Automotive Produkt Cybersecurity
Welche Maßnahmen schützen ein System ressourcenschonend, effektiv und langfristig gegen unbefugte Manipulationen und Angriffe?
Die ständig steigende Häufigkeit und Schwere von Cybersecurity-Vorfällen (sogenannte "Incidents") hat in den letzten Jahren die Bedeutung von Product Cybersecurity sowohl in der öffentlichen Wahrnehmung als auch unter wirtschaftlichen Gesichtspunkten deutlich erhöht. Zusätzlich wird die Notwendigkeit für absichernde Gegenmaßnahmen auch durch die stetig wachsende Anzahl an geltenden Vorschriften und Anforderungen wie UNECE 155R, ISO 21434, IEC 62443, ASPICE for Cybersecurity und weitere branchenspezifische Normen immer weiter erhöht.
Gleichzeitig tragen auch diverse kundenbezogene Cybersecurity-Anforderungen und die Erweiterung der bestehenden Coding-Standards dazu bei, das Gesamtbild zunehmend komplexer zu gestalten.

Immer komplexere Systemfunktionen und die zunehmende Anzahl an Schnittstellen und Vernetzungen sorgen für immer mehr potenzielle Bedrohungsszenarien.

In der Automotive-Branche nehmen die Systemkomplexität und die Anzahl an Steuergeräten, Funktionen und Schnittstellen rasant zu, was unweigerlich neue potenzielle Bedrohungsszenarien auf den Plan ruft. Moderne Fahrzeuge sind längst nicht mehr isolierte, mechanische Fortbewegungsmittel, sondern hochvernetzte, softwaregetriebene Plattformen.
Von Infotainment-Systemen über Telematikgeräte bis hin zu autonomen Fahrfunktionen – die Fülle und Vernetzung elektronischer Komponenten erfordert robuste Cybersecurity-Maßnahmen. Jede zusätzliche Schnittstelle, egal ob interne Buskommunikation (z. B. CAN/CANFD, LIN, FlexRay, Ethernet) oder externe Verbindungen (z. B. Bluetooth, Wifi, 5G etc.), kann ein zusätzliches Einfallstor für Cyberangriffe darstellen.
Dadurch wird es unerlässlich, von Beginn an fortschrittliche Cybersecurity-Mechanismen zu planen, zu entwickeln und zu testen, um die Integrität und Sicherheit von Fahrzeugdaten und -funktionen zu gewährleisten und sowohl Fahrer als auch andere Verkehrsteilnehmer vor potenziellen Gefahren zu schützen.
Cybersecurity by Design – von identifizierten Risiken zu maßgeschneiderten Gegenmaßnahmen
Product Cybersecurity sollte bereits mit dem Beginn einer Neu- oder Weiterentwicklung eines Produkts als Teil des Entwicklungsprozesses berücksichtigt werden. Nur so lassen sich bedrohte Systemelemente (sog. „Assets“ wie z. B. Schnittstellen oder (Teil-)Funktionen) und realistische Angriffspfade rechtzeitig identifizieren sowie mögliche Auswirkungen von Schadensszenarien auf beteiligte Verkehrsteilnehmer und Unternehmen vollständig einschätzen.
Davon ausgehend werden die tatsächlichen Risiken ermittelt und entsprechende Sicherheitsziele und -ansprüche (sog. „Goals & Claims“) abgeleitet. Darauf aufbauend wird in einem Cybersecurity-Konzept spezifiziert, welche Sicherheitsmaßnahmen (sog. „Security Controls“) notwendig sind, um alle existierenden Anforderungen an die Absicherung des Produktes gegen Angriffe und Manipulationen zu erfüllen.

