von Nada Welker | Juli 17, 2020 | Automotive Cyber Security, Automotive, Cyber Security Management Systeme, WP.29
Hacks 2020: Wie groß ist die Gefahr wirklich?
Eine Frau rast bergab und will bremsen, doch der Wagen beschleunigt, die Bremse ist außer Kraft. Woanders perlen einem Mann Schweißtropfen auf der Stirn, denn er tritt das Gaspedal bis zum Anschlag durch und bleibt trotzdem auf der Überholspur einer Autobahn stehen. „Hacks 2020“ könnte der Titel eines Videospiels mit den oben beschriebenen Schreckensszenarien sein. Tatsächlich aber verbirgt sich dahinter eine reale Gefahr. Wie real, das zeigt die Initiative der UNECE, die erst kürzlich verbindliche Neuregelungen zu Automotive Cyber Security und Software-Updates für die Automobilindustrie erlassen hat. Wir haben in unserem Blog von magility bereits über die neuen Regularien der UNECE WP.29 berichtet.
Die Angst vor den Hackern geht um
Mussten Thrillerverbrecher à la Hitchcock noch höchstpersönlich unters Auto kriechen, um Brems- und Benzinschläuche vor Ort zu durchtrennen, reichen heutzutage eine perfide Hackersoftware und ein bequemer Bürostuhl irgendwo auf der Welt, um aus dem autonomen ein ferngesteuertes Fahrzeug zu machen. Spätestens, als 2015 die beiden Sicherheitsforscher Charlie Miller und Chris Valasek bewiesen, dass sie sich in die Software von Fahrzeugen einhacken können, geht unter Herstellern und Nutzern die Angst um.
Infotainment kann in Zukunft zur Falle werden
Als größtes Einfallstor für einen möglichen Hackerangriff gilt derzeit das Infotainment im vernetzten Auto. Laut ADAC bieten SD-Kartenleser, USB-Schnittstellen, Diagnose-Schnittstellen (OBD), Bluetooth-Module, Keyless-Schlüsselsysteme oder auch die über Funk betriebene Reifendruckkontrolle willkommene Angriffsmöglichkeiten für Hacker und andere Cyberkriminelle. Aber auch die Cloud-Technologie zeigt immer mehr Lücken im Sicherheitssystem.
Firmenflotten und Dienstwägen im Visier der Cyberkriminellen
Besitzt man ein Fahrzeug der Luxusklasse, das „entführt“ und verkauft werden soll, kann man auch als Privatperson Opfer eines Hackerangriffs werden. Im Visier der Cyberkriminellen stehen aber – wenn schon, denn schon – eher ganze Firmenflotten und Dienstwägen, da sie auf Hacker wie ein Selbstbedienungsparadies wirken: Bewegungsprofile können über GPS erstellt und sensible Firmendaten über WLAN abgerufen werden. Und Telefonate sind sowieso so gut wie öffentlich. So bieten z.B. ungeschützte Bluetooth-Verbindungen etwa so viel Privatsphäre wie eine Postkarte.
Smart Cities in Gefahr durch Connected Cars
Aber auch die Infrastruktur von Städten kann blockiert werden. Falsche Ampelschaltungen könnten zu Staus, Unfällen und Verkehrsbehinderungen führen. Jede Schnittstelle bietet ein Sicherheitsrisiko. Seit 2018 verfügt jedes in Europa neu zugelassene Fahrzeug über mindestens eine davon, denn seither sind die Hersteller zum Einbau des automatischen Notrufsystems E-Call verpflichtet.
Erpressung als Geschäftsmodell im Internet of Things
Und wozu das Ganze? Um Forderungen stellen zu können. Vernetzung macht erpressbar. Dem Kaspersky-DdoS-Report zufolge hat sich die Gesamtzahl aller DdoS-Attacken im ersten Quartal 2020 gegenüber dem Vorjahr verdoppelt. Betroffen sind demnach hauptsächlich Bildungseinrichtungen und Kommunen. Das zeigt auch eine Warnung des Deutschen Städtetags an seine Mitglieder. Dass der „Dienstleistungsbetrieb“ Hacker floriert, macht auch ein Bericht des Handelsblatt deutlich. Demnach schätzt der deutsche Cyber-Sicherheitsrat die Schäden durch Cyber-Angriffe auf jährlich bis zu 50 Milliarden Euro.
Reale Hacks 2020 – Eine Auswahl
Bester Schutz: Selbst der künstlichen Intelligenz einen Schritt voraus
Cyberkriminelle sind auf das Mithalten bei neuen Entwicklungen angewiesen, weshalb zu erwarten ist, dass auch sie künftig künstliche Intelligenz (KI) für ihre Attacken nützen werden. So nimmt der Wettlauf zwischen Herstellern, Nutzern und Hackern um die Aufdeckung von Schwachstellen noch einmal an Fahrt auf. Gewinner ist, wer dabei die Nase vorne hat.
Ein schneller Wechsel von Sicherheits-Updates und eine kurze „Lebensdauer“ der Software-Schlüssel sind Barrieren, die von Hackern schwer überwunden werden können. Die Sicherheitsspezialisten von magility helfen Schwachstellen zu erkennen, bevor diese zum Problem werden können.
Cyber Security Management Systeme (CSMS) – ganzheitliche Sicherheit
Gemeinsam mit unserem Partnernetzwerk, zu dem Technologieunternehmen wie Argus Cyber Security und der Zertifizierungsdienstleister DEKRA gehören, wirken wir als Systemintegrator für Cyber Security Management Systeme (CSMS) im europäischen Markt. Ein ganzheitliches CSMS wird jetzt, nach der Veröffentlichung der neuen Regularien der UNECE, für die Automobilindustrie zur Pflicht. Eine Typzulassung für ein Fahrzeug gibt es ohne ein zertifiziertes CSMS in Zukunft nicht mehr. Wir haben schon vor Jahren ein CSMS für die Automobilindustrie entwickelt, welches fortlaufend aktualisiert wird und deshalb alle Regularien der UNECE WP.29 mit einschließt und sich an der kommenden ISO/SAE 21434 und der ISO/AWI 24089 orientiert. Gerne beraten wir Sie zu diesem Thema und begleiten Sie bei der Implementierung eines CSMS in Ihr Unternehmen über alle Prozessstufen entlang der Supply Chain und über den gesamten Lebenszyklus des Fahrzeugs. Für mehr Informationen kontaktieren Sie gerne unsere magility Cyber Security Experten.
von Nada Welker | Juni 26, 2020 | Cyber Security Management Systeme, Automotive, Automotive Cyber Security, Internet of Things, New Mobility, WP.29
Um den Weg für die Massenfertigung und -auslieferung von vernetzten Fahrzeugen zu ebnen hat die UNECE ganz aktuell UN-Regelungen zu Cybersicherheit und für Cyber Security Management Systeme (CSMS) veröffentlicht. UNECE WP.29 setzt neue Standards in der Automobilindustrie. Die neuen Regularien gelten nicht nur für PKW sondern auch für Transporter, LKW, Busse, leichte vierrädrige Fahrzeuge, wenn sie mit automatisierten Fahrfunktionen ab Stufe 3 ausgestattet sind, sowie Anhänger wenn sie mit mindestens einem elektronischen Steuergerät ausgestattet sind, und treten Anfang 2021 in Kraft.
Zunehmende Vernetzung im Automobilsektor
Für die smarte Mobilität der Zukunft sind Automatisierung, Vernetzung und Digitalisierung von Fahrzeugen die Basis. Durch die zunehmende Vernetzung und Digitalisierung von Fahrzeugsystemen steckt die Automobilindustrie schon seit Jahren in einem tiefgreifenden Wandel. Die Software von Fahrzeugen enthält heute etwa ein vierfaches mehr an Codezeilen in der Software, als diejenige eines Kampfflugzeugs. Der Softwarecode kann aktuell schon bis zu 100 Millionen Zeilen lang sein und wird voraussichtlich bis 2030 auf 300 Millionen Codezeilen anwachsen. Hinzu kommen etwa 150 elektronische Steuereinheiten.
Mit der zunehmenden Vernetzung vervielfältigen sich die Angriffsflächen und somit die Cyber-Risiken stetig. Zahlreiche Hackerangriffe, bei denen böswillig auf elektronische Systeme und Daten der Fahrzeuge zugegriffen und somit die Fahrzeugsicherheit sowie die Privatsphäre der Fahrzeugbesitzer gefährdet wurden, sind in den Medien international publik gemacht worden. Die Automobilindustrie hat schon in den vergangenen Jahren darauf reagiert und sich intensiv mit der Cybersicherheit der neuen Systeme auseinandergesetzt. Nichtsdestoweniger stellen die zwei neuen Regularien der UN die Automobilindustrie jetzt vor erhebliche Herausforderungen.
Klarheit durch verpflichtende Regularien – WP.29
Jetzt ist es nicht mehr nur eine freiwillige Selbstverpflichtung der Automobilindustrie, diesen Risiken zu begegnen sondern ein gesetzliches Erfordernis mit klaren Leistungs- und Prüfungsanforderungen für Fahrzeughersteller.
Die neuen UN-Regelungen, die gestern vom Weltforum für die Harmonisierung der Fahrzeugvorschriften der UNECE angenommen wurden, sind die ersten international verbindlichen Normen in diesem Bereich überhaupt, die vorschreiben, wie den Cyber-Risiken über die gesamte automobile Wertschöpfungskette hinweg zu begegnen ist.
Sie erfordern die Umsetzung von verschiedenen Maßnahmen in vier Disziplinen um die Cyber-Risiken im Fahrzeugsystem und in ganzen Fahrzeugflotten zu managen:
- Ganzheitliches “End-to-End”- Risikomanagement
- Minimierung von Risiken entlang der gesamten Wertschöpfungskette beginnend bereits in der Designphase
- Erkennen und Reagieren auf Vorfälle im Bereich der Security in der gesamten Fahrzeugflotte.
- Bereitstellung von “Over-the-Air” Software-Updates, die die Fahrzeugsicherheit über den gesamten Lebenszyklus durch Softwareaktualisierung optimalerweise in Echtzeit ermöglichen
Japan plant, diese Vorschriften unmittelbar ab Inkrafttreten umzusetzen.
Die Republik Korea geht zweistufig vor: In der ersten Jahreshälfte 2020 werden die Bestimmungen der Verordnung zur Cybersicherheit in eine nationale Richtlinie gegossen. Dann folgt in der zweiten Stufe die Umsetzung in die Praxis.
Ab Juli 2022 wird die neue Verordnung zur Cybersicherheit in der Europäischen Union für alle neuen Fahrzeugtypen verbindlich. Ab Juli 2024 dann für alle Neufahrzeuge.
Es steht zu erwarten, dass diese UNO-Regelungen weltweit unter den 54 Vertragsparteien des UNECE-Übereinkommens von 1958 und darüber hinaus auf breiter Basis in der Automobilindustrie angenommen werden.
Die Notwendigkeit, Automotive Cyber Security zu garantieren, wird zu namhaften Investitionen in den kommenden Jahren führen. Jüngsten Studienergebnissen zufolge können sich diese im Zeitraum 2020 bis 2030 auf etwa 10 Milliarden USD verdoppeln. Induziert durch die neuen Anforderungen der UN zur Cybersicherheit und CSMS, sind insbesondere aus dem IT-Sektor technische Innovationen zu erwarten. Auch Startups und spezialisierten Nischenunternehmen könnte hierbei eine bedeutende Rolle zukommen, und auch bei Zulieferern ergeben sich neue wirtschaftliche Möglichkeiten.
