Automotive Cybersecurity

Mit dem Know-how von heute die Cybersecurity von morgen stärken

Die Fahrzeuge von heute werden immer stärker vernetzt, autonom, geteilt und elektrifiziert (CASE). Sie sind nicht mehr „nur“ Autos, sondern vielmehr „Software-defined Vehicles“ (SDV) mit umfangreichem Datenaustausch. Die Connectivity-Funktionen vergrößern die potenziellen Angriffsflächen und Hacker können jede Schwachstelle für Angriffe ausnutzen, vorzugsweise aus der Ferne (Remote).
Darüber hinaus zwingen neue und aktualisierte Vorschriften und Standards wie ISO/SAE 8477 oder der Cyber Resilience Act (CRA) die Automobilindustrie dazu, ihre Bemühungen zur Verbesserung der Cybersecurity in der Produktentwicklung zu verstärken.
Das technische Umfeld entwickelt sich ständig weiter und birgt nicht nur für einzelne Fahrzeuge erhöhte Risiken, sondern auch für angeschlossene Backend-Server, Ladeinfrastruktur und Anwendungsschnittstellen. Der Einfluss sowohl der angewandten als auch der generativen KI wirkt sich erheblich auf das Bedrohungsniveau aus, trägt aber auch zur Verbesserung der Cybersicherheitslösungen für bordeigene Systeme, die Überwachung der Netzwerkkommunikation, Over-the-Air-Software-Updates und die Ladeinfrastruktur bei.
Wirksame Cybersecurity-Lösungen für den ganzheitlichen Schutz von vernetzten Fahrzeugen, den Fahrgästen und Automobil-Herstellern sind unerlässlich. AVL ist ein nach ISO/SAE 21434 und ENX VCS zertifiziertes Unternehmen und verfügt seit 2016 über umfassende Erfahrungen im Bereich der Cybersecurity in der Automobilindustrie. Darunter ein signifikanter Anteil im Bereich Forschung und Entwicklung. Darüber hinaus bietet AVL maßgeschneiderte und flexible Lösungen, um die unterschiedlichsten Kundenanforderungen zu erfüllen. Unser Team besteht aus ca. 40 Cybersecurity-Spezialisten, die über umfassende Fachkenntnisse für alle erforderlichen Disziplinen verfügen. Unser ganzheitlicher Ansatz positioniert AVL als einen der führenden Cybersecurity-Partner in der Automobilindustrie. Wir unterstützen OEMs und Zulieferer mit Cybersecurity-Dienstleistungen, die den gesamten Produktlebenszyklus abdecken.

Nehmen Sie mit uns Kontakt auf, und senden Sie eine E-Mail an cybersecurity@avl.com

Risikoanalyse und Konzept – Erfolgreich mit Security-by-Design

Der TARA-Service von AVL bietet eine umfassende Risikobewertung durch eine eingehende Analyse potenzieller Bedrohungen, die für Ihr System spezifisch sind. Dieser basiert auf unserer Erfahrung aus der Durchführung von hunderten Bedrohungsanalysen und Risikobewertungen (TARAs) und der Entwicklung von Cybersecurity-Konzepten für verschiedenste Fahrzeugfunktionen.
Wir setzen fortschrittliche Techniken und branchenweit führendes Fachwissen ein (mit zehntausenden Stunden Erfahrung), um Risiken zu identifizieren, zu bewerten und zu priorisieren, damit Sie fundierte Entscheidungen treffen und proaktive Maßnahmen zum Schutz der Systeme ergreifen können. Unterstützt wird dies durch ein Konzept mit einer Reihe von Mindestanforderungen an die Cybersecurity, die Ihr System erfüllen muss.
Zu unseren Fachkenntnissen gehört ein ausgezeichnetes und zertifiziertes Management einer auf ISO/SAE 21434 basierenden Methodik für TARA, sowie die Flexibilität diese an kundenspezifische Bedürfnisse anzupassen und so Risiken erfolgreich zu bewerten. Wir stellen sicher, dass potenzielle Cybersicherheitsprobleme bereits zu Beginn des Produktlebenszyklus erkannt und entschärft werden, so dass der Grundsatz „Security-by-Design“ sichergestellt ist.

Architekturentwicklung

AVL bietet eine umfassende Cybersecurity-Integration, die robuste Mechanismen für verschiedenste Steuergeräte (z.B. AUTOSAR-basiert, klassisch oder adaptiv) einsetzt und gleichzeitig die SOP-Reife in jeder Phase gewährleistet.
Unsere Erfahrung umfasst die Definition von Cybersecurity-Spezifikationen für komplexe Systeme zur Risikoreduktion basierend auf der TARAs und Sicherheitskonzepten.
Gleichzeitig stellen wir sicher, dass Cybersecurity-Anforderungen erfolgreich implementiert werden, ohne sich auf die eigentliche Systemfunktionalität auszuwirken oder durch enge Restriktionen zu beeinträchtigen.
Mit der Cybersicherheitsarchitektur stellen wir sicher, dass die verschiedenen, am Prozess beteiligten Akteure die notwendigen Cybersicherheitsanforderungen einbeziehen können. Mit Weitblick können die Entwicklungsspezifikationen definiert und Testaktivitäten angepasst werden. Wir stellen sicher, dass das Security-by-Design-Prinzip in der Systementwicklung durchgehend berücksichtigt wird.
Ergänzend zur Anforderungserstellung unterstützen wir auch bei der Definition von technischen Konzepten zu spezifischen Sicherheitstechnologien. Exemplarisch werden im Folgenden einige genannt:

Konzept-Entwicklung

  • Secure On-baord Communication
  • Secure Diagnosis Interface
  • Secure Boot
  • Secure Logging
  • Secure Flashing
  • Secure Debugging

Architektur & Technische Spezifikation

  • Secure Communication Protocols
  • Network Security
  • Key Management
  • Secure File Transfer
  • POSIX Operating System Security
  • Security Material Management (Zugangsdaten und kryptographisches Material)
  • Vulnerability Management Prozess (Unterstützung in der Definition)

Implementierung

AVL hat es sich zur Aufgabe gemacht, Ihre digitalen Daten mit modernster, auf Ihre Bedürfnisse zugeschnittener Cybersicherheitssoftware zu schützen. Wir arbeiten eng mit Ihrem Team zusammen, um robuste und maßgeschneiderte Cybersicherheitslösungen für verschiedene Anwendungen mit nachgewiesener Produktionsreife bereitzustellen.
Unser Entwicklungsprozess für Cybersicherheitssoftware zeichnet sich durch eine stringente und nachvollziehbare Einhaltung von Cybersicherheitsanforderungen und ein Engagement für die Bereitstellung von Lösungen aus, die den besonderen Anforderungen Ihres Unternehmens entsprechen. Unser Expertenteam nutzt modernste Tools und branchenübliche Best Practices und arbeitet Hand in Hand mit Ihnen zusammen, um eine umfassende Sicherheitsabdeckung zu gewährleisten, die auch spezifische Sicherheitsfunktionen wie beispielsweise On-Chip-HSM umfassen kann.
Wir bieten eine breite Palette von Sicherheitsfunktionen an, die auf die Bedürfnisse von Kunden und OEMs zugeschnitten sind und im Folgenden beschrieben werden.

Security-Funktionen

  • Debug protection – Deaktivierung und Reaktivierung von Hardware-Debug-Schnittstellen, gesichert durch kryptographische Mechanismen
  • Certificate verification and management inkl. PKI (Public key infrastructure)
  • Secure Flashing
  • Secure Authentication
  • Secure On-board Communication
  • Secure Logging
  • Secure Life-cycle Management
  • Secure Activation and Deactivation of Functionalities
  • Secure & Authenticated Boot
  • Secure Variant Coding
  • Validation of Data Integrity

Verifizierung & Validierung

„Wie wird sichergestellt, dass mein Produkt sicher entwickelt wurde?“ Verifizierung und Validierung sind der entscheidende Faktor!

Die Einhaltung etablierter Prozesse, die Verwendung qualifizierter Werkzeuge und der Einsatz erfahrener Ingenieure helfen bei der Entwicklung von sicheren Lösungen, aber selbst unter besten Bedingungen können Fehler passieren!
Bei AVL unterstützen wir sowohl unsere internen Entwickler, als auch Kunden mit verschiedenen sicherheitsorientierten Verifizierungs- und Validierungsaktivitäten, um technische, konzeptionelle und Implementierungs-Fehler so früh wie möglich im Entwicklungsprozess zu identifizieren. Vor allem aber, bevor sie im Straßenverkehr ausgenutzt werden können.

  • Nach dem Shifting-Left-Ansatz werden unsere Tester als Reviewer oder Berater in Konzept- und Entwicklungsaktivitäten eingebunden, um die Sichtweise des Testers frühzeitig einzubringen und sofort einen Mehrwert zu schaffen.
  • Wir arbeiten mit unseren Kollegen aus anderen Test-Bereichen eng zusammen, um deren formale Verifikationsmethoden mit unserem Security-Mindset und -Tooling zu kombinieren. Dies erhöht die Vollständigkeit der Tests und das Vertrauen in die Ergebnisse der funktionalen Sicherheitstests.
  • In unserer Königsdisziplin, dem Penetration Testing, schlüpfen wir selbst in die Rolle des Angreifers und validieren das Endprodukt anhand der zugewiesenen Sicherheitsziele, indem wir Methoden und Techniken von „guten“ Hackern anwenden.

Für diesen wissensintensiven Bereich können wir auf einen reichhaltigen Pool an Ressourcen zurückgreifen.

