Das Zeitalter der Mobilität begeistert Verbraucher und bietet den Automobilherstellern lukrative Geschäftsmöglichkeiten. Mit zunehmender Konnektivität werden zukünftige Mobilitätslösungen wie autonomes Fahren und sog. “functions on demand” immer realistischer. Von diesen Fortschritten profitieren jedoch auch Hacker, die die zunehmende Konnektivität ausnutzen, um über neue Wege Cyberangriffe zu starten.
Globaler regulatorischer Rahmen
In Anerkennung der zunehmenden Bedeutung der Cybersicherheit befassen sich aktuelle Publikationen wie ISO/SAE 21434 und UNECE WP.29 R155 und R156 umfassend mit Cybersicherheit und Software-Updates. Diese neue Gesetzgebung schreibt Cybersicherheits-Managementsysteme (CSMS) und technische Spezifikationen vor, um die Fahrzeugsicherheit während des gesamten Produktlebenszyklus zu gewährleisten. Überdies schaffen sie einen globalen Rahmen für die Cybersicherheit in der Automobilindustrie. Nachdem Cybersicherheit für die Typgenehmigung von Fahrzeugen, insbesondere in Europa, fortan verbindlich vorgeschrieben ist, zielt die neue Gesetzgebung darauf ab, die vernetzten Fahrzeuge zu schützen, die wir alle heute nutzen.
UNECE R155/R156 und ISO/SAE 21434
Die Wirtschaftskommission der Vereinten Nationen für Europa (UNECE WP.29) dient als internationale Regulierungsplattform für die Standardisierung von Fahrzeugvorschriften. Die UNECE-Regelung 155 (R155) konzentriert sich auf einheitliche Bestimmungen für die Fahrzeugzulassung, wobei der Schwerpunkt auf der Cybersicherheit und der Einführung eines Cybersicherheitsmanagementsystems (CSMS) liegt. Darüber hinaus schreibt die UNECE-Regelung 156 (R156) gewisse Sicherheitsanforderungen vor, wobei der Fokus hierbei auf Software-Updates liegt. UNECE R155 orientiert sich an der Industrienorm ISO/SAE 21434 mit dem Titel “Road vehicles – Cybersecurity Engineering”.
Die ISO (Internationale Organisation für Normung) ist ein weltweiter Zusammenschluss von nationalen Normungsorganisationen (ISO-Mitgliedsorganisationen). SAE International hingegen ist ein weltweiter Verband von mehr als 128.000 Ingenieuren und verwandten technischen Experten in der Luft- und Raumfahrt-, Automobil- und Nutzfahrzeugindustrie. Die Standards von SAE International werden verwendet, um die Mobilitätstechnik weltweit voranzutreiben.
Die Norm ISO/SAE 21434 beschreibt die technischen Voraussetzungen für das Management von Cybersecurity-Risiken in verschiedenen Phasen, einschließlich der Konzeptentwicklung, der Produktion, des Betriebs, der Wartung und der Stilllegung elektrischer und elektronischer Systeme (E/E) in Straßenfahrzeugen, einschließlich ihrer Komponenten und Schnittstellen.
Sowohl R155 als auch R156 verlangen von den Fahrzeugherstellern die Umsetzung von Maßnahmen, die für PKW, Lieferwagen, LKW, Busse und leichte vierrädrige Fahrzeuge gelten, die mit automatisierten Fahrfunktionen ab Stufe 3 ausgestattet sind, sowie für Anhänger, die mit mindestens einem elektronischen Steuergerät ausgerüstet sind. Also im Grunde jedes für den Straßenverkehr zugelassene Fahrzeug, welches über mindestens ein Steuergerät verfügt.
Diese Verordnungen sehen Maßnahmen in vier verschiedenen Bereichen vor:
- Management von Cyberrisiken für Fahrzeuge
- Entwicklung von Fahrzeugen mit inhärenten Sicherheitsmerkmalen zur Risikominderung in der gesamten Wertschöpfungskette
- Erkennen von und Reagieren auf Sicherheitsvorfälle in Fahrzeugflotten
- Bereitstellung von sicheren Software-Updates, die die Sicherheit des Fahrzeugs gewährleisten und eine rechtliche Grundlage für “Over-the-Air”-Updates (OTA) der Fahrzeugsoftware schaffen.
