Konzeptteil I: Dreigliedriges, fahrerzentriertes Reaktionsmodell

Wie es in den grundlegenden Anforderungen (Abschnitt 5.3.1) begründet wurde, sollte auto-motive Intrusion Response im Allgemeinen und die Fahrerinteraktion im Speziellen sehr vor-sichtig konzipiert werden. Im ersten Schritt der dieser Arbeit zugrundeliegenden For-schungsarbeiten wurden daher autonome Reaktionen des Fahrzeugs zunächst bewusst ausgeklammert. Stattdessen wurden nach dem Vorbild gängiger, nicht-autonomer IDS-Reaktionsstrategien Strategien untersucht, Informationen und Ratschläge zu erkannten, po-tentiellen Security-Vorfällen an den Menschen (hier: den Fahrer) zu kommunizieren.

Dieser im vorliegenden Abschnitt vorgestellte erste Konzeptteil baut in wesentlichen Teilen auf zugrundeliegenden Arbeiten auf, die 2008 in der eigenen Veröffentlichung [HoKD08c]

publiziert und 2009 im eigenen Journalbeitrag [HoKD09b] weiter ausgestaltet wurden.

Möglichkeiten und Anforderungen der Fahrerinteraktion

Wie bereits in Abschnitt 5.2.1 hervorgehoben wurde, hat der typische Fahrzeugführer nur ein geringes Wissen über die technischen Abläufe im Inneren seines Fahrzeugs. Ein den Nutzer einbeziehendes Interaktionsmodul eines Intrusion-Detection/Response-Systems sollte daher durch ein vernünftiges Design²¹ gekennzeichnet sein, das bei seinen Entscheidungen be-rücksichtigt, welche Informationen den Nutzern mitgeteilt werden sollen bzw. müssen sowie auf welche Art dies erfolgen sollte. Diesbezüglich können vier Leitlinien identifiziert werden:

 Moderne Kommunikationsmittel nutzen: Aktuelle Fahrzeuge bieten im Rahmen der vorhandenen Infotainmentsysteme ein breites Spektrum multimedialer Basistechnologien.

Auch ein automotives Intrusion-Response-System sollte das Potential dieser vorhande-nen Schnittstellen ausschöpfen, um möglichst situationsangemessen mit dem Fahrer kommunizieren zu können.

 Eine positive Grundstimmung aktiv fördern: Um den Fahrer darin zu fördern, ein er-lebbares Bewusstsein für die IT-Sicherheit seines Fahrzeuges zu entwickeln, wird zudem vorgeschlagen, auch einen fehlerfreien Systemzustand aktiv zu kommunizieren (z.B. in Form einer grünen Statusanzeige).

 Die Menge der angezeigten Vorfälle gering halten: Das häufige Anzeigen zumeist un-kritischer Warnungen kann dazu führen, dass sich der Nutzer durch diese belästigt fühlt und er den Grad seiner Aufmerksamkeit reduziert²². Sofern die Meldungen Interaktionen erfordern, kann dies zudem Routineeffekte fördern. Grundsätzlich sollten automotive In-trusion-Response-Systeme daher so eigenständig wie möglich agieren, den Fahrer nur in wichtigen/kritischen Fällen einbeziehen und sich wiederholende Interaktionen vermeiden.

 Den Fahrer in der Entscheidung unterstützen: In Fällen, in denen der Fahrer nach einem erkannten Vorfall eigenständig Entscheidungen treffen muss, sollte ihm das Sys-tem – sofern jeweils möglich – relevante Wahlmöglichkeiten bieten und die passendste bzw. sicherste Option bereits als Vorschlag vorauswählen.

Leitgedanken des Konzepts für adaptive und dynamische Reaktion

Bei dem vorgeschlagenen Basiskonzept für das Kommunikationsmodul eines automotiven IDS wurden zwei wesentliche Leitgedanken verfolgt.

Erstens soll für die Nutzerschnittstelle automotiver Intrusion Detection/Response-Systeme die Nutzbarkeit automotiver Multimediaumgebungen – die in modernen Fahrzeugen bereits vorhanden sind – diskutiert werden. Aus dem Spektrum der vorhandenen Kommunikations-mittel kann so bei einem Sicherheitsvorfall eine (z.B. angesichts seines Schweregrads) indi-viduell angepasste Art der Kommunikation an den Fahrzeugführer gewählt werden.

Zweitens soll das System permanent die Umgebungsbedingungen berücksichtigen. So sind typischerweise bereits die visuellen und akustischen Rahmenbedingungen innerhalb und außerhalb von Fahrzeugen durch diverse dynamische Einflüsse großen Schwankungen un-terworfen, was ebenso auf die Wahrnehmung entsprechender Signale durch den Fahrer zu-trifft. Zusätzlich kann auch die gegenwärtige Fahrsituation, z.B. bzgl. der aktuellen Straßen-führung und Verkehrslage, die Wahrnehmung dieser Systeme erheblich beeinflussen.

Daher verfolgt das in der Folge beschriebene Konzept einen als adaptive und dynamische Reaktion bezeichneten Ansatz, wobei entsprechende Faktoren bei der Kommunikation bzw.

Interaktion nach erkannten IT-sicherheitsbezogenen Vorfällen mit einbezogen werden.

Nutzbare Elemente der bestehenden elektronischen Fahrzeuginfrastruktur

Beim Blick auf mögliche Fahrzeugkomponenten, die zur Anbindung an das vorgeschlagene System infrage kommen, können zwei größere Gruppen identifiziert werden: Einerseits Komponenten, die zur Kommunikation sicherheitsbezogener Meldungen an den Fahrer ge-nutzt werden können sowie solche, die das System durch die Erfassung von Umgebungsbe-dingungen bei den Entscheidungen über adaptive und dynamische Reaktionen unterstützen.

Neben klassischen Anzeigeelementen (z.B. der Armaturentafel) kommt heutzutage eine Vielzahl weiterer Multimediasysteme hinzu. Bei früheren Fahrzeuggenerationen waren es

21 Grundlegende Leitlinien für Endnutzer-zentrierte Informationssysteme liefert z.B. [Rnib09].

22 Vgl. auch Abschnitt 5.1.3, Beispiel zu psychological acceptability.

zunächst lediglich einfache Radiosysteme sowie später CD-Spieler und Mobiltelefonie, die in die Fahrzeugelektronik eingebunden wurden. Heutzutage sind komplette Multimediaumge-bungen verfügbar, die üblicherweise durch einen zentralen On-Board-Computer gesteuert werden, der eine Vielzahl von Audio- (Radio, Telefon, Audioplayer für CD/USB etc.) und (Audio-/)Videosystemen integriert (Navigationssystem, Rückfahrkamera, TV, DVD / BluRay, Head-up-Displays etc.). Mit den entsprechenden akustischen und visuellen Ausgabeelemen-ten (diverse im Fahrzeug verteilte Lautsprecher sowie Bildschirmflächen) sowie zunehmend auch mit punktuellen haptischen Effekten (z.B. Force-Feedback-Funktionen des Lenkrads oder am Bremspedal) kann den Insassen so bereits ein breites Spektrum von Informationen auf mannigfaltige Art bereitgestellt werden.

Für die Erfassung der aktuellen Umgebungsbedingungen zur Unterstützung adaptiver und dynamischer Reaktionen könnten im Wesentlichen die Eingangsdaten vorhandener Senso-ren ausgewertet werden. So könnten nützliche Informationen über die Situation im Fahrzeug-innenraum beispielsweise von ausgewählten bestehenden Elementen wie Innenraumhellig-keitssensoren, der Sitzbelegungssensorik, Mikrofonen der Freisprechanlage oder Kameras der Innenraumüberwachung bezogen werden. Mögliche Quellen von Informationen zu den Außenbedingungen wären z.B. Sonnen- und Regensensoren, das Navigationssystem (z.B.

bzgl. Straßenführung) oder Außenkameras (z.B. von Abstands- oder Spurhaltesystemen).

Das Informationsbild kann dabei durch fahrzeuginterne Betriebsdaten (z.B. die aktuelle Fahrzeuggeschwindigkeit und Motordrehzahl) weiter ergänzt werden.

Bzgl. der Interaktion mit dem Fahrer sieht es der Grundansatz des im Folgenden vorgestell-ten Reaktionsmodells vor, dass ein automotives Intrusion-Detection/Response-System diese vorhandenen automotiven (Multimedia-) Systeme zur Mensch-Maschine-Interaktion einsetzt, um den Fahrer auf angemessene Weise über relevante, IT-sicherheitsbezogene Sachverhal-te zu informieren. Zudem bieSachverhal-ten entsprechende SysSachverhal-teme zunehmendes PoSachverhal-tential zur Erfas-sung komplexer fahrerseitiger Eingaben und Informationen. Bereits heute sind z.B. Schnitt-stellen für (teils noch vordefinierte) Sprachbefehle verbreitet, mit denen sich z.B. die Naviga-tion oder das Radio bedienen lassen. Mit dem zunehmenden Ausbau entsprechender Schnittstellen könnte daher im nächsten Schritt auch das auf eine Warnung hin resultierende Fahrerverhalten erfasst und in die Reaktionsgestaltung mit einbezogen werden (z.B. beste-hende Forschungsansätze aus Arbeiten wie z.B. [VGMM07] und [APRR07] aufgreifend).

