Ihre Situation

  • Müssen Sie Ihre Systeme gegen Angriffe von innen oder außen abhärten?
  • Wollen Sie die aktuellen Methoden und Werkzeuge für durchgängige Cybersecurity umsetzen?
  • Sind Standards wie der ISO 27001 (für IT Security), ISO 21434 und SAE J3061 (für Automotive Security) sowie ISO 15408 (Common Criteria für Cybersecurity) relevant?

Cybersecurity ist eine wachsende Herausforderung für alle Branchen. Security ist ein hohes Geschäftsrisiko, da die Systeme zunehmend offen und damit angreifbar sind, und weil es immer einen Hacker gibt, der sie knacken will. Noch schlimmer ist, dass unzureichende Security nicht nur Funktionen destabilisiert, sondern direkt Benutzbarkeit und Sicherheit einschränkt. Damit ist unzureichende Informationssicherheit für die Produkthaftung relevant.

Beispielsweise braucht Funktionale Sicherheit eine starke Abhärtung gegen Angriffe und Manipulationen, da sie sonst wirkungslos bleibt. Kernpunkte bei der Entwicklung von Schutzsystemen sind die richtige Identifizierung von Sicherheitsanforderungen, die systematische Realisierung von Sicherheitsfunktionen und eine Sicherheitsüberprüfung mit dem Ziel des durchgängigen Nachweises, dass alle relevanten Sicherheitsanforderungen erfüllt sind.

Unsere Lösung

Basierend auf jahrelanger Erfahrung mit Cybersecurity und Safety berät Vector Consulting Services Sie mit:

  • Vector SecurityCheck mit Risikoanalyse (TARA), Trade-Off-Bewertung und priorisierten Vorschlägen sowie initialer methodischer Anleitung
  • Interim Safety- und Security-Manager
  • Erstellen von Sicherheitsanalysen und einem Security-Konzept
  • Security-Anforderungen auf Basis der Bedrohungsszenarien und Automotive Common Criteria entwickeln, spezifizieren und prüfen
  • Nachhaltige Umsetzung von ISO 27001, SAE J3061, ISO 15408 sowie dem neuen ISO 21434
  • Security-Test mit Penetration Test sowie Code-Analysen und Architektur-Bewertung
  • Methodik und Werkzeugunterstützung für Security-orientierte Tests und Abhärtung
  • Prozess-Assessments bei Ihren Lieferanten mit Fokus auf Safety und Security
  • Awareness-Trainings zu Cybersecurity für Führungskräfte und Entwickler
  • Schulung und Coaching von Managern und Entwicklern zur effizienten Umsetzung von Cybersecurity im Lebenszyklus

Ihr Nutzen

Unser Know-how aus der praktischen Arbeit mit vielen Unternehmen ermöglicht eine durchgängige und wirksame Umsetzung von Cybersecurity. Durch die Einbettung von Cybersecurity Methodik in den gesamten Lebenszyklus helfen wir Ihnen beim Kompetenzaufbau und der effizienten praktischen Umsetzung.

 

 

ISO/SAE 21434 und Vector Solutions

Die Autos werden immer stärker vernetzt und damit anfällig für die zunehmenden Cyber-Angriffe von außen. Dies könnte die Sicherheit der Passagiere und der Öffentlichkeit ernsthaft gefährden. Die bestehenden Normen gehen jedoch nicht auf die einzigartigen Herausforderungen der Cybersicherheit im Automobilbau ein, z.B. Sicherheit, lange Lebensdauer und Verwendung eingebetteter Steuergeräte. Daher müssen einheitliche Richtlinien und Standards für die Sicherheit im Automobilbau festgelegt werden.

ISO/SAE 21434 "Road vehicles - Cybersecurity engineering" ist der zukünftige Sicherheitsstandard für Kraftfahrzeuge.  Er ist wichtig für die automobile Produktentwicklung und alle damit verbundenen Prozesse.

Die ISO/SAE 21434 wird gemeinsame Terminologien für die gesamte globale Automobil-Zulieferkette definieren und den Konsens der Industrie in wichtigen Fragen der Cybersicherheit vorantreiben. Sie legt Mindestkriterien für die Cybersicherheitstechnik von Fahrzeugen fest und bietet eine Führungsreferenz, auf die sich die Qualität der Technik stützen kann.

Mehr anzeigen

Die neue ISO/SAE 21434 sichert den gesamten Entwicklungsprozess und den Lebenszyklus eines Straßenfahrzeugs und fördert "Security by Design". Nach dem V-Modell umfasst sie die Bereiche Requirements Engineering, Design, Spezifikation, Implementierung, Test und Betrieb.

Die ISO/SAE 21434 ist daher ein prozessorientierter Standard und hilft, einen strukturierten Prozess zur Gewährleistung der Cybersicherheit entlang des Lebenszyklus zu definieren. Sie schreibt keine spezifischen Cybersicherheitstechnologien, Lösungen oder Abhilfemethoden vor.