Automotive Cyber Security – Rahmenbedingungen WP.29
Die neuen UNO-Regelungen stellen eine sichere Basis für die nachfolgend genannten Maßnahmen betreffend der Cyber Security in der Automobilindustrie dar:
- Identifizierung und Handling von Cyber-Security Risiken im Fahrzeugentwicklungsprozess
- Absicherung der notwendigen Cyber-Security Test, wie z.B. Penetration Tests
- Absicherung laufender Risikoassessments
- Überwachung von Cyber-Attacken um diese idealerweise in Echtzeit abzuwehren
- Analyse von erfolgreichen oder versuchten Cyber-Attacken
- Beurteilung, ob Cyber-Sicherheitsmaßnahmen angesichts neuer Bedrohungen und Schwachstellen weiterhin wirksam sind
Die Grundsätze zur Typgenehmigung nach dem Abkommen von 1958 erfordern weiter, dass die Hersteller vor der Zulassung von Fahrzeugtypen nachweisen müssen, folgenden Anforderungen zu entsprechen:
- Das Cyber Security Management System ist vorhanden und seine Anwendung auf Fahrzeuge im Straßenverkehr ist verfügbar
- Analyse der Risikobewertung, Identifizierung der kritischen Punkte
- Maßnahmen zur Risikominimierung werden identifiziert
- Nachweis durch Tests, dass die Maßnahmen zur Risikominderung wie beabsichtigt funktionieren
- Maßnahmen zur Erkennung und Verhinderung von Cyber-Angriffen sind vorhanden
- Maßnahmen zur Unterstützung der Datenforensik sind vorhanden
- Überwachung der für den Fahrzeugtyp spezifischen Aktivitäten
- Berichte über Überwachungsaktivitäten werden an die zuständige Homologationsbehörde übermittelt.
- Das Software-Update-Managementsystem ist vorhanden und seine Anwendung auf Fahrzeuge im Straßenverkehr ist verfügbar
- Schutz des SU-Liefermechanismus und Gewährleistung von Integrität und Authentizität
- Software-Identifikationsnummern müssen geschützt werden
- Die Software-Identifikationsnummer ist vom Fahrzeug aus lesbar
Für Over-The-Air Software-Aktualisierungen:
- Wiederherstellungsfunktion bei fehlgeschlagener Aktualisierung
- Update nur bei ausreichender Leistung ausführen
- Sichere Ausführung sicherstellen
- Benutzer über jede Aktualisierung und deren Abschluss informieren
- Sicherstellen, dass das Fahrzeug in der Lage ist, das Update durchzuführen
- Benutzer informieren, wenn ein Mechaniker benötigt wird.
Die UNO-Regelung bietet einen Rahmen für den Automobilsektor, um die notwendigen Prozesse dafür zu schaffen:
- Aufzeichnung der für einen Fahrzeugtyp relevanten Hardware- und Softwareversionen
- Identifizieren der für die Typgenehmigung relevanten Software
- Verifizierung, dass die Software auf einer Komponente das ist, was sie sein sollte
- Identifizieren von Abhängigkeiten, insbesondere im Hinblick auf Software-Aktualisierungen
- Identifizieren von Fahrzeugzielen und Verifizieren ihrer Kompatibilität mit einem Update
- Beurteilung, ob eine Software-Aktualisierung die Typgenehmigung oder gesetzlich festgelegte Parameter beeinflusst (einschließlich Hinzufügen oder Entfernen einer Funktion)
- Beurteilung, ob eine Aktualisierung die Sicherheit oder das sichere Fahren beeinträchtigt
- Informieren der Fahrzeugbesitzer über Aktualisierungen
- Dokumentieren aller oben genannten Punkte
Ob alle Anforderungen erfüllt sind, wird von nationalen technischen Dienstleistern wie z.B. der DEKRA, dem TÜV oder Homologationsbehörden geprüft.
Magility als Systemintegrator für Cyber Security Management Systeme
Wir von magility wirken als Systemintegrator für CSMS und SUMS (Software Update Management Systeme) für mittelständische Betriebe im deutschen und europäischen Markt und sind durch unsere Partnerschaften mit Technologieunternehmen wie Argus Cyber Security, einem der international bekanntesten Unternehmen für Automotive Cyber Security unabhängigen Zertifizierungsdienstleistern bestens aufgestellt.
So können wir unsere Kunden bei der Implementierung eines Cyber Security Management Systems umfassend begleiten. In den letzten Jahren haben wir von magility uns als Experten für alle Fragen und Lösungen rund um das Thema Automotive Cyber Security und CSMS am Markt etabliert und zahlreiche Projekte mit namhaften Unternehmen aus der Automotive-Branche umgesetzt.
Wie sehen Sie Ihr Unternehmen aktuell aufgestellt bezüglich Cyber Security? Kontaktieren Sie uns gerne für einen fachlichen Austausch, wir unterstützen Sie mit einer ersten Bewertung Ihrer Risikosituation. Dabei begleiten wir ihr Unternehmen bei der Implementierung eines CSMS unter Einbezug der neuen Regularien und Anforderungen.
von Nada Welker | März 27, 2020 | Technologien für neue Märkte, Cyber Security Management Systeme
Der Paradigmenwechsel in der Automobilindustrie hin zum vernetzten und (teil-)autonomen Fahrzeug ist in vollem Gange. Neue Technologien mit deutlich zunehmenden Möglichkeiten der Vernetzung führen aktuell zu neuen Anforderungen an die regulativen Rahmenbedingungen. Gesetzgeber und Prüfinstitute haben in den letzten Jahren bereits die Etablierung entsprechender Standards in die Wege geleitet. Zulieferer von Software, Sensoren und Systemarchitekturen für die Automobilindustrie müssen jetzt schon diese Standards erfüllen können, um sich bei Ausschreibungen der Fahrzeughersteller erfolgreich zu positionieren. In Zukunft wird die Typgenehmigung von Fahrzeugen nur möglich sein, wenn ein zertifiziertes Cyber Security Management System (CSMS) vorhanden ist.
Um welche Regelwerke geht es aktuell?
Neu sind in der Automobilindustrie die aufkommenden Normen zum Thema Automotive Cyber Security. Die Arbeitsgruppe WP.29 zur Harmonisierung von Fahrzeugvorschriften der UNECE (United Nations Economic Commission for Europe) hat ein Regelwerk erarbeitet, das neue Vorgaben zur Cybersicherheit von Fahrzeugen vorschreibt. Die Arbeitsgruppe entwickelt zur Zeit ein mehrstufiges Prüfverfahren, nach dessen Vorgaben in Zukunft alle Fahrzeuge mit smarten oder autonomen Technologien zertifiziert werden müssen. Der Fokus der WP.29 Regularien liegt erstens auf der Prüfung der Zuverlässigkeit von Systemen und zweitens auf einer ganzheitlichen Sicherstellung der Cyber Security aller im Fahrzeug verbauten Komponenten und Datenverbindungen. Alle Hersteller von Fahrzeugen, die mit dem Internet verbunden sind, sowie deren Zulieferer, müssen nach dieser Norm ein funktionierendes Cyber Security Management System (CSMS) implementiert haben. Die Integration eines CSMS ist die Voraussetzung dafür, dass die Typprüfung eines Fahrzeugs überhaupt beantragt werden kann. Gleichzeitig werden bei der ISO (International Organization for Standardization) die beiden Normen ISO/AWI 24089 und ISO/AWI 21434 entwickelt. Beide haben das Ziel, einen neuen Standard in der Automotive-Industrie für alle Cyber Security relevanten Themen zu etablieren. Alle Unternehmen der Branche stehen daher jetzt vor der Herausforderung sich schnellstens vorzubereiten und mit einem entsprechenden CSMS auszurüsten, um die schon bald kommenden Regularien von Anfang an erfüllen zu können. Dieses CSMS muss auch die Verwaltung von Lieferanten, Dienstleistern und anderen Dritten einbeziehen.
Was sind die technologischen Hintergründe?
Durch autonome und smarte Technologien werden Fahrzeuge deutlich verwundbarer für Cyber-Angriffe. Die hohe Anzahl unterschiedlicher Datenverbindungen sowie die digitalen und vernetzten Bauteile bieten Einfallstore für Hacker, die im Worst Case dazu benutzt werden können, das System Fahrzeug unberechtigt zu beeinflussen. Die Szenarien, die sich dadurch ergeben können, sind bekannt. Die Einfallstore können in drei Bereiche unterschieden werden:
- Telematics: über Wlan, Mobilfunk, GNSS-Datenverbindungen wie GPS und die dahinter geschalteten Server
- V2X Kommunikation: Vehicle-to-Infrastructure (Verkehrsleitsysteme), Vehicle-to-Device (Smartphones), Vehicle-to-Home (Smart-Home Geräte), Vehicle-to-Vehicle (Kommunikation zwischen Fahrzeugen)
- Infotainment: Wlan, Musik- und Videostreaming, Datenverbindungen von Apps für z.B. Wetter, Restaurantempfehlungen, Spiele etc.
Die aufgeführten Datenverbindungen sind potenziell verwundbar durch Hackerangriffe. Um die Gefahren im Voraus auszuschließen oder zumindest maximal abzuschwächen, ist die Etablierung und der Betrieb eines umfassenden Cyber Security Management Systems (CSMS) unverzichtbar und zukünftig auch von Gesetzgebern und Prüfinstituten vorgeschrieben. Die EU plant, den Betrieb eines zertifizierten CSMS sowie die Anwendung des CSMS auf den Fahrzeugtyp zum Zeitpunkt der Typgenehmigung ab circa Mitte 2024 verbindlich vorzuschreiben. Es bleiben den Unternehmen also noch etwa 4 Jahre, um die erforderlichen Maßnahmen zu ergreifen und ein entsprechendes CSMS ins Unternehmen zu integrieren.
Wichtig: Einführung eines CSMS
Um die Komplexität aller Risiken im Bereich Cyber Security für Fahrzeuge erfolgreich zu steuern, muss jedes Unternehmen zukünftig über ein CSMS verfügen. Der Cyber Security-Ansatz eines Unternehmens muss ganzheitlich über den gesamten Produktlebenszyklus umgesetzt werden. Das umfasst sowohl die organisatorischen als auch die technischen Bereiche eines Unternehmens bzw. eines Produkts. Dazu zählen der Produktentwicklungsprozess, die Produktion sowie alle Service-, Wartungs- und Unterhaltsleistungen nach der Inbetriebnahme eines Bauteils oder einer Software. Das gesamte Automobil-Ökosystem muss sich sorgfältig abstimmen um den kommenden Cyber Security Vorgaben Folge leisten zu können. Daher gilt es sowohl in der Organisations- als auch in der Prozessstruktur des Unternehmens die richtigen Rahmenbedingungen zu schaffen und entsprechende Maßnahmen einzuleiten. Zertifizierungen nach WP.29 bzw. nach den o.g. ISO-Normen werden die regulatorische Basis für die zukünftige Zusammenarbeit von Fahrzeugherstellern und den Dienstleistungsunternehmen der Automobilbranche bilden.
Wie ist ein Cyber Security Management System aufgebaut?
Die Cybersicherheit muss über den gesamten Produktlebenszyklus gewährleistet und aufrechterhalten werden. Dazu gehört es, das Design der Produkte unter Cyber Security Vorgaben zu entwickeln. Die Anzahl der Einfallstore von Hackern muss dabei von Anfang an so gering wie irgendwie möglich gehalten werden. Nur so sind die Angriffsflächen und somit die Gefahr, Opfer eines Cyber-Angriffes zu werden, reduzierbar. Jedes Unternehmen hat sich daher an den Best Practices für eine wirksame Cyber Security zu orientieren. Diese Best Practices betreffen vor allem zu befolgende Grundsätze in der Produktentwicklung, in der Produktion, in der Organisation des Unternehmens und in der Zuweisung von Verantwortlichkeiten.
Möglicher Leitfaden für entsprechende Best Practices
Grundsätze in der Herangehensweise
Security by Design, Privacy by Design sowie die Einführung eines Risiko- und Bedrohungsmanagements. Dies bedeutet die regelmäßige Durchführung von Analysen möglicher Bedrohungslagen über die gesamte Entwicklung hinweg.
Grundsätze für die Organisation
Einbeziehung aller Zulieferer und Dienstleister in die Aspekte der Cyber Security. Durch Trainings und Beratungen ist ein Bewusstsein für Cyber Security in der eigenen Unternehmenskultur über alle Schnittstellen hinweg zu schaffen. Leitfäden für den effizienten Umgang mit cyber-relevanten Sicherheitsvorfällen sind zu entwickeln und im Unternehmen zu etablieren.
Grundsätze in der technologischen Umsetzung
Ständiges Monitoring auf Sicherheitslücken und unberechtigte Zugriffen sowie größtmöglicher Schutz der eigenen Netzwerke durch Verschlüsselung und strikte Zugangskontrollen (Faktor Mensch). Mittels der Nutzung von Big-Data und KI-Methoden sind Unregelmäßigkeiten im Datenfluss früh zu erkennen.
Die Zeit zu handeln? Genau jetzt!
Wir von magility begleiten unsere Kunden aus dem Automobilbereich vorausschauend und haben schon vor Jahren ein CSMS entwickelt, siehe auch unsere CSMS-Consultingaktivitäten, welches fortlaufend an die neu aufkommenden Regularien angepasst wird.
Wir wirken als Systemintegrator für CSMS für mittelständische Betriebe im deutschen und europäischen Markt und sind durch unsere Partnerschaften mit Technologieunternehmen wie Argus Cyber Security, einem der international bekanntesten Unternehmen für Automotive Cyber Security, und dem unabhängigen Zertifizierungsdienstleister DEKRA, bestens aufgestellt.
So können wir unsere Kunden bei der Implementierung eines Cyber Security Management Systems umfassend begleiten. In den letzten Jahren haben wir uns zu Experten für alle Fragen und Lösungen rund um das Thema Automotive Cyber Security am Markt etabliert und zahlreiche Projekte mit namhaften Unternehmen aus der Automotive-Branche umgesetzt.
Wie sehen Sie Ihr Unternehmen aktuell aufgestellt bezüglich Cyber Security? Kontaktieren Sie uns gerne für einen fachlichen Austausch, wir unterstützen Sie mit einer ersten Bewertung Ihrer Risikosituation. Dabei begleiten wir ihr Unternehmen bei der Implementierung eines CSMS, das die neu aufkommenden Regularien von Anfang einbezieht.
von magility | Jan. 22, 2020 | Aktuelles von Magility, Automotive Cyber Security, IoT Cyber Security, Technologien für neue Märkte
Über 4.500 Aussteller präsentierten auf der diesjährigen CES ihre High-Tech Innovationen, die einen Ausblick auf die Technologie und Wirtschaft von morgen geben. Einen besonderen Stellenwert nahm dieses Jahr das Thema Cyber Security ein. Wie die letzten Jahre waren wir von magility vor Ort.
Cyber Security für Automotive gewinnt weiterhin an Relevanz
In Zeiten zunehmender Vernetzung von Fahrzeugen sowie immer weiter fortschreitender Integration des autonomen Fahrens in den Straßenverkehr, wird die digitale Systemsicherheit immer relevanter. Die Automobilhersteller und deren Zulieferer wollen und müssen ihre Datenverbindungen so sicher wie möglich gestalten. Neue Technologien führen zu einer stark steigenden Komplexität der Datenverbindungen im Fahrzeug sowie der Kommunikation mit den Datenbanken der Systemanbieter. Die zunehmende Konnektivität erleichtert ortsunabhängig ausgeführte Angriffe über das Internet, mit dem Ziel Fahrzeuge, oder sogar ganze Flotten lahm zu legen, Daten zu stehlen oder erpresserische Aktivitäten durchzuführen. Diesen Gefahren muss durch ganzheitliche Cyber Security Maßnahmen entgegengewirkt werden (Security), damit die funktionale Sicherheit (Safety) nicht durch Cyber Angriffe gefährdet wird.
Spannungsfeld zwischen Zulieferern und OEMs
Dadurch, dass sich Autos mehr und mehr zu fahrenden Computern entwickeln, steigen auch die Angriffsmöglichkeiten für Hacker. Diese Manipulationen von außen gilt es unbedingt zu verhindern, da sie auf sicherheitskritische Funktionen zugreifen und so immensen Schaden anrichten können. Daraus ergibt sich die Herausforderung für die Automobilhersteller (OEMs), zahlreiche von Zulieferern eingekaufte Komponenten in einer gemeinsamen, geschützten Sicherheitsarchitektur zu vereinen. Bei den Herstellern selbst liegt am Ende die Verantwortung gegenüber den Kunden. Denn die Käufer bzw. Nutzer von Fahrzeugen müssen auf die Sicherheit der Fahrzeuge ab Werk vertrauen können, da sie sich – anders als bei einem Computer – zuhause nicht einfach eine eigene Firewall installieren können.
Startups liefern OEMs die Sicherheitstechnologie
Auf der CES waren dieses Jahr auffällig viele Startups vertreten, die Automotive Cyber Security-Lösungen entwickeln und anbieten. Darunter war auch das mit mehreren Preisen ausgezeichnete Unternehmen GuardKnox, welches die Sicherheitsprinzipien von Kampfflugzeugen auf die Automobilindustrie übertragen hat. GuardKnox hat seine Cyber Security-Lösungen bereits zusammen mit Porsche und Daimler erfolgreich getestet. Auch Argus Cyber Security, ein führender Anbieter von Cyber Security-Lösungen für vernetzte Fahrzeuge und langjähriger magility-Kunde, demonstrierte seine umfassenden Sicherheitskonzepte in Zusammenarbeit mit dem Chiphersteller NVIDIA. Weitreichende Lösungen für das digitalisierte Fahrzeug bieten auch die auf der CES vertretenen Startups C2A Security sowie Karamba Security, wobei sich letzteres neben dem Automotive Bereich auch Industrieanlagen widmet.
Große Namen entdecken einen neuen Markt
Neben aufstrebenden jungen Unternehmen wie Argus Cyber Security, das 2013 gegründet wurde, drängen mittlerweile auch große, schon etablierte Unternehmen mit Automotive Cyber Security-Lösungen in den Markt. BlackBerry etwa hat auf der CES, zusammen mit seinem 2019 akquirierten Tochterunternehmen Cylance, auf künstlicher Intelligenz (KI) basierende Erweiterungen für sein Automotive Software-Angebot vorgestellt. Damit deckt Blackberry mittlerweile viele Sicherheitsbereiche für das vernetzte Fahrzeug ab: Vehicle SOC (Security Operation Center), Vehicle OTA (Over The Air)-Updates sowie präventive, hochautomatisierte Systemanalysen in Echtzeit. Auf der CES verkündete Blackberry auch eine aktuelle Kooperation mit Amazon Web Services (AWS). Die Zusammenarbeit mit dem Cloud-Anbieter hat laut Blackberry zum Ziel, die ‘Intelligent Connected Vehicle Platform’ ins Leben zu rufen. Über diese Plattform sollen Autohersteller ihre fahrzeugbezogenen Daten sicher verwalten und bei ihrer gesamten vernetzten Fahrzeugflotte Softwareupdates durchführen können.
Neue Regularien unterstützen die Entwicklung
Offizielle Regulierungen und Normen tragen ebenfalls maßgeblich zu einer nachhaltigen Fahrzeugsicherheit bei. Die Gesetzgeber und zuständigen Verbände stehen allerdings vor der großen Herausforderung, Technologien zu regulieren, die oft noch gar nicht auf dem Markt sind. Es gilt, Leitlinien zu entwickeln, die neuen Test-Schemata gerecht werden, welche sich aus der Komplexität des autonomen und vernetzten Fahrens ergeben. Notwendige Schritte sind bspw. von der UNECE (United Nations Economic Commission for Europe) bereits in die Wege geleitet. Die Arbeitsgruppe WP.29 der UNECE hat ein 13-stufiges Prüfverfahren entwickelt, nach dem sich Anbieter von digitalen Lösungen für den Automobilbereich oder von Fahrassistenten für das Autonome Fahren international zertifizieren lassen können. Bei der ISO (International Organization for Standardization) sind derzeit die Normen ISO/AWI 24089 und ISO/AWI 21434 in Entwicklung. Diese werden im Jahr 2020 bzw. 2021 publiziert und dienen als Grundlage der Zertifikate für Software-Updates und Cyber Security von Fahrzeugen. Entwickler und Anbieter von digitalen Produkten für das Automobil sowie deren Kunden können sich dann auf dieselben Sicherheitsstandards berufen. Die verbesserten rechtlichen Rahmenbedingungen sollen die zukünftige Zusammenarbeit der Marktteilnehmer erleichtern und Innovationshemmnisse beseitigen.
Insbesondere in der Mobilitäts- und Automobilindustrie steigen die Cyber-Risiken ständig weiter an. Ganzheitliche Cyber Security-Lösungen werden zum entscheidenden Erfolgsfaktor für Unternehmen. Auf der CES in Las Vegas konnte man die Relevanz der Thematik live erleben. Nehmen Sie gerne Kontakt mit unseren magility Cyber Security-Experten für einen fachlichen Austausch auf.