Dreigliedriges Modell zur Kommunikation von Sicherheitsereignissen

Wie der oben gelieferte Blick über die Vielfalt automotiver Multimediasysteme zeigte, gibt es viele mögliche Wege, wie ein darin integriertes automotives IDS dem Fahrzeugführer eine Warnmeldung mitteilen kann. Eine starre Konfiguration wäre aus zwei wesentlichen Gründen vermutlich keine gute Wahl. Der erste ist die den erwähnten Schwankungen unterworfene Wahrnehmung einzelner Multimediasysteme (u.a. bzgl. Geräuschlevel, Lichteinstrahlung oder Stress). Zweitens sollten schwerwiegendere Warnungen dringlicher (bzw. intensiver) kommuniziert werden, während weniger kritische Meldungen zurückhaltender dargestellt werden könnten.

In der Anwendung sind zudem gängige Multimediatechniken nutzbar. Beispielsweise könnte die Sicherheitsmeldung für die erforderliche Zeit über laufende Audio- und/oder Videoausga-ben von Drittsystemen gelegt werden, während letztere ggf. ab- bzw. ausgeblendet werden.

Um dies zu adressieren, wird ein konzeptuelles Modell vorgeschlagen, welches dreigliedrig gestaltet ist und in der Folge beschrieben wird. Dieses beschreibt, wie situationsabhängig eine angemessene Kommunikationsweise unter Nutzung einer Auswahl der vorhandenen Multimediasysteme ermittelt werden kann.

Das Grundgerüst dieses konzeptuellen Modells ist in Abbildung 44 dargestellt. Nach einem detektierten Sicherheitsvorfall dient dessen Schweregrad (Abschnitt 5.3.2) als primäre Ent-scheidungsgrundlage für eine als Reaktion erfolgende, angemessene Benachrichtigung. Die Menge der für die Maschine-Mensch-Kommunikation nutzbaren automotiven Multimedia-Komponenten wird hierzu nach der sensorischen Wahrnehmung des Nutzers in drei Grup-pen eingeteilt, konkret werden hierzu visuelle, akustische und haptische Schnittstellen unter-schieden. Wie im Folgenden beschrieben, werden bei der Anwendung des Modells als ein

weiterer wichtiger Faktor auch bestehende Einflüsse auf die Wahrnehmbarkeit der entspre-chend kommunizierten Meldungen einbezogen.

Benachrichtigung

Visuell Akustisch Haptisch

U n k r i t i s c h

K r i t i s c h

S e h r k r i t i s c h Schweregrad des Vorfalls:

z.B.: Zusätzliche Warnsymbole im Kombiinstrument, Über- oder Einblenden auf dem Videosystem

z.B.: Warntöne, verbale Ansagen, paralleles Audioprogramm ggf. in

der Lautstärke reduzieren

z.B.: Force-Feedback-Elemente in Lenkrad und/oder Bremspedal

Abbildung 44: Dreigliedriges konzeptuelles Modell zur Benachrichtigung des Fahrzeugführers Visuelle Schnittstellen umfassen dabei gängige Leuchten oder LCD-/LED-Displays in der Armaturentafel sowie größere Bildschirmflächen des OnBoard-Computers, des Navigations-systems oder der Medien-/TV-Wiedergabe. Als akustische Schnittstelle kommt neben ein-zelnen lokalen Summ/Pfeiftongeneratoren z.B. in Kombiinstrument insbesondere das zentra-le Soundsystem infrage, welches auch für die Radiofunktion, Medienwiedergabe oder Frei-sprecheinrichtung genutzt wird. Zunehmend verfügbare haptische Schnittstellen können z.B.

als Force-Feedback-Funktionalität im Bremspedal (seitens des ABS) oder Lenkrad (z.B. sei-tens mechanisch entkoppelter Steer-by-Wire-Systeme) vorhanden sein.

Von links nach rechts: Zunehmender implizierter Schweregrad. In dieser Reihenfolge können diese drei Arten der Kommunikation einen zunehmenden Schweregrad des gemeldeten Er-eignisses implizieren.

