Wer wissen will, wie gut seine vernetzten Systeme gegen Cyberattacken gewappnet sind, muss sich in den potenziellen Angreifer hineinversetzen. Das gilt besonders für das vernetzte Auto und seine zahlreichen Schnittstellen. Deshalb führen die Sicherheitsexperten von T-Systems im Kundenauftrag mit Penetrationstests Angriffe auf Komponenten des Connected Car durch.
Die Ziele eines Hackers beim Angriff auf ein vernetztes Fahrzeug sind ebenso vielfältig wie seine Methoden. Systeme kompromittieren, vertrauliche Informationen stehlen oder die Verfügbarkeit von Diensten beeinträchtigen sind nur einige Beispiele. Indem sie sich in die Rolle von Angreifern versetzen und deren Denkweisen und Angriffsverfahren übernehmen, können Spezialisten für Cybersecurity technische Schwachstellen am zuverlässigsten identifizieren, überprüfen und anschließend gezielte Gegenmaßnahmen ableiten.
Mit Penetrationstests prüfen die T-Systems-Experten Hardwarekomponenten, Schnittstellen, Anwendungen und Netzwerke rund um das vernetzte Fahrzeug.
Tiefgreifende Tests auf Hard- und Softwarebasis wie Glitching-Attacken, Angriffe auf Debug-Schnittstellen sowie Seitenkanalangriffe, PCB-Manipulation, und die Umgehung von JTAG-Sperren, Angriffe auf einzelne Funktionen einer ECU wie OTA-Softwareupdates, Feature Activation oder Diagnose, Privilege Escalation, Hardening, Service Detection, sichere Freischaltung von Bezahldiensten, In-Car-Apps/Dienste (z. B. Navigationsdienste)
Untersuchung auf allgemeine Schwachstellen, Prüfen der Verbindung zur Head-Unit, Steuergeräten, Backend und Drittanbieter-Services, Tests von Pkw-Apps mit Komfortfunktionen, wie Türöffner und Klimasteuerung (iOS & Android)
Analyse der Funkverbindungen von Head-Unit und Steuergeräten, Angriffe auf CAN-Bus (Man-in-the-Middle-Szenarien) und andere Onboard-Kommunikationstechnologien (SOME/IP, BroadR-Reach), Bordnetzsteuergeräte (Fuzzing der UDS-Kommunikation), Media-Schnittstellen (USB, Ethernet, WLAN), Multimedia-Funktionen (z.B. Angriffe über manipulierte mp3-Files), weitere Verbindungen wie Mobilfunk, NFC, Bluetooth, V2X, SD-Karte
Automatisierte Tests und manuelle Angriffe auf Authentifizierungsverfahren und Aufdecken neuer Software-Schwachstellen in IT-Systemen, Analyse von Source Code (C, C++, Autosar, Java, iOS, Android), kryptografischen Konzepten und Implementierungen auf Schwachstellen
Die Pentester von T-Systems fahren stets zweigleisig. Nahezu vollständig automatisierte Vulnerability Assessments decken die Schwachstellen für bereits bekannte Angriffe auf IT-Systeme auf. Sollen jedoch bislang unbekannte – und vor allem Automotive-spezifische – Sicherheitslücken identifiziert werden, sind manuelle Penetration Tests nötig. Diese systematischen, flexiblen Tests mit realistischen Angriffsmethoden und -werkzeugen sollen Schwachstellen aufdecken, bevor sie ausgenutzt werden können.
Die Vorgehensweise orientiert sich an etablierten Vorgehensmodellen für die Durchführung von Penetrationstests.
Das Testing von kritischen Infrastrukturen gehört zu einer umfassenden IT-Sicherheitsstrategie. T-Systems verfügt als ICT-Dienstleister über das Know-how und die notwendige Unabhängigkeit, um den Sicherheitszustand Ihrer Systeme und Anwendungen kritisch zu analysieren. Den konkreten Umfang und die Art der Tests legen wir vorab gemeinsam mit Ihnen fest, basierend auf Ihren Geschäftszielen und Sicherheitsanforderungen. Als Ergebnis der Penetrationstests erstellt T-Systems einen detaillierten Abschlussbericht, der alle identifizierten Sicherheitslücken auflistet und priorisiert sowie konkrete Empfehlungen für deren Behebung enthält.
Automotive Penetration Testing aus einer Hand:
Kostensenkend
Zuverlässig
Sicher
Zukunftsweisend
