Context Matters – vom einzelnen Steuergerät bis zum Full Vehicle Pentest

In unserem letzten Blogbeitrag haben wir den Cyber Resilience Act (CRA) und seine direkten Auswirkungen auf einzelne elektronische Steuergeräte (ECUs) untersucht. Darauf aufbauend beleuchten wir in diesem Artikel die Unterschiede zwischen dem Testen einzelner Steuergeräte, der Bewertung von Steuergeräte-Clustern bis hin zum Full Vehicle Pentest. Jede Ebene bringt einzigartige Herausforderungen und Angriffsflächen mit sich – und erfordert maßgeschneiderte Teststrategien.

Tests für einzelne Steuergeräte: Isoliert, aber regulierungskritisch

Ein einzelnes Steuergerät – wie ein Motorsteuergerät oder ein Airbag-Steuergerät – ist ein gut definiertes Ziel für Penetrationstests. Kommunikationsprotokolle und offene Schnittstellen können isoliert getestet werden. Das Testen einer Komponente außerhalb ihres Fahrzeugkontextes hat jedoch seine Grenzen: Viele sicherheitsrelevante Funktionen treten nur auf, wenn mehrere Steuergeräte zusammenarbeiten.

Trotz dieser Einschränkung bleibt das Testen eines einzelnen Steuergeräts unerlässlich. Der CRA (EU 2024/2847) ist eine horizontale Verordnung, die ab dem 11. Dezember 2027 für Produkte mit digitalen Elementen gilt. ECUs werden darin nicht explizit genannt, können aber in ihren Anwendungsbereich fallen. In der Automobilindustrie gelten die UNECE R155 und R156 Verpflichtungen parallel.

Testen von ECU Clustern: Funktionsgruppen mit breiteren Angriffsflächen

Moderne Fahrzeuge bestehen aus funktionalen Steuergeräte-Clustern und nicht aus eigenständigen Einheiten. Zum Beispiel umfasst ein Antriebsstrang-Cluster Motor-, Getriebe- und Energiemanagement-Steuergeräte, während ein Infotainment-Cluster Head Units, Displays und Konnektivitätsmodule integriert.

Diese Verflechtung erhöht die Komplexität:

• Angriffsvektoren ergeben sich aus der internen Kommunikation zwischen Steuergeräten.
• Plattformtechnologien wie der MIB (Modularer Infotainment Baukasten) von Volkswagen oder die E-GMP (Electric Global Modular Platform) von Hyundai ermöglichen die Wiederverwendung von Hardware- und Softwarearchitekturen. Das ist zwar effizient, bedeutet aber auch, dass sich eine einzige Schwachstelle über mehrere Modelle hinweg ausbreiten kann.

Cluster-Tests schließen daher die Lücke zwischen der isolierten Steuergeräte-Validierung und dem Full Vehicle Pentesting und decken Sicherheitsprobleme auf, die bei der Integration in der realen Welt auftreten.

Full Vehicle Pentest: Unverzichtbar für die Homologation

Auf höchster Ebene muss das gesamte Fahrzeug im Rahmen des Zulassungsverfahrens validiert werden. Regulatorische Rahmenbedingungen wie UNECE R155 verlangen ein umfassendes Cybersecurity-Risikomanagement, das sicherstellt, dass nicht nur die Komponenten, sondern das gesamte Fahrzeug geschützt ist.

Beim Full-Vehicle Pentesting werden kritische Schnittstellen untersucht, wie z.B:

• OBD-Anschlüsse, die für Verbraucher oder Werkstätten zugänglich sind (die Zugänglichkeit wird durch Gateways/ Segmentierung eingeschränkt; nicht alle Steuergeräte sind über OBD zugänglich).
• Drahtlose Schnittstellen wie FOTA (Flashing Over the Air), Bluetooth oder LTE,
• Backend-Integrationen, die heute tief in moderne Fahrzeugarchitekturen eingebettet sind.

Nur durch das Testen des Fahrzeugs als vollständig integriertes System – einschließlich Steuergeräten, Clustern und Plattformtechnologien – können die OEMs Angriffe realistisch simulieren und die Widerstandsfähigkeit bewerten.