  • Unser Team besteht aus qualifizierten und zertifizierten Spezialisten (z.B. ISTQB, OSCP, etc.) mit einem tiefen Verständnis für Technologien, der Einstellung und Neugierde, tiefer in die Bits, Bytes und Elektronen einzutauchen, der Ausdauer, ein Ziel zu verfolgen und der Professionalität, mit ihren Fähigkeiten und ihrem Wissen verantwortungsvoll umzugehen.
  • Der zur Verfügung stehende Werkzeugkasten besteht aus etablierten Industriestandards, ergänzt durch Open-Source-Tools und selbst entwickelte, maßgeschneiderte Testsuiten in enger Zusammenarbeit mit unseren auf Toolentwicklung spezialisierten Partnern.
  • TISAX-zertifizierte Räumlichkeiten (ein eigenes Sicherheitslabor und eine Werkstatt) ermöglichen die praktische Arbeit an Testsystemen jeglicher Größe, von einzelnen Steuergeräten bis hin zu kompletten Prototypen und Serienfahrzeugen, wobei die Anforderungen unserer Kunden an die Informationssicherheit jederzeit erfüllt werden.

Letztlich erhöhen wir so das Vertrauen in das Produkt, das angestrebte Sicherheitsniveau erreicht zu haben bevor das Fahrzeug auf die Straße kommt.

Kontinuierliche Systempflege

Mit dem Continuous System Care (CSC) Service gewährleistet AVL einen umfassenden Schutz durch die gründliche Überwachung von Schwachstellen und Bedrohungen sowohl in der Entwicklungs- als auch in der Nachentwicklungsphase.
Shifting-to-the-left: Die Sicherheitsaktivitäten starten bereits zu Beginn des Projekts. Daher deckt die Software Bill of Materials (SBoM) den gesamten Softwarebestand eines Systems ab und unterstützt die Schwachstellenfreiheit bei Projektende.
Mehrere Informationsquellen, öffentliche und private Datenbanken mit Schwachstellen, Informationen über reale Bedrohungen bieten einen umfassenden Überblick über die Bedrohungslandschaft. Es geht nicht nur um Sicherheitsbewusstsein, sondern um die Gewissheit, dass jeder Aspekt der Sicherheit Ihres Produkts berücksichtigt wird.
Sicherheitsanalysten, Experten für Penetrationstests, Software-Entwickler, Fachleute aus allen Bereichen der Automobilentwicklung nehmen sich bei Bedarf der Analyse, Überprüfung und der möglichen Entschärfung der Ergebnisse an. Ganz gleich, ob es sich um eine öffentliche Schwachstelle mit detaillierten technischen Informationen oder um Bedrohungsdaten mit lediglich grundlegenden Details handelt, wir werden sie für Sie gründlich untersuchen.
Wenn ein Produkt in die Nachentwicklungsphase übergeht, wird es für Kunden und andere Parteien zugänglich. Aus diesem Grund geht die Aufrechterhaltung der Produktsicherheit über die routinemäßige Überwachung von Schwachstellen hinaus. Hier kommt Open-Source Intelligence (OSINT) ins Spiel – eine entscheidende Komponente bei der Identifizierung von Bedrohungen. Unsere sorgfältige Vorgehensweise bei der Suche nach Informationen im normalen, Deep- und Dark-Web, einschließlich spezialisierter Blogs, Foren und Communities, ist eine wesentliche Hilfe, um potenzielle Schwachstellen und neue Bedrohungen zu erkennen.

Consulting und Training

AVL unterstützt Sie bei der Erreichung der Compliance mit UNECE R155-Konformität. Als ISO/SAE 21434 und TISAX VCS ENX-zertifizierter Partner haben wir in zahllosen Kundenbeurteilungen und Audits bewiesen, dass wir hervorragende Leistungen erbringen und unseren Kunden den Weg zu den wichtigen Zertifizierungen ebnen. Unsere umfassenden Beratungs- und Schulungsleistungen decken ein breites Spektrum an Cybersicherheits-Themen ab und stellen sicher, dass Ihr Unternehmen mit dem erforderlichen Wissen und der Kompetenz ausgestattet ist, um regulatorische Anforderungen effektiv zu erfüllen. Von maßgeschneiderter Beratung bis hin zu praktischen Schulungen – AVL setzt sich dafür ein, Ihr Team zu stärken und Ihre Bemühungen in der Automobilindustrie zu sichern.
Unser Beratungs- und Schulungsservice umfasst die folgenden Leistungen:

  • GAP-Analyse
  • Etablieren von Prozessen
  • Durchführen von Assessment / Audit
  • Unterstützung bei der Zertifizierung bzw. Vorbereitung
  • Technische Beratung
  • Project Security Management als Service
  • Coaching von Chief Product Secuirty Officers (CPSO)
  • Personalisierte Trainings wie: Cybersecurity Standards in Automotive (UNECE R155, ISO/SAE 21434, ISO/SAE 8477), Hacking Automotive Systems, Cybersecurity Management in Software Development Projects, Threat Analysis and Risk Assessment (TARA)

Wenn Sie weitere Informationen zur Cybersecurity bei AVL erhalten möchten senden Sie eine E-Mail an cybersecurity@avl.com.

Wenn Sie weitere Informationen zum AVL SecGuard Tool erhalten möchten, klicken Sie hier!