SUCHE
Beta
News
Magazin
Flottenmanagement
Messe
Flotte! Der Branchnetreff
die nächste
"Flotte! Der Branchentreff" 2019

Sicherheitstipps für Telematikplattformen

0 2018-02-19 442

Vernetzte Fahrzeuge sind keine Seltenheit mehr. Sie bieten viele Vorteile wie höhere Effizienz und mehr Fahrkomfort. Allerdings birgt auch jede Anbindung an das Internet die Gefahr von Cyberkriminalität. Dirk Schlimm von Geotab hat deshalb 15 Tipps zusammengefasst, wie die Sicherheit der Telematikplattform erhöht werden kann.

Vernetzung ist das Thema der Zeit. Auch vor der Mobilität macht der Trend nicht Halt. Vernetzte Fahrzeuge bieten im Vergleich zu herkömmlichen Fahrzeugen viele Vorteile, wie beispielsweise höhere Effizienz und mehr Fahrkomfort. Allerdings hat die Anbindung von Fahrzeugen an das Internet auch Bedenken hinsichtlich der Cybersicherheit zutage getragen und eine branchenweite Debatte ausgelöst.

Denn in der Vergangenheit hat sich die Telematikbranche auf die Sicherheit von 3G-Funknetzen und neu entstehenden mobilen Infrastrukturen verlassen. GSM (Global System for Mobile Communications) hat jedoch gezeigt, dass es, wie auch jedes andere vernetzte System, nicht immun gegen Sicherheitslücken ist und es weiterer Schritte bedarf, um sich zu schützen. Deshalb präsentiert Dirk Schlimm, Executive Vice President von Geotab, 15 Security-Tipps für eine Telematikplattform, die gegen Cyberangriffe resistent ist:

1. Eine sichere Datenübertragung bereitstellen
Die Implementierung einer Socket-Datenverschlüsselung sorgt, unabhängig vom Zustand des Mobilfunknetzes oder anderer Zwischenverbindungen, für Datenschutz. Die Authentifizierung verifiziert, dass sowohl die empfangenen und übermittelten Datenquellen als auch ihre Zielorte korrekt sind.

2. Updates mit digitaler Signatur
Anwendungsupdates mit digitaler Signatur sind ein wesentliches Element der Gerätesicherheit. Damit Angreifer auf eingebettete Systeme zugreifen können, müssen sie zunächst eine bösartige Anwendung oder eine Kopie der Firmware einführen, die der Nutzer installiert und so sein Gerät infiziert. In diesem Sinne ermöglicht es das Signieren von Anwendungsupdates, dass Geräte überprüfen können, ob die Updates von einer zuverlässigen Quelle stammen.

3. Schutz des Hardware-Codes aktivieren
Sofern der Mikrocontroller es unterstützt, sollte die Möglichkeit, den Firmware-Code auf dem Gerät zu lesen, deaktiviert werden. Hat der Angreifer keinen direkten Zugriff auf den Code, schränkt ihn das in seinen Möglichkeiten, die Geräte zu kompromittieren stark ein.

4. Den eigenen Code als öffentlich betrachten
Sicherheitselemente sollten unter der Annahme entworfen werden, dass der Angreifer über umfassende Kenntnisse des Systems verfügt und bereits vollen Zugriff auf den Code hat. Selbst wenn interne Ausrüstungen und Lagerstätten heute als sicher gelten, muss das in der Vergangenheit oder Zukunft nicht auch stimmen. Beispielsweise kann ein ehemaliger Mitarbeiter die Möglichkeit gehabt haben, den Systemcode zu kopieren.

5. Kryptographisch starke Zufallszahlen verwenden
Viele Algorithmen, die in der Sicherheitstechnik verwendet werden, nutzen die Zufallszahlengenerierung. Wichtig zu wissen ist, dass die Quelle der Zufallszahlen kryptographisch starke Zahlen liefern kann. Wenn die generierten Zufallszahlen nicht kryptographisch stark (d. h. nicht zufällig genug) sind, kann die Sicherheit der Algorithmen, die diese Zufallszahlen verwenden, dramatisch geschwächt werden.

6. Sicherheitskritische Daten individualisieren
Sicherheitskritische Daten, wie Encryption-Key und Authentifizierungstoken, sollten für jedes Gerät einzigartig sein. Wenn ein einzelnes Gerät kompromittiert wird, sollte es niemals ein anderes Gerät oder einen Teil des Ökosystems gefährden.

7. Verschiedene Schlüssel für verschiedene Funktionen verwenden
Der letzte Punkt gilt auch im Hinblick auf Sicherheitssysteme: ein kompromittiertes Element sollte niemals ein weiteres beeinflussen. Für verschiedene Funktionen müssen daher unterschiedliche Schlüssel verwendet werden. Beispielsweise sollte derselbe Schlüssel nicht für die Socket-Kommunikation und gleichzeitig für die Anwendungssignatur verwendet werden.

8. Metadaten überwachen
Die Fähigkeit, verdächtige Aktivitäten schnell zu erkennen und darauf zu reagieren, ist entscheidend, um Schäden durch böswillige Angriffe zu minimieren. Die aktive Suche nach Fehlern oder Debugging-Trends kann den Schaden eines Angriffs verringern oder sogar verhindern. Es stehen viele Cloud Processing Services zur Verfügung, sodass auch große Mengen an Performance-Daten in Echtzeit überwacht werden können.

9. Debugging-Funktionen deaktivieren
Debug-Modi und -Daten sind ein wesentlicher Bestandteil der Entwicklung, Fehlerbehebung und Funktionsüberprüfung. Zudem eignen sie sich auch hervorragend als Werkzeuge zur Erkennung von Anomalien innerhalb eines Systems.

10. Dritte Audits durchführen lassen
Alle sicherheitsrelevanten Komponenten des Systems müssen ordnungsgemäß geprüft werden. Es wird dringend empfohlen, Codes einer professionellen, externen Firma zur Überprüfung vorzulegen, da das System mit der Annahme entworfen werden sollte, dass ein Angreifer den Basiscode vollständig kennt.

11. Den Serverzugriff begrenzen
Die Hierarchie der internen Konten sollte beinhalten, dass Zugriff auf die Server nur denjenigen erlaubt wird, die ihn benötigen. Die Multi-Faktor- Authentifizierung (die doppelte Verifikation über das Smartphone o.ä.) ist ein äußerst leistungsfähiges Werkzeug für die Zugangskontrolle.

12. Sichere Designpraktiken anwenden
Sicherheit muss bereits bei der Planung berücksichtigt werden und darf nicht als Idee verstanden werden, die erst im Nachhinein implementiert wird. Es empfiehlt sich, das Prinzip der wenigen Privilegierten anzuwenden, das heißt, sicherstellen, dass jedes Element des Systems nur denjenigen Zugang gewährt, die es benötigen.

13. Unterstützung für Software- / Firmware-Updates implementieren
Es wäre fahrlässig anzunehmen, dass ein System zu jedem Zeitpunkt seiner Lebensdauer vollkommen sicher ist. Es wird sicherheitsrelevante Probleme geben, weshalb es Prozesse zur Behebung dieser Probleme geben muss. Die Möglichkeit, Software und Firmware zu aktualisieren, ist ein wesentliches Sicherheitsmerkmal eines vernetzten Systems. Ein schnelles Update aufspielen zu können ist von unschätzbarem Wert, um Bedrohungen vom ersten Tag an abzuschwächen. Es ist daher von entscheidender Bedeutung, dass der Hersteller für die Aufrechterhaltung der Firmware auf dem Gerät verantwortlich ist und er sich nicht darauf verlässt, dass der Endnutzer dafür sorgt, dass das Gerät sicher ist. Updates sollten demnach automatisch an alle Geräte gesendet werden.

14. Verifizieren und Testen
Der Basiscode des Systems ändert sich ständig. Es empfiehlt sich daher mit einem formalen Entwicklungsprozess zu arbeiten, da die umfassende Überprüfung jeder Änderung bereits im Voraus unzählige Probleme aufdecken wird.

15. Eine Sicherheitskultur entwickeln
Selbst die sichersten Systeme können durch ihre Betreiber kompromittiert werden. Alle Mitarbeiter mit Netzwerkzugang müssen routinemäßig geschult und im Hinblick auf eine sichere Internetnutzung evaluiert werden. Dazu gehören der Widerstand gegen Phishing-Angriffe, starke Passwörter, das Wissen, wann man auf Links klickt und wann nicht sowie die Beachtung von Sicherheitszertifikaten.

Wenngleich die Befolgung dieser Empfehlungen einen wesentlichen Teil dazu beitragen würde, Telematik-Plattformen resistenter gegen Cyber-Bedrohungen zu machen, sind kontinuierliches Lernen und Verbesserungen unerlässlich, um Systeme und Benutzer nachhaltig zu schützen. Um besser zu werden und einen hohen Sicherheitsstandard zu etablieren, muss das also Aufgabe der gesamten Branche werden.

UZE Mobility kauft 500 StreetScooter

0 2018-12-13 24

Die Aachener StreetScooter GmbH, führender Anbieter von elektrisch betriebenen Nutzfahrzeugen, hat einen weiteren Großauftrag für seine E-Transporter erhalten. Die UZE Mobility GmbH kauft vom Tochterunternehmen der Deutschen Post 500 Modelle WORK und WORK L. Sie sollen zunächst in ausgewählten Metropolen als emissionsfreie Carsharing-Fahrzeuge eingesetzt werden. Dort können sie von Privatnutzern ganz einfach per App z. B. für Umzüge oder sperrige Einkäufe angemietet werden. UZE Mobility will seine Fahrzeuge perspektivisch kostenlos durch Werbung finanziert anbieten. Bereits zum Start der Pilotprojekte wird UZE Mobility deutlich unter den herkömmlichen Marktpreisen liegen. Möglich wird dies durch das besondere Geschäftsmodell des Aachener Start-ups UZE Mobility mit ersten Niederlassungen in Bremen (Headquarter) und Düsseldorf.

Richtiges Verhalten beim Winterunfall

0 2018-12-11 28

Damit Dienstwagennutzer nach einem witterungsbedingten Unfall im Winter schnell wieder mobil sind, hält LeasePlan ein paar Tipps zum Schadenmanagement parat.

20-jähriges DAD-Jubiläum

0 2018-12-11 62

Die DAD Deutscher Auto Dienst GmbH feierte Ende November ihr 20-jähriges Bestehen. Unter dem Motto „New Digital Solutions“ lud die Unternehmenstochter der Christoph Kroschke GmbH (CKG) Branchenkenner und Geschäftspartner in die Union Halle nach Frankfurt am Main ein. In einem festlichen Rahmen wurde ein Blick auf die Firmenhistorie geworfen und ein strategischer Ausblick auf interaktive Produktwelten gegeben. Eine Keynote von Hakan Koç, dem Gründer der Auto1 Gruppe, zählte zu den Höhepunkten der Veranstaltung.

Studie: Nur 50 Prozent blinken korrekt

0 2018-12-10 25

Eine neue Studie der Dekra-Unfallforschung zeigt: Der Blinker ist nicht der größte Freund der deutschen Autofahrer. Vor allem Männer sind den Ergebnissen zufolge Blinkmuffel.

Mit Expertenwissen unter Strom

0 2018-12-10 34

Der Elektromobilität gehört die Zukunft. Ob rein batterieelektrisch, in Hybrid- oder Brennstoffzellenfahrzeugen – die Mobilität der Zukunft steht unter Strom. Die Sachverständigenorganisation DEKRA bietet verschiedene Prüfdienstleistungen entlang der gesamten Wertschöpfungskette rund um das elektrische Fahren an. Das Komplettangebot ist jetzt auf der DEKRA Website neu sortiert und gebündelt verfügbar.

TOP RSS Meldungen
GDPR Flotte.de

Flotte Medien möchte Ihnen den bestmöglichen Service bieten. Dazu speichern wir Informationen über Ihren Besuch in sogenannten Cookies, um die Seite für Sie zu verbessern und nutzerrelevant zu gestalten. Durch die Nutzung dieser Webseite erklären Sie sich mit der Verwendung von Cookies einverstanden. Detaillierte Informationen über den Einsatz von Cookies auf dieser Webseite erhalten Sie hier.

Einverstanden