Technische Dimensionen des Automotive Pentesting

Neben organisatorischen und regulatorischen Aspekten spielen bei Penetrationstests auch technische Schnittstellen eine entscheidende Rolle:

• Physikalische Schnittstellen wie OBD-Ports oder Debug-Anschlüsse bleiben klassische Einstiegspunkte.
• Drahtlose Schnittstellen (WiFi, LTE, BLE, UWB) erweitern die Angriffsfläche über den physischen Zugang hinaus.
• Backend-Systeme sind integrale Bestandteile des modernen Fahrzeug-Ökosystems. Vollständige Cybersicherheitstests für Fahrzeuge müssen Backend- und Cloud-Integrationen einschließen.
• SOTA-Prozesse, die normalerweise durch koordinierte Backend-Systeme orchestriert werden, sind besonders kritisch. UNECE R156/SUMS erfordert Integrität, Rollback-/Wiederherstellungsoptionen und eine ausreichende Stromversorgung für sichere Updates.

Organisatorische und wirtschaftliche Aspekte

Bei Cybersecurity-Tests müssen immer Kosten, Aufwand und Entwicklungszeitpunkt abgewogen werden:

• Kosten und Aufwand: Einzelne Steuergerätetests sind relativ schnell und kostengünstig, während das Testen eines Gesamtfahrzeugs ressourcenintensiv und logistisch komplex ist.
• Timing: Während ECU-Pentests besonders zu Beginn der Entwicklungsphase sinnvoll sind, bieten sich Cluster-Tests effektiv während der Integration an. Full Vehicle Penetration Testing stellt den letzten Schritt das Hardening-Prozesses dar, welcher letztendlich für die Typgenehmigung und die Einhaltung von Vorschriften erforderlich ist.

Ein nahtloser Übergang zwischen diesen Ebenen ist entscheidend. Ein Steuergerät kann zunächst isoliert getestet, dann innerhalb eines Clusters validiert, und abschließend als Teil des Gesamtfahrzeugs bewertet werden. Das Gesamtfahrzeug kombiniert verschiedene Cluster (oder modulare Plattformen), die zusammen die Fahrzeugarchitektur für eine ganze Generation bilden.

Es ist auch wichtig zu wissen, dass nicht alle Steuergeräte im Fahrzeugkontext gleichermaßen zugänglich sind. Einige können möglicherweise nicht über die OBD-Schnittstelle erreicht werden und haben möglicherweise überhaupt keinen Diagnosestack. Diese Steuergeräte müssen trotzdem speziell getestet werden – obwohl sie natürlich eher die Ausnahme als die Regel darstellen.

Aus organisatorischer Sicht werden Steuergeräte normalerweise von Tier-1- oder Tier-2-Anbietern entwickelt und geliefert. Cluster oder modulare Plattformen werden oft schon früh in der Vorentwicklung definiert, während das Gesamtfahrzeug von einem speziellen Fahrzeugintegrator koordiniert wird. Der OEM stellt letztlich die übergreifenden Anforderungen, die die verschiedenen Testebenen aufeinander abstimmen.

Schlussfolgerung: HydraVision als Brücke über den Lebenszyklus

Die Cybersicherheit in der Automobilindustrie kann nicht auf eine einzige Testebene reduziert werden. Steuergeräte, Cluster und komplette Fahrzeuge stellen jeweils unterschiedliche Herausforderungen dar, und nur ihre Kombination bietet einen realistischen Überblick über die Widerstandsfähigkeit gegenüber Cyberangriffen. Während einzelne Pentests wertvolle Erkenntnisse liefern, treten viele Risiken erst dann zutage, wenn Komponenten innerhalb des Fahrzeugs und seines erweiterten Ökosystems interagieren.

Die Herausforderung sind die Kosten: Vollständige Cybersicherheitstests für Fahrzeuge sind teuer und komplex. An dieser Stelle bietet HydraVision einen entscheidenden Vorteil: Durch die kontinuierliche Überwachung von Steuergeräten, Clustern und kompletten Plattformen erweitert HydraVision die Sicherheitsvalidierung über die Testphase hinaus auf den gesamten Produktlebenszyklus.

• OEMs und Lieferanten erhalten in Echtzeit Transparenz über den Sicherheitsstatus ihrer Systeme,
• Schwachstellen können frühzeitig erkannt und durch sichere Updates behoben werden,
• Kosten für sich wiederholende, groß angelegte Security-Test werden erheblich reduziert.

Auf diese Weise verwandelt HydraVision Penetrationstests in kontinuierliche Sicherheit. Es komplimentiert gesetzliche Rahmenbedingungen wie CRA und UNECE R155, indem es Herstellern hilft, die Vorschriften einzuhalten und aufrechtzuerhalten – und gleichzeitig einen dauerhaften Wert durch geringere Kosten und größere Widerstandsfähigkeit zu schaffen.