:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/f1/8a/f18a4e8a90cedb82ec157f48150c97c5/0115353158.jpeg "Der Kontrol Hub soll sicherstellen, dass die Funktionen Software-definierter Fahrzeuge immer den aktuellen regulatorischen Vorgaben entsprechen. (Bild: <a href=https://pixabay.com/users/ken19991210-333782/>ken19991210</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
API Security für Connected Cars API Management für mehr Fahrzeugsicherheit
Geht es um das Thema autonomes Fahren, stehen meist Aspekte wie hochpräzise Sensoren und KI im Vordergrund. Doch die zahlreichen Services, die autonomes Fahren ermöglichen, bergen auch Gefahren, denn mit jeder neuen Funktion kommen auch neue Sicherheitslücken und Schwachstellen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Sicherheitsexperten schätzen, dass viele Autohersteller bis zu drei Jahre hinterherhinken, was die Verteidigung gegen Cyberattacken betrifft. Und das, wo eine Attacke Leben kosten könnte. Die Branche steht in puncto Sicherheit vor einigen, ganz besonderen Herausforderungen: Die etablierte Supply Chain ist zwar perfekt organisiert und gut eingespielt, aber kaum auf Security-Features ausgelegt. Sie entsprechend umzubauen ist eher eine langfristige Möglichkeit, denn es gilt, extrem viele Prozesse und Komponenten anzupassen. Zudem werden Autos in großer Stückzahl und mit langen Lebenszyklen produziert. Selbst wenn es gelänge, den Schalter heute umzulegen, sind sehr viele „Vorgänger-Modelle“ noch lange auf den Straßen.
Dazu kommt: Connected Car ist eigentlich ein ganzes Ökosystem aus Lösungen, die fast alle auf ein zuverlässiges und omnipräsentes Netzwerk bauen. Das beginnt bei einem grundlegenden Entertainment-Angebot und reicht über Navigation und mobile Connectivity hin zur Diagnose und Fernwartung. Dafür müssen die Fahrzeughersteller Millionen von Codezeilen mit einer extremen Vielfalt an Schnittstellen (APIs) aus Herstellung, Service, Versicherung sowie Behörden und Technologiepartnern integrieren.
Und der Markt ist dynamisch – die In-Car-Telematik steht erst am Anfang. Es ist abzusehen, dass die Kommunikation auch bald direkter zwischen den Fahrzeugen und ihrer nächsten, immer intelligenteren Umwelt stattfinden wird – ermöglicht durch Technologien, die unter dem Betreff „Vehicle Infrastructure Integration“ zusammengefasst werden. Dann kommunizieren Autos nicht mehr nur mit dem Hersteller, sondern auch mit dem Fahrzeug daneben, der Ampel, den Verkehrszeichen oder Sensoren auf der Straße. Autos werden zu Rechenzentren auf Rädern – und müssen entsprechend gesichert werden.
API Security für Connected Cars
Technisch gesehen heißt das: Die Zahl der Geräte und ihrer APIs steigt enorm. Doch jede Öffnung nach außen ist ein potentieller Angriffspunkt für Hacker und mit jeder Schnittstelle steigt auch das Risiko für Sicherheit und Datenschutz. Eine enorme Aufgabe für die Automobilbranche, die sich – anders als Branchen wie Einzelhandel und Finanzwesen – bisher mit Fragen der IT-Security und des Schutzes von Netzwerken und APIs so nicht auseinandersetzen musste.
Ein Connected Car mag eine ungewohnte Art von Rechenzentrum sein, aber die Art und Weise, wie man es absichern kann, entspricht den Cyber-Security-Maßnahmen in anderen Branchen, die auch sensitive Daten integrieren und an mobilen Endpunkten bereitstellen müssen. Auch die Automobilbranche schafft und managt heute Connectivity über APIs und muss sie entsprechend gegen Cyberattacken und Hacking schützen, ohne dabei den schnellen und zuverlässigen Zugriff für autorisierte Anwender einzuschränken.
Die gesamte Kommunikation ins Web läuft über REST-APIs. Nicht alleine ihre reine Masse macht sie zum Problem. Zwar ist es schon aufgrund dessen eine Herausforderung, den Überblick zu behalten. Doch viele dieser APIs stammen auch von Drittanbietern. Manche davon sind nicht ausreichend gesichert, entsprechen nicht den Standards, den die OEMs brauchen. Ein Problem dabei: Die Standards existieren nur zum Teil, sind oft nicht für die gesamte Branche ein Muss und müssen teilweise auch aus anderen Branchen wie der Finanzbranche übernommen werden. Damit rückt die Notwendigkeit eines umfassenden API Managements immer mehr in den Fokus der Branche. Zum Funktionsumfang gehören auch die API Key Kontrolle, Versionierung und Support, die Registrierung und Sicherung von Entwicklern und Geräten, aber auch Analysen und die Gewährleistung von Performance und Skalierbarkeit.
Damit spielen APIs auch eine wichtige Rolle bei der End-to-End-Verschlüsselung bei Authentifizierung und Datenübertragung. Viele Hersteller setzen hier auf Hardware-Sicherheitsmodule (HSM), die zufällig generierte, individuelle Schlüssel bereitstellen und bei der Authentifizierung in Rahmen einer Public Key Infrastruktur helfen. Eine Alternative wäre es, die Software bereits in der Produktion zu verschlüsseln. Die Schlüssel für die Datenübertragung werden in der Hardware physikalisch, getrennt von der Datenbank, gespeichert.
Im Bereich API und Übertragungssicherheit gibt es für die OEMs noch viel zu tun. Doch viele Schritte sind auch schon gemacht: Die Hersteller sind bereits dabei, Cybersecurity-Lösungen bei Produktdesign und Produktion zu berücksichtigen. Ihr erster Schritt zur mehr Sicherheit und Datenschutz ist die Nutzung etablierter Protokolle und Sicherheitsfeatures, wie eine zuverlässige Authentifizierung mit 3-legged OAuth, OAuth 2.0 und Single Sign-On für den Zugriff auf Fahrfunktionen, aber auch Verschlüsselung und OpenID.
Eine Selbstverständlichkeit? Leider nicht: Erst im vergangenen Jahr musste ein großer Autohersteller sein gesamtes, mobiles App-Programm vorübergehend deaktivieren. Security-Spezialisten hatten festgestellt, dass eine der APIs ohne jegliche Authentifizierung genutzt werden konnte, um die Kontrolle über die Fahrzeugfunktionen auf der ganzen Welt zu erlangen– nur eine VIN und eine einfache Web-Anfrage waren nötig, um das Fahrzeug von überall kontrollieren zu können.
Risk Assessment und Kooperationen
Natürlich wird es nicht möglich sein, alle Funktionen in einem Connected Car gleichermaßen abzusichern. Hier kann Risk Assessment helfen: Infotainment-Features dürfen beispielsweise mehr Lücken aufweisen als ein System für autonomes Fahren. Zur Absicherung dieser APIs könnten eine sorgfältige Auswahl der Security-Tools für jedes Subsystem im Fahrzeug, aber auch intensive Kooperationen beitragen.
Tatsächlich ist das Sicherheitsniveau in Autos sehr von der Supply Chain abhängig. Ein intensiver Dialog mit der Zulieferindustrie und vor allem strategische Umsetzungsplanung mit strengen Richtlinien ist absolut notwendig, um Sicherheitsrisiken von Anfang an zu reduzieren und das Patchen zu vereinfachen. Over-the-Air (OTA) Updates sind dabei nur ein Teil der Lösung: Sie sind oft nur für Teile der Software im Fahrzeug verfügbar und so notwendig sie auch für mehr Sicherheit sind, setzen ihnen hohe Komplexität und Kosten doch Grenzen.
Der Fokus auf Security wächst mit dem Markt
Auf mehr als 100 Milliarden US-Dollar soll der Connected-Car-Markt im nächsten Jahr steigen. Immer mehr Funktionen müssen gegen Schwachstellen abgesichert werden. Dies erfordert allerdings einen echten Paradigmenwechsel bei den Autoherstellern, denn sie müssen Cyber- und Netzwerksicherheit ebenso zu ihrer Kernkompetenz machen, wie es Motorsteuerung, Airbags, Bremsen oder andere zentrale Fahrzeugbestandteile bereits sind.
Über den Autor: Georg Lauer weist eine mehr als 35-jährige Erfahrung in der IT Industrie auf. Seit 1997 ist er in unterschiedlichen Rollen bei CA Technologies, unter anderem als Area Manager Professional Services und Vice President Presales, tätig. Seit 2014 berät er für CA Technologies als Senior Principal Business Technology Architect Großunternehmen auf dem Weg der Digitalen Transformation.
(ID:45135095)
:quality(80)/p7i.vogel.de/wcms/e3/bc/e3bc7f53728cfdb4bc41914def215e8a/0109136174.jpeg "Viele Automobilhersteller begegnen dem Innovationsdruck mit einem Engagement in der Open-Source-Community. (Bild: <a href=https://pixabay.com/users/raeng_publications-11384528>RAEng_Publications</a>)")
:quality(80)/p7i.vogel.de/wcms/b5/53/b553d1ce5c08cb9197aaf0cf4f0183fa/0109518660.jpeg "Mit einem Masterplan für alle Safety & Security-Standards und -Level kommt man schneller ans Ziel und kann seine Applikationen agiler weiterentwickeln. (© momius – stock.adobe.com)")