Die Top 3 Sicherheitsaspekte von Pentests in der Automotive Cyber Security

20. September 2023

Vernetzte Fahrzeuge: Infotainment. Autonomes Fahren. Cloud-Backend.

Inmitten dieser Entwicklungen eröffnen sich nicht nur neue Chancen für Unternehmen, sondern auch völlig neue Angriffsmöglichkeiten für Cyberkriminelle. Gleichzeitig stellen sie neue Herausforderungen für die Überprüfung der Cybersicherheit dar. Ein bedeutendes Werkzeug in diesem Zusammenhang sind Penetrationstests, kurz Pentests.

Um dieses wichtige Thema näher zu beleuchten, betrat Tim Kranz, Leistungsverantwortlicher für die usd Pentests, die Online-Bühne des Webinars „Cyber Sicherheitstests für Produkt und Unternehmen: Pentesting, Code Analysen und andere Methoden“. Diese Veranstaltung ist Teil der Webinar-Reihe „Sichere vernetzte Fahrzeuge - Herausforderung, Chancen und Risiken für die Branche in Bayern“, die von bayern innovativ organisiert wird.

In dieser Veranstaltungsreihe stehen Fragen zur Cybersicherheit in der Automobil-, Nutzfahrzeug- und Zulieferindustrie im Fokus. In seinem Vortrag gab Kranz Einblicke in die Sicherheitsbewertung mittels Penetrationstests und teilt nun seine drei wesentlichen Ergebnisse aus der Veranstaltung.


1) Car2Car, Car2X, Car2Cloud: Aus Vernetzung entstehen Angriffsvektoren

Moderne Fahrzeuge sind mit integrierten Computersystemen ausgestattet, die über Schnittstellen miteinander sowie mit ihrer Umgebung und der Verkehrsinfrastruktur kommunizieren. Diese ermöglichen Funktionen wie Infotainmentsysteme, Boardcomputer und autonomes Fahren, bieten aber auch Zugriff aus der Ferne über die Cloud und Backendsysteme.

Diese Vernetzung birgt Sicherheitsrisiken, da Hacker Schwachstellen in diesen Komponenten ausnutzen könnten, um in Fahrzeuge einzudringen oder sie gar ferngesteuert zu übernehmen. Daher ist eine eingehende Sicherheitsüberprüfung dieser Schnittstellen essenziell.

2.) Pentests und technologie-spezifische Analysen steigern die Sicherheit der Automobilindustrie

Die IT-Umgebung von vernetzten Fahrzeugen besteht aus klassischen Software- und IT-Komponenten sowie speziell zugeschnittenen Lösungen.

Für die Sicherheitsüberprüfung der klassischen Komponenten in der Automobilindustrie eignen sich klassische Pentests. So kann beispielweise das Backendsystem mittels eines klassischen Systempentests oder die Umgebung mit einem Cloud Security Audit bzw. Cloud Pentest auf Schwachstellen untersucht werden. Die Smartphone App zur Verwaltung des eigenen Fahrzeuges kann mit einem klassischen Mobile Pentetration Test analysiert werden.

Hingegen ist für die Überprüfung eines Funk-Autoschlüssels auf Sicherheitsschwachstellen eine technologie-spezifische Analyse ratsam, bei der die verwendete Kryptographie und eingesetzten Protokolle inspiziert werden.

3.) Maßgeschneiderte Sicherheitstests: Im Einklang mit dem individuellen Schutzbedarf

Ein wichtiger Aspekt ist die Anpassung der Sicherheitsüberprüfungen an den individuellen Schutzbedarf der einzelnen Fahrzeugkomponenten. Denn nicht alle Komponenten erfordern die gleiche Intensität der Sicherheitsüberprüfung. Es ist entscheidend die Ressourcen auf die am stärksten gefährdeten Bereiche zu konzentrieren und die Prüftiefe entsprechend anzupassen.

Daher ist es beispielsweise besonders wichtig, kritische Komponenten den direkten oder indirekten Einfluss auf die Verkehrssicherheit oder die Fahrzeugsteuerung haben, einer äußerst intensiven Sicherheitsüberprüfung zu unterziehen. Dies ist aufgrund der potenziellen Auswirkung auf den Straßenverkehr von höchster Bedeutung.

Je nach Art der zu überprüfenden Komponente kann die Behebung von Schwachstellen zur großen Herausforderung werden. Denn wenn Schwachstellen in Komponenten gefunden werden, die möglicherweise tausendfach im Fahrzeug verbaut sind und sich nicht über Over-The-Air-Updates beheben lassen, kann ein Austausch für den Hersteller kostspielig werden. Aus diesem Grund empfehlen wir, die Sicherheitsüberprüfung bereits frühzeitig im Produktionszyklus zu berücksichtigen.


Möchten Sie mehr über unsere Sicherheitslösungen erfahren? Kontaktieren Sie uns. Wir helfen Ihnen gern.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien