Rocky road ahead - first steps and challenges in security testing within the automotive domain
Kurzfassung
Aktuelle Fahrzeuge wie PKW, Busse, Bagger und Mähdrescher sind längst zu „Tablets auf Rädern“ weiterentwickelt worden. Die damit steigende Komplexität stellt die Unternehmen vor schwierige Herausforderungen in der Qualitätssicherung und Cybersicherheit. Dies betrifft besonders die duzenden elektronischen Steuergeräte
(electronic control units) im Fahrzeug. Diese eingebetteten Systeme sind miteinander vernetzt und sowohl für kritische Funktionen wie Motorsteuerung und Fahrerassistenz, als auch Komfortfunktionen wie Infotainment und Fensterheber zuständig.
In der Automotive-Branche stammen diese Subsysteme aus einer komplexen Lieferkette von Hardware- und Softwarelieferanten. Doch ist die
Software in diesen Steuergeräten und damit das Fahrzeug frei von Schwachstellen? Eine neue Norm fordert die Cybersicherheit von Fahrzeugen und ein nachweisbares Managementsystem von Herstellern.
Doch der aktuelle Personalmangel macht diesen Veränderungsprozess herausfordernd. Zusätzlich ist der Einstieg in die Cybersecurity in der Automotive Branche anspruchsvoll. Neben dem breiten Fachwissen werden auch Messinstrumente und Elektronik-Werkzeuge benötigt. Diese monetären und fachlichen Aspekte verhindern oftmals einen Einstieg und damit die mittelfristige Bildung der Expertise.
Eine der größten Hürden ist die Übung an realen Testobjekten, den Steuergeräten, aber auch kompletten Fahrzeugen. Doch was sind die Angriffsmethoden und Schwachstellen? Anhand von real eingesetzter Hardware wird in diesem Vortrag gezeigt, wie ein Testsetup für Steuergeräte und Autoelektronik hergestellt und diese auf Schwachstellen getestet werden können. Dabei werden unterschiedliche Methoden wie dynamisches Testen, Reverse Engineering und Interfaces auf der Elektronik genutzt. Dies soll Einstiegspunkte anhand von ausgewählten Schwachstellen aufzeigen und mit Forschungsergebnissen untermauern, was Sicherheitsprobleme in den „Tablets auf Rädern“
sind.
Vortragender
Richard Kugler
Reinhard Kugler ist bei SBA Research für die Entwicklung des Themenbereichs Automotive Security zuständig. Seine Erfahrung stammt aus dem Bereich Cyber Defense, Incident Response und Penetration Testing und hat mit Kunden aus dem Bereich IT, IOT und Industrial IOT Systemen zusammengearbeitet. Reinhard ist externer Vortragender für die Lehrveranstaltungen Cyber Security und Cyber Crime Defense auf der FH Campus Wien. Er ist Autor und Instruktor von Hands-on Security Trainings. Seine Arbeit soll Unternehmen und Forschung zusammenbringen, um praktikable und zukunftsfähige Systeme herzustellen.