ASTech - Automotive Safety Technologies

Zurück

Stets im Blick: Informationssicherheit/ Cyber Security

Nina Eichenseher,

Wenn es um Sicherheit im Straßenverkehr geht, denkt man meist zunächst an intelligente Assistenzsysteme, vernetzte Fahrzeuge oder an automatisierte/ autonome Fahrfunktionen.  Ein wichtiger Teil unserer Arbeit, der aktuell in der breiteren, öffentlichen Diskussion immer stärker in den Fokus rückt, ist allerdings auch die Informationssicherheit im Fahrzeug, neudeutsch auch „Cyber Security“.

Seit Jahren steigt der Anteil von Software und Kommunikationskanälen in das und aus dem Fahrzeug massiv an. Damit steigt die Gefahr von Datendiebstahl oder Softwaremanipulation, die zur Unterbrechung oder zum Missbrauch der angebotenen Dienste und Funktionen führen kann. Die Cyber Security im Fahrzeug befasst sich daher hauptsächlich mit der Datenintegrität im Fahrzeug und der Kommunikation mit der Umgebung.

Folgende Kategorien der Informationssicherheit stehen im Vordergrund:

  • Einfluss auf die Funktionalität
  • Einfluss auf Funktionale Sicherheit
  • Einfluss auf Datenschutz
  • Einfluss auf das Unternehmen (z.B. wirtschaftliche Schäden)

Die Komplexität von Cyber Security lässt sich an dieser Aufzählung bereits erahnen. Eine Abdeckung sämtlicher Aspekte kann nur durch eine Systematisierung der Entwicklungsmethoden über den ganzen Secure Software Development Lifecycle (Secure-SDLC) erreicht werden. Unsere „End-to-End“ Orientierung findet sich daher auch im Bereich Security wieder, angefangen von den ersten Spezifikations- oder Design-Schritten bis hin zur Validierung im Fahrzeug.

Zum einen erreichen wir das durch strikte Umsetzung der relevanten Normen, wie z.B. der ISO 21434 „Road Vehicles – Cybersecurity Engineering“ als neueste und umfangreichste Regulierung im Markt oder die Security Erweiterungen der ASPICE („Automotive Software Process Improvement and Capability Determination“), insbesondere mit Blick auf die Supply Chain. 

Zusätzlich dazu überwachen wir kontinuierlich die internen Schnittstellen zur Unternehmenssicherheit und optimieren sie regelmäßig, um eine schnellstmögliche Reaktionszeit zu gewährleisten. Dabei unterstützen intelligente Tools wie beispielsweise Tardes und CAIRIS zum „Threat-Modeling“ unsere Entwickler, um Schwachstellen bereits in der Design-Phase zu erkennen und zu beseitigen. Intensives Testen mit spezialisierten Werkzeugen (z.B. AIRCRACK-NG, Metasploit) tut sein Übriges, um die Systeme abzusichern.

Aber Cyber Security endet natürlich nicht in der Entwicklung. Gerade in jüngster Vergangenheit hat sich im Markt wieder gezeigt, dass durch sogenannte „Supply-Chain-Attacks“ Schäden in Millionenhöhe quer durch alle Konzernbereiche verursacht werden können. Daher unterziehen wir unsere Produktlieferungen systematisch Konsistenzprüfungen, um die Integrität der Datenstände zu gewährleisten. Dabei werden alle Inhalte jeder Lieferung mit verifizierbaren Checksummen versehen. Damit bekommt der Kunde dann auch wirklich das (und nur das), was wir auch zusammengestellt haben.