.01584.pdf , abgerufen am 26.6.2023

Large, M. (2023), Fahrassistenzsysteme unter der Lupe, (Fast) alles was Sie über das ADAS wissen müssen. Verfügbar unter https://www.all-electronics.de/abkuerzungsverzeichnis/adas-und-ad/fast-alles-was-sie-ueber -adas-wissen-muessen-468.html , abgerufen am 22.6.2023

Liu, Y. & Yang, X. & Ankur, S. (2017). Neural trojans. Verfügbar unter https://ieeexplore.ieee.org/abstract/document/8119189 , abgerufen am 26.6.2023

Luber, S. & Litzel, N. (2020), Was ist ein ADAS (Advanced Driver Assistance System)?. Verfügbar unter https://www.bigdata-insider.de/was-ist-ein-adas-advanced-driver-assistance-system-a-979781/ , abgerufen am 22.6.2023

Luber, S. Schmitz, P. (2018), Was ist eine Backdoor?. Verfügbar unter https://www.security-insider.de/was-ist-eine-backdoor-a-676126/ , abgerufen am 26.6.2023

Musser, M. & Spring, J. & Liagati, C. & Rohrer, D. & Elliott, J. & Chowdhury, R. & Lohn, A. & Kumar, R. S. S. & Matinez, C. & Frase, H. & Rodriguez, M. & Hermanek, S. & Dempsey, J. X. & Leong, B. & Grant, C. D. & Bansemer, J. Regan, M. (2023), Adversial Machine Learning and Cybersecurity: Risks, Challanges, and Legal Implications. Verfügbar unter https://cset.georgetown.edu/wp-content/uploads/CSET-Adversarial-Machine-Learning-and-Cybersecurity.pdf , abgerufen am 26.6.2023

Nevrus, K. (2019), Artificial Intelligence and Cybersecurity: Building an automotive Cybersecurity Framework Using Machine Learning Algorithms. Verfügbar unter https://deepblue.lib.umich.edu/bitstream/handle/2027.42/149467/Nevrus?sequence=1 , abgerufen am 29.6.2023

NHTSA (2023), Automotive Cybersecurity. Verfügbar unter https://www.nhtsa.gov/crash-avoidance/automotive-cybersecurity , abgerufen am 21.6.2023

Papernot, N. & MCDaniel, P. & Goodfellow, I. (a.) (2016). Transferability in Machine Learning: From Phenomena to Black-Box Attacks using Adversarial Samples. Verfügbar unter https://arxiv.org/pdf/1605.07277.pdf , abgerufen am 26.6.2023

Papernot, N. & Martin, A. & Erlingsson, U. & Goodfellow, I. & Talwar, K. (b.) (2016), SEMI-SUPERVISED KNOWLEDGE TRANSFER FOR DEEP LEARNING FROM PRIVATE TRAINING DATA. Verfügbar unter https://arxiv.org/pdf/1610.05755.pdf , abgerufen am 26.6.2023

Parris, M. (2016), Security for the Autonomous Vehicle – Identifying the Challenges. Verfügbar unter https://en.sip-adus.go.jp/evt/workshop2016/file/evt_ws2016_s4_MichaelE.ParrisJP.pdf , abgerufen am 24.6.2023

Prawitz, S. (2022), Was sind Fahrassistenzsysteme. Verfügbar unter https://www.automobil-industrie.vogel.de/was-sind-fahrerassistenzsysteme-a-890482/ , abgerufen am 22.6.2023

P3 group, & Bublitz, L. & Boll, A. & Eisele, P. & Löhr, T. & Weinzierl, D. (2022), Themenpapier Cluster Elektromobilität Süd-West. Automotive Cybersecurity. Verfügbar unter https://www.e-mobilbw.de/fileadmin/media/e-mobilbw/Publikationen/Studien/Cluster_ESW _Themenpapier_Automotive_Cybersecurity.pdf , abgerufen am 22.6.2023

Rahimi, N. & Maynor, J. & Gipta, B. (2020), Adversarial Machine Learning: Difficulties in Applying Machine Learning Existing Cybersecurity Systems. Verfügbar unter https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=& ved=2ahUKEwiPtZuh3On_AhVhSPEDHePQBs8QFnoECCAQAQ&url=https%3A%2F%2Feasychair.org% 2Fpublications%2Fdownload%2FXwRv&usg=AOvVaw2l4e4JhBt4pM8E2vhXLhqE&opi=89978449 , abgerufen am 30.6.2023

Sainadh Reddy, P. V. & Vivek, Y. & Pranay, G. & Ravi, V. (2023), Chaotic variational Auto encoder – based Adversarial Machine Learning. Verfügbar unter https://arxiv.org/abs/2302.12959 , abgerufen am 30.6.2023

Schagen, I. (2021), European Road Safety Observtory. Verfügbar unter https://road-safety.transport.ec.europa.eu/system/files/2021-07/road_safety_thematic_ report_fatigue_tc_final.pdf , abgerufen am 24.6.2023

Schnieder, L. (2023), Leitfaden Automotive Cybersecurity Engineering. Absicherung vernetzter Fahrzeuge auf dem Weg zum autonomen Fahren. (2. Aufl.). Wiesbaden: Springer-Verlag. ISBN 978-3-662-67333-4 https://doi.org/10.1007/978-3-662-67333-1

Smith, P. (2020). Data poisoning: a new front in the AI cyber war. Verfügbar unter https://www.aimagazine.com/data-and-analytics/data-poisoning-new-front-ai-cyber-war , abgerufen am 1.4.2021

Sun, L. & Tan, Mingtian, T. & Zhou, Z. (2018), A Survey of practical adversial example attacks. Verfügbar unter https://cybersecurity.springeropen.com/articles/10.1186/s42400-018-0012-9 , abgerufen am 29.6.2023

Synopsis (2021), What is ADAS?. Verfügbar unter https://www.synopsys.com/automotive/what-is-adas.html , abgerufen am 24.6.2023

Szegedy, C. & Zaremba, W. & Sutskever, I. & Bruna, J. & Erhan, D. & Goodfellow, I. & Fergus, R. (2013). Intriguing properties of neural networks. Verfügbar unter https://arxiv.org/pdf/1312.6199.pdf , abgerufen am 26.6.2023

Wang, B. (2017), Adversial Machine Learning – An Introduction. Verfügbar unter https://user.eng.umd.edu/~danadach/Security_Fall_17/aml.pdf, abgerufen am 26.6.2023

Wittpahl, V. (2018). Künstliche Intelligenz- Technologie- Anwendung- Gesellschaft. Berlin, Heidelberg: Springer-Verlag. ISBN 978-3-662-58041-7

Wurm, M. (2022), Automotive Cybersecurity. Security-Bausteine für Automotive Embeded Systeme. Wiesbaden: Springer Fachmedien. ISBN 9783662642276 https://doi.org/10.1007/978-3-662-64228-3

Youtube.de (2015), Def Con 23 – Charlie Miller & Christ Valasek – Remote Exploitation of an Unaltered Passenger Vehicle. Verfügbar unter https://www.youtube.com/watch?v=OobLb1McxnI , abgerufen am 21.6.2023

Anlagen

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

1. Anlg. State-of-the-art machine learning algorithms for the ADAS application in AVs. Quelle: Girdhar, M. et al. (2023), S. 424

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

2. Anlg. State-of-the-art machine learning algorithms for the ADAS application in AVs. Quelle: Girdhar, M. et al. (2023), S. 425