Moderne Fahrzeuge werden mehr und mehr zu hochentwickelten vernetzten Systemen, welche Hardware, Software, Systeme und Komponenten auf komplexe Art und Weise verbinden. Auch Technologien für die Kommunikation des Fahrzeugs innerhalb und mit seiner Außenwelt entwickeln sich ständig weiter.
Nicht nur konkret aus Perspektive der Qualität und Sicherheit, sondern auch für die Leistungsüberprüfung in der Entwicklung liefert Testing wichtige Impulse, um Korrekturen und Anpassungen in Produkten und Prozessen vornehmen zu können, bevor ein Fahrzeug auf die Straße kommt.
Denn offensichtlich ist: Die Implementierung von Cybersicherheit in das Fahrzeug und seiner jeweiligen Komponenten und Systeme auf Hardware- und Software-Ebene wird zu einer der wichtigsten Erfolgsfaktoren für die gesamte Industrie – vom OEM über alle beteiligten Zulieferer. Dabei geht es um Sicherheit und Qualitätsansprüche zum einen, aber eben auch um die Weiterentwicklung des Kerngeschäfts.
Für Verantwortliche in Entwicklungsprojekten auf Seiten des OEMs und der beteiligten Zulieferer wird die systematische Auseinandersetzung mit Methoden des Fahrzeug-Penetration-Testings unverzichtbar.
Dabei gilt es:
1. Den Scope konkret zu definieren und ein zugeschnittenes Analyse- und Test-Setting entsprechend der Anforderungen zu definieren
2. Technische Schwachstellen systematisiert zu identifizieren
3. Erkenntnisse und zugehörige Informationen im Test-Report verständlich zusammenzustellen.
Beim Automotive Penetration Testing werden Sicherheitsmechanismen eines Fahrzeugs, bzw Fahrzeugsystems systematisch und gezielt analaysiert, getestet und bewertet. Dieser Prozess dient zur Identifizierung und Behebung von Schwachstellen in Fahrzeugsystemen.
In der Praxis stellt dies wiederkehrend eine Herausforderung dar. Angefangen auf Ebene der Organisationsstruktur in der Informationsbeschaffung und der Abgrenzung eines sinnvollen Rahmens. Bereits hier kann es Sinn machen die Fachexperten für das Automotive-Pentesting frühzeitig mit an Bord zu holen.
Denn es ist häufig eine besondere Herausforderung, die Zusammenstellung der erforderlichen Kompetenz sowie die granulare Ausgestaltung des Test-Settings und die Durchführung der Test-Aktivitäten wohlgeordnet aufzusetzen. Zuguterletzt ist auch der saubere Vulnerability- und Abschluss-Report als Zusammenstellung der Ergebnisse und Startschuss für daran anknüpfende Aktivitäten ein wesentliches Qualitätsmerkmal eines professionellen Automotive-Penetrationtesting-Vorhabens.
Penetration-Testing liefert Antworten auf Fragen, ob die eingesetzten Sicherheitsmechanismen zum jeweiligen Zeitpunkt die gestellten Anforderungen an die Gewährleistung der Absicherung von Systemen vollumfänglich erfüllen. Insbesondere Automotive-Penetration-Testing kann diese Antworten nur liefern, wenn bestimmte Kriterien im Rahmen eines Testing-Mandats erfüllt werden.
Regulatorische Anforderungen, etwa resultierend aus UN R155 / CSMS oder UN R156/SUMS, werden sowohl für OEM und Tier-N-Supplier ganzheitlich herangezogen.
Umfangreiche (breite/tiefe) technische Expertise für komplexer werdende Systeme und Komponenten wird bereit gestellt.
Geschäftsrelevante Compliance-Anforderungen entlang der State-of-the-Art Industriestandards (wie der ISO/SAE 21434 oder der ISO 24089) werden praxistauglich integriert.
Vertrautheit und Erfahrung mit Automotive-spezifischen Kommunikationsprotokollen, in Abgrenzung zu gängigen Protokollen der IT.
Eine gesamtheitlich ausgerichtete Testing-Strategie, organisationsweit und projektübergreifend, dient als Rahmen der Testing-Vorhaben.
Praxis-Erfahrung in Planung und Durchführung von Test-Settings, sowie effektive Kommunikation mit allen Stakeholdern.
Testing wird als geforderte Methode systematisch und professionell betrieben, um Schwachstellen und Angreifbarkeit zu reduzieren.
Detaillierte und ebenso klar verständliche Ergebnisberichte, die nicht nur technische Findings auflisten.
Zunehmende Erforderlichkeit der Prozess-Effizienz für Verfication & Validation wird ausreichend Sorge getragen.
Klare praxis- und fallbezogene Empfehlungen als Startpunkt für Umsetzung in der Praxis