 

Mehr anzeigen
  • Definition des Entwicklungsprozesses und der nachhaltigen Umsetzung konform zu den Anforderungen der ISO/SAE 21434
  • Vector SecurityCheck mit Risikoanalyse (TARA), Trade-Off-Bewertung und priorisierten Vorschlägen sowie initialer methodischer Anleitung
  • Sicherheitsanalysen und Sicherheitskonzept für End-to-End-Absicherung
  • Security-Anforderungen auf Basis der Bedrohungsszenarien und Automotive Common Criteria 
  • Security Testing und Verifizierung mit Penetration Test, Fuzz Testing, Code-Analysen und Architektur-Bewertung
  • Methodik und Werkzeugunterstützung für Security-orientierte Tests und Abhärtung
  • Prozess-Assessments bei Ihren Lieferanten
  • Awareness-Training zu Cybersecurity und ISO/SAE 21434 für Manager und Entwickler
  • Schulung und Coaching von Managern und Entwicklern zur effizienten Umsetzung von Cybersecurity im Lebenszyklus
  • Interim Safety- und Security-Manager

 

Mehr anzeigen

Kundenreferenzen

"Vector Consulting Services ist ein guter Partner für Claas zur Realisierung von Cybersecurity. Claas hatte guten Nutzen vom Vector Team bei TARA und Security Engineering."

- Alexander Grossmann, Manager

"Vector Consulting Services unterstützte Panasonic für Cybersecurity mit herausragender Expertise. Das Ziel einer umfassenden TARA, integriert in ein Sicherheitskonzept, wurde erreicht. Die Unterstützung war intensiv und sehr erfolgreich!"

- Michael Prantke, Project Manager

 

Factsheets zum Downloaden

Vector bietet das komplette Cybersecurity-Portfolio an. Von der Basissoftware bis zu Tools für die Securitysberatung und -prüfung. Profitieren Sie von unserer Expertise in den Bereichen TARA, Design, Architektur- und Code-Analyse, Pen Testing, Security Verification, Fuzzing, Schulung und Coaching.

Weitere Informationen finden Sie in Security Solutions Factsheet. Profitieren Sie von unserer Expertise!

Mehr anzeigen

Vector Security Verification und Testing umfasst Architecture und Code Review, Static Code Analysis, Fuzz Testing und Pen Testing . Unsere Experten können damit umfassende Sicherheitsanalysen von der Code- und Architekturebene bis hin zu gezielten Angriffen durchführen, um Systemschwächen und potenzielle Risiken aufzudecken. Die verwendeten Methoden und Techniken ähneln denen, die von Hackern oder Crackern eingesetzt werden, um in ein System einzudringen.

Laden Sie unser Factsheet Security Verification und Testing herunter und erfahren Sie mehr über unsere Cybersecurityskompetenzen!

Mehr anzeigen

Referenzprojekt

Ausgangssituation

Ein führender Automobilhersteller führte Software Aktualisierungen "over the air" (OTA) ein. Er hatte bereits viele Erfahrungen mit sicheren Systemen, suchte aber in dieser Situation bewusst externe Unterstützung, um aktuelle Methoden wirksam umzusetzen. Mit unserer risiko-orientierten Security Methodik und breiten Erfahrungen weltweit in der Entwicklung sicherer Systeme war Vector die erste Wahl.

 

Mehr anzeigen

Lösung

Vector wurde zur Bewertung und Optimierung der Cybersecurity engagiert. Zunächst machten wir einige Workshops mit den Mitarbeitern. Damit wurden Security Kompetenzen aufgebaut. Gleichzeitig machten wir den Vector SecurityCheck als erste Basis. Zudem konnten wir damit auch die vorhandene Architektur und Methodik bewerten. Daraus leiteten wir eine komplette Bedrohungsanalyse (TARA: Threat and Risk Analysis) ab. Aus der TARA wurden Security Ziele definiert, die dann bewertet wurden. Schnell war klar, dass manche Mechanismen, wie Secure Boot, zwar nötig und wirkungsvoll sind, aber Zeit und Aufwand brauchen. Hier kam unsere risiko-orientierte Vorgehensweise zum Einsatz, die die nötigen Schritte in einen nachvollziehbaren Rahmen brachten. Dieser Rahmen wurde dann in den nächsten Monaten umgesetzt - und am Ende wurde auch der Secure Boot adressiert.

Mehr anzeigen

Ergebnis

Die risiko-orientierten Security Methodik von Vector adressierte die nötigen Maßnahmen. Gleichzeitig bauten wir eine Cybersecurity Kultur im Unternehmen auf, die alle Mitarbeiter in ihren Rollen hin zu sicherheitsbewusstem Handeln brachte.

 

Mehr anzeigen

Schulung und Coaching

Vector Consulting Services bietet ein maßgeschneidertes Programm an Training, Kompetenzentwicklung und Coaching:

  • Automotive Cybersecurity
  • Defensive Coding