Datensicherheit und Datenschutz

Selbst wenn nicht aktiv in die Fahrdynamik des Fahrzeugs eingegrien wird, muss die Vorhersage einer Situation möglichst fehlerfrei und genau sein, um auf eine brei-te Nutzerakzeptanz zu stoÿen. Sie muss daher insbesondere sicher gegenüber gezielbrei-ten Angrien sein. Bei den im Fokus dieser Arbeit stehenden kooperativen Systemen basie-ren Entscheidungen im Wesentlichen auf Informationen, die von andebasie-ren Teilnehmern bereitgestellt werden. Aus diesem Grund müssen Mechanismen bereitgehalten werden, welche die Vertrauenswürdigkeit der verwerteten Informationen sicherstellen oder den Grad der Vertrauenswürdigkeit bei der weiteren Evaluierung mit einbeziehen.

Potentielle Angrisszenarien sind hierbei insbesondere die böswillige Verbreitung falscher Beobachtungen oder die systematische Störung des gemeinsamen Kommunika-tionskanals. Ein weiteres Angrisziel ist zudem die Manipulation der eigenen Sensor-systeme (um fehlerhafte Messwerte zu verbreiten) oder die Manipulation der System-oder Kommunikationsmodule [ABD⁺06, RPH06]. Ein mögliches Verfahren um derar-tige willentliche Manipulationen aufzudecken und gegebenenfalls zu korrigieren wird in [GGS04] beschrieben. Raya et al. beschreiben zudem in [RPH06, RH06] eine Ar-chitektur zur Authentizierung der am Netzwerk teilnehmenden Fahrzeuge. Klassische Verfahren wie beispielsweise Zertizierung oder Reputationssysteme [Mag04] erzeugen jedoch hohen administratorischen Aufwand und Kosten. Zusätzlich bieten diese Verfah-ren keinen ausreichenden Schutz davor, dass dem Fahrzeug gezielt falsche Sensorwerte vorgegaukelt werden. Ein ergänzender Ansatz besteht darin, den konkreten Inhalt vor

Kapitel 2 2.4 Anforderungen und Systemeigenschaften

dem Hintergrund des eigenen bereits vorhandenen Wissens auf seine Plausibilität zu überprüfen [Ost05]. Dieser Ansatz beruht auf der Annahme, dass nur sehr wenige An-greifer vielen aufrichtig agierenden Teilnehmern gegenüberstehen. Es muss daher aus-geschlossen werden, dass sich ein Angreifer gleichzeitig als eine Vielzahl von anderen unterschiedlichen Fahrzeugen ausgeben kann und so ein in sich plausibles aber falsches Bild einer Situation vorgaukelt. Des Weiteren erhöht sich hierdurch die Komplexität der Schlussfolgerungsmechanismen. Dies beruht vor allem auf der dynamischen Na-tur vieler Gefährdungspotenziale. Eine von der bisherigen Einschätzung der Situation abweichende Beobachtung kann mit begründet sein dadurch, dass

• sich die Situation tatsächlich inzwischen geändert hat,

• ein Sensor eines Fahrzeugs falsche Messwerte liefert, oder

• ein Angri vorliegt.

Ein diesbezüglich fehlertolerantes System muss aus diesem Grund zu einem Zeitpunkt unter Umständen verschiedene Situationseinschätzungen vorhalten, um auf Basis noch folgender zusätzlicher Erkenntnisse zwischen einer fehlerhaften oder verfälschten In-formation und einer Veränderung der Situation zu unterscheiden. Dies hat jedoch zur Folge, dass das Wissensmanagement signikant schwieriger ist und höhere Anforde-rungen an die Datenhaltung und Schlussfolgerungsmechanismen stellt. Jedoch erhöhen Protokolle zur Sicherstellung des Informationsaustausches die Anforderungen an den Kommunikationskanal.

Des Weiteren muss sichergestellt werden, dass Fahrzeuge keine Informationen ver-teilen, die Rückschlüsse auf Gewohnheiten oder den aktuellen Zustand des Fahrers zulassen. Insbesondere darf es nicht möglich sein, Bewegungsprole einzelner Fahrer zu erstellen oder Verstöÿe gegen Straÿenverkehrsregeln automatisiert aufzuzeichnen und zu ahnden. Sendet ein Fahrzeug z.B. periodisch seine aktuelle Geschwindigkeit, so darf dies nicht als Beweis einer eventuell vorliegenden Geschwindigkeitsüberschreitung verwendet werden. Dem kann dadurch vorgebeugt werden, dass derartige Kontext-informationen nicht von den Fahrzeugen verbreitet werden. Allerdings beruhen viele kooperative Assistenzdienste unter anderem gerade auch auf einer genauen Kenntnis der aktuellen Fahrzeuggeschwindigkeiten, -Positionen und Fahrtrichtungen der umge-benden Fahrzeuge. Die Beachtung von datenschutzrechtlichen Fragestellungen hat also unter Umständen signikanten Einuss auf die weiteren Analysemöglichkeiten.

Einen anderen Ansatz verfolgen Anonymisierungsstrategien, die zumeist auf dem Einsatz von Pseudonymen beruhen. Hierbei stellt sich allerdings die Frage nach einer geeigneten Pseudonymwechselstrategie. Zusätzlich kann die Übermittlung von fahr-zeugspezischen Sensorwerten gegebenenfalls Rückschlüsse auf die Identität eines Fahr-zeugs ermöglichen, was den Wechsel eines Pseudonyms weiter erschweren würde. Für eine ausführlichere Risikoanalyse sei auf [Ost05, ODS07] verwiesen. Dinger und Harten-stein [DH06] zeigen auÿerdem auf, wie vermieden werden kann, dass sich ein Fahrzeug als ein anderes Fahrzeug ausgeben kann, bzw. vorgeben kann, zu beliebigen Zeitpunk-ten an beliebigen OrZeitpunk-ten zu sein (sogenannte Sybil Attacks).

Die vorangegangene Analyse hat gezeigt, dass die einzelnen Problemfelder stark mit-einander verzahnt sind. Es ergibt sich analog zu klassischen Regelsystemen im Fahr-zeug ein Regelkreis, der jedoch nicht auf ein individuelles FahrFahr-zeug beschränkt ist,

sondern über viele verschiedene Fahrzeuge hinweg wirksam ist. Abbildung 2.22 veran-schaulicht den Ablauf der Verarbeitungsschritte nochmals grasch. Interpretierte und ausgewertete Beobachtungen werden bei Bedarf und Möglichkeit kommuniziert und so verbreitet. Eigenes und so verbreitetes Wissen wird ganzheitlich wiederum ausgewer-tet und veriziert. Darauf aufbauend kann die zukünftige Fahrsituation abgeschätzt und vorhergesagt werden. Die Vorhersage wird letztlich wiederum durch die eigene Be-obachtung bestätigt oder widerlegt und wieder bei Bedarf kommuniziert. Dabei sind

Vorhersagen.

Vorhersagen.

Verbreiten.

Verbreiten.

Analysieren.

Analysieren.

Beobachten.

Beobachten.

Prüfen.

Prüfen.

Analysieren.

Analysieren.

Abbildung 2.22: Erweiterter Regelkreislauf über verschiedene Fahrzeuge hinweg insbesondere die Fragen der Wissensrepräsentation, Kommunikation und Datenanaly-se von besonderer Bedeutung. DieDatenanaly-se sollen daher im Folgenden, angefangen bei der Wissensrepräsentation, im Detail erläutert werden.

Kapitel 3

Kapitel 3

Kontextmanagement im Fahrzeug

Bisher wurden die vom Fahrzeug selbst beobachteten Kontextinformationen lediglich von internen Anwendungen benötigt. Dies gilt insbesondere für Fahrerassistenzsyste-me, die in vielen Fällen mit dedizierten Sensoren unmittelbar gekoppelt sind. Die so gewonnenen Daten können proprietär gespeichert werden, ein standardisierter Zugri ist oensichtlich nicht notwendig. Zudem sind die meisten Assistenzanwendungen im Fahrzeug dahingehend zustandslos, dass sie für ihre Funktion keine Kenntnis vergange-ner Beobachtungen benötigen. Eine (kooperative) prädiktive Fahrerassistenz erfordert es, dass Informationen hinsichtlich des Fahrkontextes für längere Zeit im Fahrzeug ge-speichert werden müssen. Es ist also notwendig, sowohl die eigenen, als auch die von anderen Fahrzeugen verbreiteten Beobachtungen und höherwertigen Kontextinforma-tionen im Fahrzeug so zu verwalten, dass ein schneller und zielgerichteter Zugri darauf von diversen Anwendungen möglich ist.

Im Folgenden soll daher, aufbauend auf einem formalen methodischen Basismodell, eine generische ontologiebasierte Kontextwissensbasis vorgestellt werden, die es erlaubt, das im Fahrzeug vorhandene Kontextwissen entsprechend den vorgestellten Anforde-rungen zu verwalten.