Interview mit Joachim Buxel und Tom Zahov Zaubermann
Smart Cars sind auf dem Vormarsch. Sie machen das Fahren mit automatisierten Fahrzeugfunktionen und Infotainment-Systemen sicherer und komfortabler. Doch Software und Schnittstellen weisen oft gravierende Schwachstellen auf – und öffnen Cyberkriminellen Tür und Tor. Joachim Buxel, Regional Sales Manager, und
Tom Zahov Zaubermann, Sales Engineer beim Software-Security-Spezialisten Checkmarx verraten im Interview, worauf Hersteller und Zulieferer bei der Entwicklung sicherer Anwendungen achten müssen.
Herr Buxel: In einem modernen Smart Car laufen heute Hunderte von Anwendungen und Schnittstellen – von der intelligenten Motorsteuerung über den Over-the-Air-UpdateService bis hin zum Car Audio. Was bedeutet das für die Branche?
Joachim Buxel: Noch vor einigen Jahren unterschieden sich Autos vor allem bei der Hardware – heute ist meist die Software unter der Haube entscheidend. Hersteller nutzen
Software-Algorithmen, um ihre Autos effizienter und nachhaltiger zu machen sowie den Energieverbrauch zu reduzieren. Sie verwenden High Performance Computing zur Optimierung der Antriebstechnik und des Fahrwerks. Sie integrieren softwaregestützte Infotainment-Systeme und Komfortfunktionen, um das Fahren so entspannt wie möglich zu gestalten. Und die Liste ließe sich nahezu unendlich fortschreiben, etwa mit Blick auf die Digitalisierung der Service- und Wartungsprozesse oder das autonome Fahren. Die Kernaussage ist aber klar: Software ist im Auto heute allgegenwärtig – und inzwischen vielfach das wichtigste Unterscheidungsmerkmal. Das hat die Branche vollkommen
verändert.
Inwiefern?
Tom Zahov Zaubermann: Die meisten Hersteller und Zulieferer betrachten Software-Entwicklung heute nicht mehr als randständiges Thema, sondern als wichtigen Teil ihres Kerngeschäfts – und haben vielfach schon agile DevOps-Umgebungen mit Continuous Integration und Continuous Delivery implementiert, um ihre Entwicklungszyklen zu verkürzen und ihre Software kontinuierlich zu verbessern. Das sind wichtige Weichenstellungen für die Zukunft, die der deutschen Industrie helfen werden, weltweit auch weiterhin eine Führungsrolle zu beanspruchen. Vorausgesetzt die Branche verschließt die Augen nicht vor den Gefahren, die mit der Digitalisierung einhergehen.
Als da wären?
Joachim Buxel: Mit jeder App im Fahrzeug vergrößert sich auch die Angriffsfläche. Jeder neue Dienst, jeder Endpoint und jede API stellt einen Angriffspunkt dar, über den Cyberkriminelle attackieren können – sei es, um kritische Daten zu stehlen, Zugriff auf
nachgelagerte Systeme zu erhalten oder das Fahrverhalten zu manipulieren. Schon heute gibt es unzählige Beispiele solcher Angriffe, und deren Zahl und das Schadenspotenzial werden mit dem Siegeszug der Smart Cars rasant steigen.
Wie kann die Branche diese Herausforderungen adressieren?
Tom Zahov Zaubermann: Indem die Unternehmen die Qualität ihrer Apps und APIs zur Chefsache erklären und Schwachstellen automatisiert identifizieren und beheben. Zu viele Hersteller und Zulieferer verlassen sich noch darauf, ihre Code-Qualität bei manuellen, nachträglichen Code Reviews zu analysieren. Das Verfahren ist aber nicht für dynamische DevOps-Umgebungen geeignet, weil Schwachstellen erst im fertigen Build erkannt werden. Sie dann zu beheben, ist aufwendig – und führt dazu, dass sich die Roll-outs verzögern. Die Alternative kann nur sein, die Codeanalyse eng im Entwicklungszyklus der Software zu verankern. Das ist auch mit Blick auf die Einhaltung der Compliance der bessere Weg.
Welche Vorgaben gilt es denn im Blick zu behalten?
Tom Zahov Zaubermann: Eine Schlüsselrolle kommt in der Automobilbranche der ISO 21434-Richtlinie „Road vehicles – Cybersecurity engineering“ zu, die neue Standards für Cybersecurity und Informationssicherheit in Fahrzeugen festlegt. Die Cybersecurity Assurance Level dienen vorerst zwar lediglich zur freiwilligen qualitativen Einstufung – werden von vielen Herstellern aber bereits als wichtiges Evaluierungskriterium herangezogen. Die zweite wichtige Richtlinie ist die UNECE/WP.29, die neben Aspekten wie Fahrzeugsicherheit, Umweltschutz, und Energieeffizienz auch die Cybersecurity abdeckt und für alle Hersteller von Fahrzeugen verpflichtend sein wird. Software-Unternehmen sind gut beraten, schon jetzt die Weichen für die Einhaltung dieser beiden Normen zu stellen.
Viele Unternehmen binden heute auch Open-Source-Komponenten ein – was ist, wenn diese Sicherheitslücken aufweisen?
Joachim Buxel: Open Source ist ein Riesenthema. Open-Source-Komponenten sind in fast jeder Anwendung enthalten, weil man schneller und wirtschaftlicher entwickeln kann. Sie
sind aber riskant: Erstens, weil sie häufig Schwachstellen aufweisen, die im Dschungel der Distributionen schwer zu finden sind. Zweitens, weil die Open-Source-Lizenzierung nicht
immer transparent ist. Im Kleingedruckten steht manchmal etwa, dass jeder, der den Code einbindet, darauf aufsetzende Anwendungen ebenfalls als Open Source bereitstellen muss.
Und drittens, weil man sich mit der Einbindung von Open-Source-Code von der Community abhängig macht. Verliert die das Interesse an der Distribution, kann das schmerzhafte Folgen haben. Also gilt es, die Open-SourceKomponenten genau im Auge zu behalten – am besten mit dedizierten Software-Composition-Analysen.
Ist den Entwicklern bewusst, wie heikel das Thema Softwaresicherheit ist? Oder besteht da Nachholbedarf?
Joachim Buxel: Nur die wenigsten Unternehmen investieren in regelmäßige Security-Trainings ihrer Entwickler. Punktuelle, vom Alltag entkoppelte Schulungen zeigen oft nur wenig Wirkung. Wer echte Awareness für AppSec schaffen will, muss die Trainings nahtlos in den Entwicklungsprozess einbinden. Anders als klassischer Frontalunterreicht oder Video-Schulungen sollte das Tool einen praxisnahen, interaktiven Ansatz verfolgen.
Statt einen ganzen Tag mit theoretischen, aus dem Kontext gerissenen Lektionen zu verbringen, brauchen die Entwickler On-Demand-Schulungen mit klarem Bezug zu konkreten Herausforderungen im Coding-Alltag. Das ist eine günstige Alternative mit
hohem Lernfaktor.
Die Zauberformel heißt also: Application Security Testing plus Software
Composition Analyse plus Awareness Training?
Tom Zahov Zaubermann: Stimmt, wer diese drei Maßnahmen kombiniert, ist auf jeden Fall auf einem guten Weg. Der Aufwand hängt davon ab, wie viele Entwickler ein Unternehmen beschäftigt und wie viele Anwendungen analysiert werden sollen. Das Investment für eine Einsteigerlösung, etwa in Form eines Cloud- oder ManagedServices, ist aber überschaubar – und nichts im Vergleich mit den Kosten einer weltweiten Rückrufaktion.
Herzlichen Dank für das Gespräch!