Vernetzte Fahrzeuge
Systematischen Security-Rundumschutz bieten
Fortsetzung des Artikels von Teil 2
Security-Organisation aufstellen
Um die vielen Schutzmaßnahmen effektiv umzusetzen und zuverlässig zu betreiben, benötigt es nicht zuletzt auch eine effektiv aufgestellte Security-Organisation einschließlich aller notwendigen organisatorischen Bausteine wie Security-Prozesse, Security-Richtlinien, Security-Rollen und Security-Verantwortliche. Diese organisatorischen Security-Maßnahmen umfassen geschäftsübergreifend den gesamten Produktlebenszyklus und das gesamte IT-System eines Fahrzeugs.
Jobangebote+ passend zum Thema
Ausgangsbasis ist, wie bei praktischen allen Automobilherstellern und Tier-1-Zulieferern üblich, eine dezidierte Fahrzeug-Security-Fachabteilung oder ein Vehicle Security Competence and Governance Center (VSC). Das VSC ist, wie in Bild 4 dargestellt, über den Chief Vehicle Security Officer (CVSO) im Idealfall direkt und ausschließlich der Geschäftsführung unterstellt. Das verleiht dem VSC und den vom VSC in alle relevanten Abteilungen entsandten oder bestimmten Vehicle Security Officers (VSO) die notwendige Befugnis, um die unternehmensweit geltenden Fahrzeug-Security-Bestimmungen effektiv zu etablieren und durchzusetzen. Die VSOs der einzelnen OEM-Abteilungen arbeiten dabei eng mit den Security-Gruppen des VSC zusammen, die unter anderem
- den Entwicklungsprozess mit Security-Beratung, Security-Soft- und Hardware-Bausteinen, spezifischen Security-Entwicklungen und Security-Tests unterstützen,
- die laufende Überwachung der IT-Sicherheitslandschaft gewährleisten (Security Monitoring), um im Ernstfall mit Rat und Tat zur Seite zu stehen (Security Incident Response),
- die Fahrzeug-Security-Bestimmungen den neuen Gegebenheiten anpassen und ausrollen,
- die Mitarbeiter in Fahrzeug-Security aus- und weiterbilden sowie
- die herstellerübergreifende Fahrzeug-Security-Thematik in relevanten Interessensvertretungen und Standardisierungsgremien weiterentwickeln.
Neben den hauptamtlichen Mitarbeitern der Fahrzeug-Security-Fachabteilung gehören zu einer schlagkräftigen Security-Organisation auch zahlreiche gemischte sowie externe Abteilungen und Projekte. Diese werden zum Beispiel temporär zur Entwicklung neuer Schutzmechanismen aufgestellt oder entwickeln und betreiben zusammen mit anderen Abteilungen gemeinsame Funktionen und Services. Ein Beispiel für eine solche gemischte Abteilung sind etwa die sogenannten „Vehicle Security managed Services“, wo die zentrale IT des Automobilherstellers und das VSC gemeinsam ein sicheres Cloud Back End betreiben. Dabei garantiert die Unternehmens-IT oder auch ein externer Anbieter die notwendige Leistungsfähigkeit und Verfügbarkeit der Cloud-Lösung, während sich die Security-Fachabteilung um die ausreichende Absicherung und die Verwaltung der Zugriffsberechtigungen kümmert.
Erst mit der unternehmensweiten Integration aller organisatorischen Security-Maßnahmen und der ganzheitlichen Absicherung der Fahrzeug-E/E- Architektur einschließlich aller IT-Infrastrukturdienste über alle Lebenszyklen hinweg kann ein nachhaltiger Rundumschutz für moderne vernetzte Fahrzeuge gewährleistet werden. Das erfordert einen nicht unerheblichen Aufwand und Durchhaltevermögen für Aufbau und Betrieb, ist aber die beste Möglichkeit, um zu vermeiden, dass Sicherheitslücken der eigenen Fahrzeug-IT erst auf einschlägigen Veranstaltungen wie der DefCon öffentlichkeitswirksam bekannt werden.
Wie ein solcher ganzheitlicher Schutzansatz in der Automotive-Praxis aussehen kann, wird in zwei Folgeartikeln in den nächsten Ausgaben exemplarisch anhand einer neuen und für das vernetzte Automobil enorm wichtigen Fahrzeug-Security-Funktion zur automatischen Einbruchserkennung und Abwehr von Security-Angriffen (Intrusion Detection and Prevention System) über alle drei Dimensionen – Technik, Lebenszyklus und Organisation – anschaulich demonstriert.
Die Autoren
Dr.-Ing. Marko Wolf
studierte Elektrotechnik an der Ruhr- Universität Bochum. Er promovierte an der Universität im Bereich Embedded Security. Seit 2008 ist Dr. Wolf bei Escrypt beschäftigt, zunächst als Senior-Security-Ingenieur, dann als Abteilungsleiter für die Niederlassung in München. Im Oktober 2013 wurde er Entwicklungsleiter. Seit Dezember 2014 ist Marko Wolf als Leiter für den Bereich Consulting & Engineering im Unternehmen tätig.
Dipl.-Inf. Jan Holle
studierte angewandte Informatik mit Fachrichtung Elektrotechnik an der Universität Siegen. Er ist seit August 2013 bei der Escrypt GmbH tätig, zunächst als Security-Ingenieur, seit Juli 2016 als Product Manager.
- Systematischen Security-Rundumschutz bieten
- Nachhaltiger Schutz notwendig
- Security-Organisation aufstellen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Immunsystem fürs Fahrzeug
Intrusion Detection und Prevention in vernetzten Fahrzeugen
Architektur für Embedded-Systeme
Schwachpunkte ausmerzen
AVL Plattform Testbed.Connect
Simulation mit physischem Test vernetzen
ETAS und Maplesoft
Test und Kalibrierung von Batteriemanagementsystemen
Cybersicherheit
Im Kampf gegen Cyberangriffe muss mehr getan werden
BMW startet CarData
Neue Services mit hoher Security und Privacy
Vom Auto zum Consumer Gadget
Das aktuelle V-Modell steht unter Druck
Hannover Messe 2017
VDE startet IT-Sicherheitsinitiative CERT für KMUs
