Hologramm von futuristischem Auto in Werkstatt.

Automotive Penetration Testing

Sicherheits-Experten durchleuchten gezielt Hardware, Software und IT-Netzwerke rund ums vernetzte Fahrzeug

Cyberangriff im Auftrag des Kunden

Wer wissen will, wie gut seine vernetzten Systeme gegen Cyberattacken gewappnet sind, muss sich in den potenziellen Angreifer hineinversetzen. Das gilt besonders für das vernetzte Auto und seine zahlreichen Schnittstellen. Deshalb führen die Sicherheitsexperten von T-Systems im Kundenauftrag mit Penetrationstests Angriffe auf Komponenten des Connected Car durch.

Technische Schwachstellen identifizieren und überprüfen

Computergrafik eines Autos von oben

Die Ziele eines Hackers beim Angriff auf ein vernetztes Fahrzeug sind ebenso vielfältig wie seine Methoden. Systeme kompromittieren, vertrauliche Informationen stehlen oder die Verfügbarkeit von Diensten beeinträchtigen sind nur einige Beispiele. Indem sie sich in die Rolle von Angreifern versetzen und deren Denkweisen und Angriffsverfahren übernehmen, können Spezialisten für Cybersecurity technische Schwachstellen am zuverlässigsten identifizieren, überprüfen und anschließend gezielte Gegenmaßnahmen ableiten. 

Hardware, Software, Infrastruktur

Mit Penetrationstests prüfen die T-Systems-Experten Hardwarekomponenten, Schnittstellen, Anwendungen und Netzwerke rund um das vernetzte Fahrzeug.

 Steuergeräte

Tiefgreifende Tests auf Hard- und Softwarebasis wie Glitching-Attacken, Angriffe auf Debug-Schnittstellen sowie Seitenkanalangriffe, PCB-Manipulation, und die Umgehung von JTAG-Sperren, Angriffe auf einzelne Funktionen einer ECU wie OTA-Softwareupdates, Feature Activation oder Diagnose, Privilege Escalation, Hardening, Service Detection, sichere Freischaltung von Bezahldiensten, In-Car-Apps/Dienste (z. B. Navigationsdienste)

Mobile Apps

Untersuchung auf allgemeine Schwachstellen, Prüfen der Verbindung zur Head-Unit, Steuergeräten, Backend und Drittanbieter-Services, Tests von Pkw-Apps mit Komfortfunktionen, wie Türöffner und Klimasteuerung (iOS & Android)
 

Schnittstellen & Infrastruktur

Analyse der Funkverbindungen von Head-Unit und Steuergeräten, Angriffe auf CAN-Bus (Man-in-the-Middle-Szenarien) und andere Onboard-Kommunikationstechnologien (SOME/IP, BroadR-Reach), Bordnetzsteuergeräte (Fuzzing der UDS-Kommunikation), Media-Schnittstellen (USB, Ethernet, WLAN), Multimedia-Funktionen (z.B. Angriffe über manipulierte mp3-Files), weitere Verbindungen wie Mobilfunk, NFC, Bluetooth, V2X, SD-Karte

Backend & Webanwendungen

Automatisierte Tests und manuelle Angriffe auf Authentifizierungsverfahren und Aufdecken neuer Software-Schwachstellen in IT-Systemen, Analyse von Source Code (C, C++, Autosar, Java, iOS, Android), kryptografischen Konzepten und Implementierungen auf Schwachstellen
 

Automatische und manuelle Testverfahren

Chip-Platine von oben

Die Pentester von T-Systems fahren stets zweigleisig. Nahezu vollständig automatisierte Vulnerability Assessments decken die Schwachstellen für bereits bekannte Angriffe auf IT-Systeme auf. Sollen jedoch bislang unbekannte – und vor allem Automotive-spezifische – Sicherheitslücken identifiziert werden, sind manuelle Penetration Tests nötig. Diese systematischen, flexiblen Tests mit realistischen Angriffsmethoden und -werkzeugen sollen Schwachstellen aufdecken, bevor sie ausgenutzt werden können.

Wir freuen uns auf Ihr Projekt!

Gern stellen wir Ihnen den passenden Experten zur Seite und beantworten Ihre Fragen rund um Planung, Implementierung und Betrieb von Sicherheitslösungen für das vernetzte Fahrzeug. Sprechen Sie uns an!

Die Vorgehensweise beim Pentest

Die Vorgehensweise orientiert sich an etablierten Vorgehensmodellen für die Durchführung von Penetrationstests.

Vorbereitung

  • Ziele, Umfang und Vorgehen festlegen
  • Testumgebung und Testvoraussetzungen definieren
  • Rechtliche und organisatorische Aspekte berücksichtigen
  • Risiken und erforderliche Notfallmaßnahmen bestimmen

Informationsbeschaffung

  • Benötigte Informationen festlegen und recherchieren
  • Übersicht über Systeme und Anwendungen erstellen
  • Potenzielle Angriffspunkte und bekannte Sicherheitsmängel bestimmen

Bewertung & Risikoanalyse

  • Gesammelte Informationen analysieren und bewerten
  • Testobjekte und Angriffsziele festlegen
  • Relevante Testmethoden auswählen
  • Testfälle erstellen

Aktive Eindringversuche

  • Aktive Angriffsversuche auf ausgewählte Systeme durchführen
  • Potenzielle Schwachstellen verifizieren
  • Weitere Testmodule auswählen und ausführen

Abschlussanalyse

  • Ergebnisse bewerten
  • Risiken darstellen und Maßnahmen definieren
  • Entscheidungen für den Einsatz empfehlen
  • Abschlussdokumentation erstellen

Automotive Pentesting mit T-Systems

Mann in Nahaufnahme beobachtet Datentexte auf einem durchsichtigen Bildschirm.

Das Testing von kritischen Infrastrukturen gehört zu einer umfassenden IT-Sicherheitsstrategie. T-Systems verfügt als ICT-Dienstleister über das Know-how und die notwendige Unabhängigkeit, um den Sicherheitszustand Ihrer Systeme und Anwendungen kritisch zu analysieren. Den konkreten Umfang und die Art der Tests legen wir vorab gemeinsam mit Ihnen fest, basierend auf Ihren Geschäftszielen und Sicherheitsanforderungen. Als Ergebnis der Penetrationstests erstellt T-Systems einen detaillierten Abschlussbericht, der alle identifizierten Sicherheitslücken auflistet und priorisiert sowie konkrete Empfehlungen für deren Behebung enthält.

Ihre Vorteile im Überblick

Automotive Penetration Testing aus einer Hand:

Kostensenkend

  • Schäden vermeiden, bevor sie entstehen
  • Effizientes und kostenreduziertes Vorgehen durch konkrete Maßnahmenempfehlungen 

Zuverlässig

  • Experten jeglicher, technologischer Fachrichtungen verfügbar
  • Unabhängiger und neutraler Blick als externer ICT-Dienstleister 

Sicher

  • Überprüfen von Standards und Normen
  • Individuell angepasste Intensiv-Checks mit Penetrationstests

Zukunftsweisend

  • Testergebnisse als Basis und Leitlinie für zukünftige Sicherheitsmaßnahmen
  • Vorbereitet auf aktuelle und neuartige Bedrohungen
Besuchen Sie t-systems.com außerhalb von Austria? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.