Einige solcher typischen Cybersecurity-Gegenmaßnahmen sind zum Beispiel:
- Einsatz von sogenannten „Secure Flash“ und „Secure Boot“ Mechanismen, um unbefugte Veränderungen der Geräte-Firmware durch gefälschte Updates oder eine direkte Manipulation des Gerätespeichers zu verhindern
- Zusätzliche Authentifizierung von Botschaften und Signalen durch Secure Onboard Communication (SecOC), um sicherheitskritische Bus-Netzwerke (z. B. CAN/CANFD, FlexRay oder Automotive Ethernet) vor einer Manipulation durch Angreifer zu schützen
- Verwendung eines Hardware Security Moduls (HSM) für die Hardwarebeschleunigung von kryptographischen Algorithmen und zum Schutz von sicherheitskritischen Informationen wie z. B. Schlüsselmaterial oder private Nutzerinformationen
- Zusätzlicher physischer Schutz der Hardware durch bewusste Planung eines schwer zugänglichen Installationsortes, Verwendung spezieller Verschraubung oder Versiegelung des Gehäuses, um Angriffe auf Geräte zu erschweren und unbefugte Manipulationen eindeutiger erkennbar zu machen
Wichtig ist hierbei, dass die verfügbaren Maßnahmen bedarfsgerecht ausgewählt werden und sinnvoll miteinander kombiniert werden, um einen möglichst hohen Grad an Sicherheit gewährleisten zu können, ohne hierbei die eigentliche Funktionalität des Produktes zu beeinträchtigen.
Um letztendlich eine Wirksamkeit der Gegenmaßnahmen nachweisen zu können, sind zudem häufig automatisierte Robustness- bzw. Fuzz-Tests sowie systematische Pen-Tests notwendig. Diese sollten neben den klassischen Modul-, Integrations- und Systemtests direkt bei der Planung einer vollständigen Teststrategie mitberücksichtigt werden.
Cybersecurity Lifecycle – ein durchgehend geschütztes Produkt von der Fertigung bis zur Entsorgung
Ein Produkt muss über seinen gesamten Lebenszyklus durchgehend gegen möglichen Missbrauch und Manipulationen durch unbefugte Dritte abgesichert werden. Das beginnt bereits mit der Fertigung der einzelnen Teilkomponenten und dem Zusammenbau des Systems bis letztendlich zu dessen Entsorgung nach bis zu 15 – 20 Jahren Betriebsdauer.
Bereits jede potenzielle Schwachstelle innerhalb der Produktionskette kann von Angreifern identifiziert und ausgenutzt werden. Daher sollte von Anfang an eine Produktionsplanung unter der konsequenten Berücksichtigung von Cybersecurity-Aspekten erfolgen. Hier muss die Product Cybersecurity eng mit den verantwortlichen Teams für IT & OT Cybersecurity zusammenarbeiten, um ein lückenloses Sicherheitskonzept für den Produktionsprozess zu etablieren.
Es müssen hier grundsätzliche Fragen geklärt werden:
- Wo werden sicherheitskritische Daten wie z. B. Schlüsselmaterial oder Passwörter abgelegt?
- Wie können sicherheitskritische Daten sicher zwischen unterschiedlichen Produktionsparteien übertragen werden?
- Wie kann der Zugriff auf Flash- oder End-of-Line-Stations durch entsprechend abgesicherte Bereiche (sogenannte "Secured Areas") beschränkt werden?
- Wie können diese abgesicherten Bereiche z. B. durch automatisierte Zutrittskontrollen vor Unbefugten geschützt werden?
- In welchem Produktionsschritt werden Schlüsselmaterial und Passwörter in das Gerät geschrieben und ab wann werden spezifische Cybersecurity-Funktionen aktiviert?
- Mit welchen Maßnahmen lassen sich die Teilkomponenten und Produkte während Transport und Lagerung effektiv vor Diebstahl und Manipulation schützen?
Auch nach dem Inverkehrbringen des Produkts muss jederzeit sichergestellt sein, dass sicherheitsrelevante Diagnosezu-griffe oder Servicefunktionen nur durch berechtigtes Fachpersonal ausgeführt werden können und sicherheitskritische Diagnosedaten entsprechend manipulationssicher im System abgelegt werden können. Dazu ist zum Beispiel für die notwendigen Servicefunktionen ein Berechtigungs- und Rollensystem notwendig und es sollte zudem eine entsprechen-de Authentifizierung in die Diagnosegeräte der beteiligten Serviceteams integriert werden.
Selbst für die abschließende Entsorgung, das sogenannte "Decommissioning", müssen notwendige Schritte zur Datenlö-schung geplant werden, um eine missbräuchliche Nutzung des Produkts und das Auslesen von personenbezogenen Daten oder Schlüsselmaterial zu verhindern.
Ob es um ein laufendes Projekt geht, bei dem Sie zusätzliche Experten für sicherheitskritische Anwendungen benötigen, oder demnächst ein solches Projekt ansteht - wir sind der richtige Ansprechpartner, wenn es um Funktionale Sicherheit geht.
Sie möchten mehr über unsere Erfahrungen und Kernkompetenz im Bereich Funktionale Sicherheit erfahren? Dann kontaktieren Sie uns über: