On the Road to DevSecOps: Sicherheit für die Automobilindustrie

Die Automobilindustrie erlebt einen radikalen Wandel – und Software ist der Katalysator. Immer mehr Software, immer intelligentere Komponenten und neue Interaktionsmethoden finden sich heute in Automobile aller Größen und Preise. Software, die die neuesten Funktionen unterstützt und die über die Verbesserung der Verkehrssicherheit, des Komforts und der Kraftstoffeffizienz für Fahrer hinausgeht, ist zu einem entscheidenden Unterscheidungsmerkmal in dieser Branche geworden. Dies eröffnet Autoherstellern, ihren OEMs und Dritten völlig neue Möglichkeiten, Innovationen zu entwickeln und bereitzustellen – sich von der Konkurrenz abzuheben und gleichzeitig unser Mobilitätserlebnis zu verbessern.

Die zunehmende Anzahl von Anwendungen und softwaregesteuerten Komponenten ist jedoch auch mit einem Anstieg der softwarebezogenen Risiken verbunden. Jeder neue Service, jede neue Komponente, jeder neue Endpunkt und jede neue API stellt einen neuen Angriffspunkt dar, den Kriminelle nutzen können, um kritische Daten zu stehlen, Zugang zu vorgelagerten Wartungs- und Softwareupdate-Systemen zu erhalten, Miet- oder Transportflotten zu übernehmen und das Fahrverhalten zu manipulieren. Und die Liste geht weiter und ist nur durch die Vorstellungskraft begrenzt. Reputationsschäden sind das offensichtliches Ergebnis erfolgreicher Cyberangriffe im Automobilbereich. Der Schutz von Fahrern, Passagieren und der anderen Verkehrsteilnehmer muss aber von größter Bedeutung sein.

Die Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) hat kürzlich zwei neue Vorschriften zur Cybersicherheit und Software-Sicherheit entwickelt, die dazu beitragen sollen, die künftigen Risiken für Hersteller und Verbraucher zu minimieren. Diese Vorschriften sind die ersten weltweit koordinierten Maßnahmen im Bereich der Fahrzeugsicherheit. Die Vorschriften gelten für Personenkraftwagen, Lieferwagen, Lastkraftwagen und Busse und treten im Januar 2021 in Kraft.

Diese Vorschriften werden in erster Linie durch die Tatsache bestimmt, dass heutige Automobile mehr als 150 elektronische Steuergeräte (ECUs) und ungefähr 100 Millionen Zeilen Software-Code enthalten können, was schätzungsweise viermal mehr ist als bei einem modernen Kampfjet. Bewertungen gehen davon aus, dass die Codezeilen bis 2030 300 Millionen überschreiten werden. Es gibt bereits eine Reihe dokumentierter Beispiele für Angriffe auf Automobile. Eine umfassende Liste von Bedrohungen, Schadensbegrenzungsansätzen und Angriffsmethoden finden Sie in der Cybersicherheitsverordnung, Anhang 5, ab Seite 18.

Für den Laien sind diese Vorschriften oft schwer zu verstehen. Eine Studie von McKinsey & Company, Inc., die in Zusammenarbeit mit der Global Semiconductor Alliance (GSA) durchgeführt wurde bringt hier etwas Licht ins Dunkle. In der Studie, die in direktem Zusammenhang mit den UNECE WP.291-Bestimmungen zu Cybersicherheit und Software-Updates steht, werden die UN-Initiativen auf vier Hauptthemen vereinfacht:

  1. Cybersicherheit wird zu einer neuen Qualitätsdimension für Automobile.
  2. Die Automobilindustrie überdenkt die Cybersicherheit entlang der gesamten Wertschöpfungskette.
  3. Das Management des Cyber-Risikos während des gesamten Fahrzeuglebenszyklus erfordert neue Arbeitspraktiken.
  4. Führungskräfte aus der Automobilbranche sollten ihre Cybersicherheitsstrategie vorbereiten.

Im vierten Thema, das sich auf Führungskräfte im Automobilbereich bezieht, werden in der McKinsey- und GSA-Studie sichere Hardware, sicherheitsorientierte Softwareentwicklung und verbesserte sicherheitsrelevante Prozesse und Lösungen erwähnt. In Bezug auf die Softwareentwicklung heißt es in der Studie auch, dass die Produktivität von Softwareentwicklern und Testern mit den richtigen Tools erheblich gesteigert werden kann. Angesichts der zu erzielenden Effizienz wären Unternehmen wahrscheinlich bereit, für hervorragende Produkte zu zahlen. Es gibt eine Vielzahl von Tools, die Entwicklern und Sicherheitsspezialisten helfen können, darunter Testtools, Tools zur Verwaltung von Softwareversionen und Tools zur Softwareverfolgung.

Im Zusammenhang mit vernetzten Automobilen gibt es beispielsweise drei Arten von Software, die Innovationen in diesem Bereich vorantreiben:

  • Fahrzeuginterne Dienste: Software innerhalb des Fahrzeugs, auf der Steuergeräte oder Domänensteuergeräte (DCUs) ausgeführt werden.
  • OEM-Back-End-Services: Cloud-Services für Fahrzeug und Benutzer

Infrastruktur und Dienstleistungen von Drittanbietern: Treibstoff / Laden, Parken, Versicherung usw.

Während die Branche in Innovationen für diese Art von Software investiert (um das Kundenerlebnis und die Qualität moderner Autos zu verbessern), müssen die Hersteller von Anfang an auch die Cybersicherheit einbauen, um angriffsanfälliger Automobile und Zusatzdienste zu vermeiden.

Im Zusammenhang mit vernetzten Automobilen gibt es beispielsweise drei Arten von Software, die Innovationen in diesem Bereich vorantreiben:

  • Fahrzeuginterne Dienste: Software innerhalb des Fahrzeugs, auf der Steuergeräte oder Domänensteuergeräte (DCUs) ausgeführt werden.
  • OEM-Back-End-Services: Cloud-Services für Fahrzeug und Benutzer
  • Infrastruktur und Dienstleistungen von Drittanbietern: Treibstoff / Laden, Parken, Versicherung usw.

Während die Branche in Innovationen für diese Art von Software investiert (um das Kundenerlebnis und die Qualität moderner Autos zu verbessern), müssen die Hersteller von Anfang an auch die Cybersicherheit einbauen, um angriffsanfälliger Automobile und Zusatzdienste zu vermeiden.

VOQUZ bietet die branchenweit umfassendsten AST-Lösungen (Application Security Testing), die statische und interaktive Tests zur Anwendungssicherheit, Analyse der Softwarezusammensetzung sowie AppSec-Sensibilisierungs- und Schulungslösungen für Entwickler bereitstellen, um das Risiko von Software-Schwachstellen zu verringern und zu beheben. Die Lösung wird von mehr als 40 der Fortune 100-Unternehmen und der Hälfte der Fortune 50-Unternehmen eingesetzt, darunter führende Unternehmen wie SAP, Samsung und Salesforce.com sowie globale Autohersteller und Transportunternehmen. Automobilhersteller, OEM-Back-End-Services und Infrastruktur- / Drittanbieter können von der Produkt- und Dienstleistungspalette enorm profitieren.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Scroll to Top