Cybersicherheit von Fahrzeugen

Shaun72 · 28. Mai 2020 um 19:29

Es gibt eine neue Richtlinie für Cybersicherheit von der UN.
Security by Design im Auto: Neue UN-Vorgaben für Cybersicherheit von Fahrzeugen
Grundsätzlich finde ich das ja OK und so wie das geschrieben ist, ist das einen Empfehlung, die den Neuen hilft, die Mindeststandards einzuhalten.

Meine Befürchtung geht darum, ob alle aktuellen Teslas, i3s oder ZOEs die Vorgaben einhalten und was wenn nicht.

Shaun.

snert · 30. Mai 2020 um 11:52

Die aktuellen müssen das nicht einhalten, selbst wenn das ab jetzt verbindlich wäre.

TM3LR · 4. Juni 2020 um 06:37

Das und die ein oder andere Vorschrift lässt alle OEMs erschaudern, da es in die komplette Kette eingreift. Es gibt nur ganz ganz wenige OEMs denen klar ist worum es dabei wirklich geht. IT-Security ist mein Fachgebiet und ich war zu diesem Thema schon unterwegs. Das ist spannend zu sehen wie es bei den klassischen Firmen belächelt wird.
Toyota wollte das zu Olympia verpflichtend haben für alle Fahrzeuge mit einem gewissen Autonomie grad. Nun gibt es kein Olympia dieses Jahr, somit kann in Japan die Flotte noch optimiert werden.
Das ist eine RIESEN Aufgabe für alle, denn die müssen als einen Baustein ein Release Management für die Komponenten einführen. Nun hat ein Golf rund 150 Steuergeräte, die exakt mit HW Revision und SW Version erfassen und pflegen ist Aufwand. Und dann werden so Rückrufe kommen, wie Software Update auf dem Steuergerät der Anhängerkupplung für 30 Fahrzeuge Aufgrund einer Software Verwundbarkeit. Nur für Fahrzeuge die am 7.7.2020 von 8:45 Uhr bis 9:15 Uhr gebaut wurden.
Das System muss man erst einmal konzipieren, bauen und pflegen. Verschlingt Unsummen an Beratern, IT-Systemen und Meetings mit den Zulieferern.
Ich hatte auch mal die Vorstellung das haben die schon.
Wie schwierig Software ist, sieht man am ID3 und Golf 8. Oder auch bei unseren Fahrzeugen, die keine Zwischenziele im Navi können.
Bei diesem generellen Cyber-Sec Thema sehe ich neue Hersteller im Vorteil da dort nicht so viele Bedenkenträger sind die sagen, das haben wir noch nie so gemacht. Ausserdem ist das Thema Software dort oft ganz anders angesehen und zählt zu den Kern Kompetenzen. Da haben die einen Jahrzehnte Spaltmasse angesetzt als oberstes Ziel und andere eben Software.

dennish · 12. Juni 2020 um 12:23

Ich arbeite auch im IT-Security - Bereich.
Es stimmt dass der „Das haben wir schon immer so gemacht“ - Faktor bei Startups oder jüngeren Firmen praktisch nicht existiert, dafür haben sie meiner Erfahrung nach oft ein anderes, gravierenderes Problem: „Das machen wir später“.

Gerade das kleine, hippe StartUp welches sich in agiler Softwareentwicklung von Prototyp zu Prototyp hangelt läuft Gefahr unter Zeitdruck (wir brauchen aber bis zum Meeting mit den Investoren was was funktioniert was wir vorzeigen können, wenn wir nicht bis Tag X abliefern ist das Projekt/die ganze Firma in Gefahr) ein paar Kurven zu schneiden die durchaus auf Kosten der Sicherheit gehen können. Sei es defaultmäßig mit zuvielen, eigentlich nicht benötigten Berechtigungen zu arbeiten, Input nicht zu validieren oder Backends kaum bis gar nicht abzusichern.

Sicherheit ist manchmal einfach nur ein Luxus-Feature wenn vor Release noch genug Zeit ist. Und auch Firmen die sich in Software in ihrer Kernkompetenz sehen sind da gefährdet, nicht nur weil diese meinen das Risiko dessen was sie nicht komplett absichern besser einschätzen zu können.

TM3LR · 12. Juni 2020 um 13:02

dennish:

TM3LR:

Bei diesem generellen Cyber-Sec Thema sehe ich neue Hersteller im Vorteil da dort nicht so viele Bedenkenträger sind die sagen, das haben wir noch nie so gemacht. Ausserdem ist das Thema Software dort oft ganz anders angesehen und zählt zu den Kern Kompetenzen.

Ich arbeite auch im IT-Security - Bereich.
Es stimmt dass der „Das haben wir schon immer so gemacht“ - Faktor bei Startups oder jüngeren Firmen praktisch nicht existiert, dafür haben sie meiner Erfahrung nach oft ein anderes, gravierenderes Problem: „Das machen wir später“.

Gerade das kleine, hippe StartUp welches sich in agiler Softwareentwicklung von Prototyp zu Prototyp hangelt läuft Gefahr unter Zeitdruck (wir brauchen aber bis zum Meeting mit den Investoren was was funktioniert was wir vorzeigen können, wenn wir nicht bis Tag X abliefern ist das Projekt/die ganze Firma in Gefahr) ein paar Kurven zu schneiden die durchaus auf Kosten der Sicherheit gehen können. Sei es defaultmäßig mit zuvielen, eigentlich nicht benötigten Berechtigungen zu arbeiten, Input nicht zu validieren oder Backends kaum bis gar nicht abzusichern.

Sicherheit ist manchmal einfach nur ein Luxus-Feature wenn vor Release noch genug Zeit ist. Und auch Firmen die sich in Software in ihrer Kernkompetenz sehen sind da gefährdet, nicht nur weil diese meinen das Risiko dessen was sie nicht komplett absichern besser einschätzen zu können.

Dem stimme ich auch zu, jedoch kann man dort in eine Sprint Planung das Thema Security aufnehmen und dann wird das auch meist angegangen. Bei anderen wurde einfach der Wasserfall umbenannt in Sprint und man wurschtelt sich da so durch. Oder freut sich:„Es funktioniert!“ und die Dokumentation und Absicherung machen wir dann wenn Zeit ist… (Klassischer Fall in allen Unternehmen)

Ich freue mich schon auf die OTA Update Analysen, wenn es die deutsche Autobranche geschafft hat diese zu liefern. Da wird man hoffentlich aus den Fehlern anderer gelernt haben. (heise.de/newsticker/meldung … 07360.html)

Letztlich ist es meist der Klassiker, das erst dann etwas passiert nachdem etwas passiert ist.
Ein Beispiel das in der Branche jeder kennt ist der Fall MAERSK (heise.de/newsticker/meldung … 52112.html)

cer · 12. Juni 2020 um 14:01

Hat die UNECE irgendeinen verbindlichen Einfluss auf die Legislativen der Länder?

mcm23 · 14. Juni 2020 um 02:08

Dergestalt, daß die Wahrscheinlichkeit der Übernahme in EU-Recht regelmäßig recht hoch ist… ja…!?