Von Einparkassistenten bis hin zu selbst fahrenden Autos: Der Zustand der Automobilindustrie gleicht heutzutage schon beinahe den Vorstellungen aus Science-Fiction-Romanen vergangener Jahre. Fahrzeuge beinhalten heute Systeme, die zusammengefasst weit mehr als 100 Millionen Zeilen Code zusammenbringen. Damit wird auch die Angriffsfläche für Hacking-Angriffe im Automotive Bereich immer größer.
„Das „Hello World“ des Auto Hackings, ist das Entriegeln der Türen.“
-Aaron Cornelius, Senior Security Researcher, Grimm, DEF CON 27, Aug. 2019 Las Vegas.
Was früher von Einbrechern mit Kleiderbügeln und Tennisbällen bewerkstelligt wurde, kann heute durch kompromittierte Smartphones, drahtlose Verbindungen und kreditkartengroße Computer durchgeführt werden. Die Angreifer dringen so in das interne Fahrzeugnetzwerk ein und müssen dafür nicht einmal den Komfort ihres eigenen Wohnzimmers verlassen. Von der Steuerung der Lenkung und Bremsen bis hin zu den Scheibenwischern kann alles mit nur einer Kommandozeilen-Eingabe kontrolliert werden, sobald ein Fahrzeug kompromittiert ist.
Neuer Sicherheitsstandard gegen Hackerangriffe auf Fahrzeuge
Um diesen gruseligen Szenarien entgegenzuwirken und einen hohen Sicherheitsstandard in der Automobilindustrie zu etablieren, veröffentlichte die Wirtschaftskommission für Europa (UNECE) zwei neue UN-Regelungen über Cybersicherheit und Software-Updates. Es handelt sich dabei um die ersten international harmonisierten und verbindlichen Normen in diesem Bereich überhaupt. Darauf aufbauend wurde der Standard ISO/SAE 21434 (Road Vehicle – Cybersecurity Engineering) formuliert. Diese Norm bietet eine ganzheitliche Betrachtungsweise der Cybersecurity des Produkts einschließlich seiner Prozesse und IT-Systeme. Sie umfasst seinen gesamten Lebenszyklus von der Konzeptionsphase eines Bauteils bis hin zur Stilllegung eines Fahrzeugs.
Cybersecurity als Qualitätsmerkmal für Fahrzeughersteller und Zulieferer
Cybersecurity selbst soll hiermit zum Qualitätsmerkmal für Fahrzeughersteller und Zulieferer werden. Die ISO/SAE 21434 wird mit der UN-Regulation No.155 verpflichtend für alle Zulassungen neuer Fahrzeugtypen. Die Implementierung eines Cybersecurity-Management-Systems (CSMS, UN Reg.155) und eines Software-Update-Management-Systems (SUMS, UN Reg.156) soll einen Mehrwert für die sichere Entwicklung von Fahrzeugen schaffen. Risiko- und Gefahrenanalysen von Bauteilen, Komponenten und Systemen sollen von vornherein den Gedanken des “Security by Design” im Entwicklungsprozess untermauern. Das Vorgehen ähnelt dem innerhalb eines ISMS (Informationssicherheits-Management-Systems) von Unternehmen selbst: Kontinuierliche Tests, Prüfungen und Überwachungen, Dokumentationen sowie Feedbackloops sollen stetig Verbesserungen bringen und Sicherheitslücken schließen.
Beratungsmöglichkeiten für Informationssicherheit
Die BREDEX unterstützt Sie in diesem hochkomplexen Umfeld: Um den neuen Anforderungen an die Informationssicherheit in der Automobilbranche gerecht zu werden und Partnern eine vollumfängliche Beratung bieten zu können, hat das Informationssicherheitsteam der BREDEX bereits Anfang des Jahres das Beratungsportfolio um das Zertifikat „Cybersecurity Engineer Automotive (ISO/SAE 21434)“ erweitert.
Autorin
Lisa Kröll
Jobs
Ihr Ansprechpartner
Gerne erzählen wir Ihnen mehr zu diesem Thema.
