Cyber Security betrifft alle Branchen, die mit eingebetteten Systemen arbeiten. Lernen Sie einen Auszug unserer üblichen technischen Tools und Methoden kennen, die wir individuell auf Ihre technischen und nicht-technischen Ziele anpassen.
Cyber Security Strategie- und Prozessberatung
UNECE r155 und Cyber Resilience Act (CRA) Strategieberatung
Basierend auf unseren Erfahrungen in der Zertifizierung, beraten hinsichtlich der typzulassungsrelevanten UNECE r155 Regulierung und dem Cyber Resilience Act (CRA) und betreuen unsere Kunden von der Strategiefindung bis hin zur Bewertung durch den Technical Service.
Public Key Infrastructure (PKI) Prozessberatung
Public Key Infrastructures (PKIs) sind in vielen Unternehmen bereits für IT-Systeme vorhanden. Wir befähigen unsere Kunden das Schlüsselmanagement für die Produkte/Steuergeräte mit den bestehenden PKIs zu integrieren. Beispiele aus unseren Projekten sind unter anderem Root-of-Trust Bootstrapping, Certificate Signing Request Handling oder Manufacturing Line Integration.
Supplier Management Prozessberatung
Cyber Security endet nicht an Unternehmensgrenzen. Um ein sicheres Produkt zu entwickeln, ist es nötig, dass auch für zugelieferte Teile Cyber Security gewährleistet wird. Wir unterstützen unsere Kunden unter anderem bei der Etablierung von Prozessen, der Erstellung von Querschnittslastenheften oder Cyber Security Interface Agreements (CSIA).
Continual Cyber Security Activities Beratung
Cyber Security muss auch nach dem Inverkehrbringen weiter betrachtet werden. Dafür sind viele Abläufe zu definieren und abzuklären. Hier liefern wir unseren Kunden vielfältige Lösungen, unter anderem hinsichtlich der Definition von Cyber Security Monitoring, Vulnerability Analysis & Management oder Incident Response Prozessen.
Cyber Security Testing Prozessberatung
Um Cyber Security abzuprüfen sind funktionale und nicht-funktionale Tests unumgänglich. Die Festlegung von Testtiefe und –umfang liegt dabei nicht immer auf der Hand. Wir unterstützen unsere Kunden bei der Entwicklung von Test Strategien für ihre Produkte – die wir bei Bedarf auch selbst weiter ausgestalten können.
Penetration Testing
Automotive Penetration Testing
Wir testen ihr Automotive Steuergerät oder Fahrzeug.
Anwendungsbeispiele:
Unified Diagnostic Services (UDS),
Control Area Network (CAN / CAN-FD),
LIN und Automotive Ethernet,
SOME/IP, DDS, DoIP, NFC,
Wifi, Bluetooth und BLE,
JTAG / XCP / DAP,
Secure Boot und Secure Update
Web Penetration Testing
Wir testen ihre Webanwendung oder ihren Webservice.
Anwendungsbeispiele:
OWASP und OAuth,
Keycloak und Kubernetes,
Docker und Angular,
Spring Boot,
React und NodeJS,
SQL- und NoSQL Datenbanken
IT Penetration Testing
Wir testen ihr IT-Netzwerk.
Anwendungsbeispiele:
Internal und Internet-facing,
Service Port Scans und In-depth Vulnerability Analysis,
Active Directory,
Network Shares,
ADFS und AzureAD,
ADCS und Databases
Cyber Security Engineering
RISK ANALYSIS TOOLING
Die Risikoanalyse ist entscheidend, um sinnvolle Sicherheitsmechanismen zu identifizieren. Unser eigens entwickeltes Tooling ermöglicht einen Kompromiss zwischen erforderlichem Aufwand der Systemmodellierung und der Genauigkeit der Ergebnisse.
SECURE BOOT
Angriffe, die einen Neustart eines Kontrollsystems überleben, können für viele Zwecke von Angreifern verwendet werden. Secure Boot lässt nur Software booten, die zur Ausführung berechtigt sind. Wir erstellen nicht nur Schutzkonzepte, sondern können diese auch implementieren und testen.
SECURE UPDATE
Eine Update-Funktion ist ein zweischneidiges Schwert. Neben der Update-Funktionalität zur Behebung von Schwachstellen, müssen angemessene Sicherheitsmechanismen implementiert werden, um Missbräuche – wie die Installation von Schadsoftware – zu verhindern.
SECURE DIAGNOSTICS
Die Fähigkeit der Diagnose ist ein wesentliches Merkmal für jedes Steuergerät – ob in der Entwicklung oder später im Einsatz. Um den Schutz der Diagnoseschnittstellen sicherzustellen sind Authentifizierungs-/Autorisierungskonzept nötig, die neben dem Steuergerät selbst auch Auswirkungen auf den Diagnosetester und Backend Systeme haben.
SECURE ONBOARD COMMUNICATION
Sichere Kommunikation im Fahrzeugnetz schützt vor dem Einschleusen von manipulierten Nachrichten durch physikalischen Zugang zum Bus oder durch kompromittierte Busteilnehmende. Oft müssen gezielte kryptographische Lösungen entwickelt werden, um sichere Kommunikation – auch auf älteren Bussystemen – umzusetzen.
CUSTOMIZED CRYPTOGRAPHIC PROTOCOLS
Kryptografische Kommunikationsprotokolle sind in der vernetzten Welt von heute allgegenwärtig. Standardprotokolle können allerdings aufgrund verschiedener Rahmenbedingungen manchmal nicht angewendet werden. Unser Fachteam kann anwendungsspezifische kryptographische Protokolle entwickeln.
KEY MANAGEMENT
Das Key Management ist die Grundlage der meisten Sicherheitskonzepte. Unabhängig davon, ob ein Secure Boot-Konzept etabliert oder Updates gesichert werden müssen, sind kryptographisch starke Schlüssel notwendig, die verwaltet, provisioniert und gegebenfalls ausgetauscht werden müssen.
HARDWARE SECURITY MODULES
Hardware Security Modules (HSMs), ARM Trustzone und Trusted Platform Modules (TPMs) sind Hardware-Enklaven, die vom komplexeren und potenziell anfälligeren Hauptsystem getrennt sind. Hierbei unterstützen wir von der Beratung bis hin zur Entwicklung, sowohl bei der Integration auf Host-seite als auch bei Firmware in der Hardware-Enklave.
VIRTUALISIERUNG
Bei der Entwicklung zum Software-defined Vehicle und Vehicle Computern spielt Virtualisierung eine entscheidende Rolle, um Software voneinander zu isolieren, auf Hypervisor und auf Container-Ebene. Die Virtualisierung nimmt auch direkten Einfluss auf die Integration von Cyber Security Mechanismen, wie beispielsweise die Anbindung von HSMs.
INTRUSION DETECTION SYSTEMS
Intrusion Detection Systems (IDS) sind das „Immunsystem“ von Produkten, mit dem Angriffe erkannt und bekämpft werden können. Wir liefern das Engineering rund um die IDS-Lösung, von der Konzeption und generellen IDS-Strategie bis hin zur Integration der nötigen Sensoren.
COUNTERFEIT PROTECTION
Der Diebstahl von geistigem Eigentum und Produktfälschungen hat in den letzten Jahren kontinuierlich zugenommen. Da sich Produktfälschungen direkt auf den Umsatz auswirken und ein Risiko für Return-on-Investment-Berechnungen darstellen, ist die Vermeidung von Produktfälschungen für die meisten unserer Kunden eine der obersten Prioritäten.
CLOUD INTEGRATION
Im Internet-of-Things werden eingebettete Systeme oft mit einem Backend verbunden, das in der Cloud gehostet wird. Der Kommunikationskanal dorthin sowie die IT-Backend / Webservice Komponente müssen im Cyber Security Gesamtkonzept betrachtet werden. Mit unserem Expertenteam liefern wir neben der Konzepterstellung auch die kundenspezifische Umsetzung.
Security is like the brakes of your car. It slows you down but it also enables you to go a lot faster.
Der Trend hin zu vernetzten Produkten ermöglicht nicht nur innovative Features, sondern erhöht gleichzeitig das Potenzial für bösartige Angriffe – und das sogar aus der Ferne. Erfahren Sie mehr über unsere Leistungen im Bereich Cyber Security Engineering.
Zu den Diensten von AUTOSAR-SECURITY gehören Onboard-Kommunikation, Schlüsselverwaltung, Schnittstellen zu Intrusion Detection Interfaces, Update- und Konfigurationsmanagement sowie sichere Diagnose. Erfahren Sie mehr über unsere aktive Rolle im AUTOSAR Gremium.
