Die Fahrzeugindustrie benötigt Standardwerkzeuge und -methoden, um elektronische Komponenten im Fahrzeug gegen Angriffe abzusichern. Dies fordern zunehmend sowohl existierende als auch zukünftige internationale Standards zur Cybersicherheit von Fahrzeugen wie SAE J3061 und ISO/SAE 21434. Ein wichtiges Vorgehen ist dabei der regelmäßige Penetrationstest, bei dem beauftragte Sicherheitsexperten versuchen, das Produkt so anzugreifen, wie Hacker das tun würden. Dabei identifizierte Verwundbarkeiten werden noch vor dem Verkaufsstart behoben. Es gehört zur Best Practice, nach der Umsetzung solcher Maßnahmen deren Wirksamkeit durch einen Wiederholungstest nachzuweisen. Bisher werden alle diese Tests von Experten durchgeführt, die sich aus Ressourcengründen oft nur auf die Hauptmerkmale der kritischsten Steuergeräte konzentrieren können.
Die secunet redbox ermöglicht den Fahrzeugherstellern, die automatisierbaren Anteile von Penetrationstests nur einmalig zu implementieren, so dass sie danach ohne Security-Experten vielfach angewendet werden können – und zwar, entsprechend der benötigten Skalierung, auf mehr Steuergeräten als bisher und mit den benötigten Wiederholungen in verschiedenen Prozessschritten. Für Security-Tests relevante Phasen sind dabei erste agile Entwicklungs-Prototypen, Zulieferer-Meilensteine (als Teil von Eingangs- oder Abnahmetests), Abschlusstests von Integrationsstufen und der Start der Serienproduktion. Falls Informationen über neue Angriffstypen oder Verwundbarkeiten in verwendeten Softwarekomponenten auftauchen, können situationsabhängige Tests als Teil des ISMS/CSMS* eingesetzt werden.
Für die Anwender ergeben sich Vorteile durch gesteigerte Effizienz, vereinfachte Testprozesse, erhöhte Entwicklungsgeschwindigkeiten und eine dauerhaft steigende Testabdeckung. Werden die gewonnenen Vorteile in mehr Security-Tests und Gegenmaßnahmen reinvestiert, ergibt sich letztlich eine Erhöhung des Sicherheitsniveaus und der Qualität. Schließlich können durch Integration mit bestehenden Infrastrukturen und Etablierung von Testkatalogen die Mindeststandards angehoben werden. secunet liefert Testkataloge für die unterstützten Protokolle und Technologien mit aus. Nicht zuletzt stellt auch die umfassende, durchgängige Dokumentation der Tests und Ergebnisse einen zusätzlichen Mehrwert dar. Durch die von Experten hinterlegten Bewertungen in den Ergebnissen können Anwender ohne eigene Security Competence Center direkt in hochwertige Security-Tests einsteigen.
secunet bietet Interessenten vorab Teststellungen des Produkts an. Auch Trainings sind verfügbar.
*) Informationssicherheits-Managementsystem / Cybersicherheits-Managementsystem