 Eine lediglich visuelle Darstellung von Ereignissen lenkt die Aufmerksamkeit des Fahrers typischerweise nicht sofort auf sich sondern wird oft erst wahrgenommen, wenn dieser das nächste Mal in die Richtung des entsprechenden Anzeigeelements blickt. Damit eig-net sich diese Option eher zur Meldung unkritischer Ereignisse, die jedoch für den Fahrer relevant sind (z.B. Aufforderung zum Werkstattbesuch innerhalb eines Monats).

 Akustische Ausgaben (zu denen an dieser Stelle sowohl Warntöne als auch gesprochene Nachrichten gezählt werden) werden vom Fahrer typischerweise sofort wahrgenommen und bieten daher Potential zur Meldung kritischer Ereignisse.

 Haptische Warnausgaben z.B. über Lenkradvibrationen sollten hingegen nur in sehr kriti-schen Fällen eingesetzt werden, da diese den Fahrer in anderen Szenarien potentiell un-nötig erschrecken.

Von rechts nach links: Zunehmende Informationskapazität. Allerdings reduziert sich in der zuvor betrachteten Leserichtung typischerweise gleichzeitig die Informationskapazität ent-sprechender Kommunikationsmittel. Ein Force-Feedback-Signal überträgt typischerweise binäre Informationen (z.B. dass ein Ereignis vorliegt) oder bestenfalls Intensitätswerte (z.B.

schwache bis starke Vibrationen). Akustisch und visuell übermittelte Nachrichten können hingegen insbesondere als Sprach- bzw. Textnachrichten erheblich mehr Informationen vermitteln, wobei die visuelle Anzeige dem Fahrer zusätzlich die Möglichkeit bietet, die Aus-sage (z.B. durch kurzes „Überfliegen“) schneller zu erfassen als dies eine in vorgegebener Geschwindigkeit, linear vorgelesene Sprachausgabe vermag.

Kombinierter Einsatz unter adaptiver, dynamischer Wahl der Kommunikationsweise

Als Konsequenz der o.g. Erkenntnisse sieht das vorgeschlagene Konzept vor, dass bei der (wie folgt ermittelten) Wahl einer dieser drei Kommunikationsarten automatisch auch geeig-nete Techniken aus allen in Abbildung 44 links davon dargestellten Kommunikationsarten einbezogen werden. So könnte dem Fahrer bei einem sehr kritischen Ereignis nach der Alarmierung durch ein Force-Feedback-Signal die Warnung akustisch erklärt werden, wäh-rend er einen kurzen Blick über die gesamte Nachricht werfen kann, die gleichzeitig auf ei-nem Bildschirm angezeigt wird.

Nach einem durch ein automotives IDS erkannten Vorfall ist die Wahl einer angemessenen Kommunikationsweise abhängig von Schweregrad und Umgebungsbedingungen:

 Zunächst wird der Schweregrad des Vorfalls bestimmt. Abhängig davon wird als Voraus-wahl für die Kommunikationsweise die erste, zweite oder dritte Stufe des Modells ausge-wählt. Wie in Abbildung 44 gekennzeichnet, sieht das Konzept hierzu vor, für unkritische Warnungen ausschließlich visuelle Meldungen zu verwenden, kritische Vorfälle über au-diovisuelle Signale zu melden sowie die Dringlichkeit sehr kritischer Vorfälle zusätzlich mit haptischen Ausgaben zu betonen.

 Nach dieser initialen Vorauswahl werden die Umgebungsbedingungen bestimmt und einbezogen. Falls die Vorauswahl der Kommunikationsweise aufgrund der aktuellen Be-dingungen ungeeignet ist, kann die Auswahl auf die nächste Stufe ausgeweitet werden.

Wenn beispielsweise die Lichtsensoren (Innen- oder Sonnensensoren) ein hohes Licht-level erkennen, wird eine rein visuell dargestellte (unkritische) Warnung daher mögli-cherweise nicht oder deutlich später wahrgenommen. Eine Ausweitung der Auswahl auf die zweite Stufe, d.h. die Unterstützung durch ein akustisches Signal, wäre in solchen Fällen eine angemessene adaptive und dynamische Reaktion.

Eine Illustration der Anwendung dieses dreigliedrigen (Teil-)Modells zur Einbeziehung des Fahrzeugführers anhand verschiedener Beispielszenarien ist Teil von Abschnitt 5.3.6.

5.3.4 Wahrnehmung und Interpretation von Security-Warnungen durch Automobil-Nutzer