Außerdem müssen hinsichtlich der UNECE WP.29 R155 zwei Schlüsselaspekte berücksichtigt werden: organisatorische Strukturen und Prozesse in Bezug auf das Cybersicherheitsmanagement sowie Fahrzeuganforderungen, die auf das Management von Cybersicherheitsrisiken abzielen.
Wie kann dissecto Ihnen bei der Einhaltung helfen?
Security Test Environment
HydraVision ist eine Plattform as a Service, die automatisierte Sicherheitstests in den Lebenszyklus von Steuergeräten integriert und die Einhaltung der neuesten Richtlinien und Standards wie UNECE R155 und ISO/SAE 21434 gewährleistet. Mit unserer intelligenten Sicherheits-Testumgebung können Automobilzulieferer nicht nur die neuen Richtlinien und Normen problemlos einhalten, sondern auch echte, praxisnahe Cybersicherheitstests an ihren Produkten durchführen – automatisch und aus der Ferne. Neue Bedrohungen (CVEs), die von Entwicklern, dissecto Research oder Dritten wie Auto-ISAC oder der ASRG gemeldet wurden, werden proaktiv überwacht und getestet, ohne dass neue Angriffsvektoren gegen Ihr System geschaffen werden müssen.
HydraVision ist eine robuste Lösung zur Sicherheitsvalidierung und -prüfung, die sich auf vier unterschiedlichen Ebenen mit der digitalen Verteidigung befasst:
- Beginnend mit Tests auf Schnittstellenebene überprüft HydraVision Low-Level-Treiber auf mögliche Schwachstellen.
- Auf der zweiten Ebene werden die Protokolle umfassend getestet, um ihre Robustheit zu bewerten und mögliche Schwachstellen zu ermitteln. Zusätzlich führt HydraVision Fuzzing-Techniken ein, um die Präzision der Sicherheitsbewertungen zu erhöhen.
- Die dritte Ebene umfasst die Bewertung komplexer Sicherheitskontrollen und -funktionen, die eine umfassende Prüfung der Verteidigungsfähigkeit des Systems gewährleisten.
- Abschließend geht HydraVision die Spitze des Cybersecurity-Eisbergs an, indem es spezielle Sicherheitstests für bekannte CVEs (Common Vulnerabilities and Exposures) anbietet, um das System gegen bereits identifizierte Bedrohungen zu stärken.
Dieser vielschichtige Ansatz macht HydraVision zu einer funktionsreichen Library, welche die Automatisierung von Sicherheitstests auf verschiedenen Ebenen ermöglicht und so ein breites Spektrum potenzieller Risiken wirksam abdeckt.
Pentesting
Wir bieten Pentests von eingebetteten Systemen, Automobilsystemen und Hardwarekomponenten an. Ein Penetrationstest oder Pentest simuliert Cyberangriffe, um die Sicherheit eines Systems, Netzwerks oder einer Anwendung zu bewerten. Es zeigt Schwächen und Stärken auf und hilft bei der Risikobewertung. Der Prozess zielt auf bestimmte Systeme und Ziele ab und verwendet verschiedene Methoden, um die Sicherheitmechanismen zu umgehen. Die Ergebnisse informieren den Kunden über Schwachstellen und empfehlen Strategien zur Schadensbegrenzung. Penetrationstests sind ein wesentlicher Bestandteil von Sicherheitsaudits, die von Standards wie UNECE R155 vorgeschrieben werden und essenziell für die Risikobewertung. Penetrationstests können grundsätzlich auf Ihre individuellen Anforderungen zugeschnitten werden.
Training
Je vernetzter Fahrzeuge werden, desto anfälliger werden sie auch für potenzielle Hacks. Bleiben Sie mit unseren individuellen Schulungen und Workshops auf dem Laufenden. Tauchen Sie sich in die Grundlagen von Kfz-Protokollen und Steuergeräten ein, um Angriffsflächen effektiv zu identifizieren. Lernen Sie, echte Autos zu hacken, und erhalten Sie Einblicke in die Designphilosophien der OEMs und in das Reverse Engineering von Firmware. Außerdem beschäftigen wir uns mit Automatisierungsstrategien für die Bewertung der Netz- und Systemsicherheit. Von der CAN-Kommunikation bis zum Firmware-Dumping – unsere Schulungen decken alles ab und können ebenfalls auf Ihre individuellen Anforderungen zugeschnitten werden.
Sie haben Fragen oder benötigen Unterstützung?
Wir sind für Sie da! Wenden Sie sich an unseren Experten, wenn Sie Fragen zu dissecto HydraVision oder unseren anderen Dienstleistungen haben: