pca_logo

Automotive Penetration Testing

Offensive Sicherheitsdienstleistungen von einem der weltweit führenden Teams für Penetrationstests in der Automobilindustrie.

DIE HERAUSFORDERUNGEN: COMPLIANCE UND SICHERHEIT

Die Einhaltung von Vorschriften im Bereich der Cybersicherheit in der Automobilindustrie ist eine komplexe Herausforderung. Die inhärente Komplexität moderner Fahrzeuge mit ihren fortschrittlichen elektronischen Systemen und ihrer Software erfordert eine gründliche Beachtung jedes Sicherheitsdetails, um die umfangreiche Angriffsfläche abzudecken. Die Beteiligung zahlreicher Zulieferer in der Lieferkette erschwert dies zusätzlich, da die Sicherheit jeder einzelnen Komponente für die Gesamtsicherheit des Fahrzeugs entscheidend ist. Dieses Problem wird durch die sich ständig weiterentwickelnde Bedrohungslandschaft noch verschärft, die ein dynamisches und proaktives Sicherheitskonzept erfordert, das sich ständig an neue Cyber-Bedrohungen anpasst, um die Einhaltung der Vorschriften zu gewährleisten und die Fahrzeuge zu schützen.

Infos anfordern

WIE KANN PCAUTOMOTIVE IHNEN HELFEN?

PCAutomotive bietet umfassende Penetrationstests für die Automobilindustrie an, die darauf ausgelegt sind, die Vorschriften zur Cybersicherheit zu erfüllen und die Sicherheit der getesteten Systeme erheblich zu verbessern. Unser Team verfügt über weltweit führendes Fachwissen und umfangreiche Erfahrung bei Penetrationstests für eine Vielzahl von Automobil- und eingebetteten Systemen. Darüber hinaus bietet PCAutomotive eine einzigartige Kombination aus Penetrationstests, Bedrohungsanalysen und Überwachungsdiensten für die Cybersicherheit, die sowohl die Einhaltung von Vorschriften als auch die allgemeine Sicherheit erheblich verbessern.

001

DIENSTLEISTUNG

UNSERE ZIELE

• Gesamtes Fahrzeug
• Elektronische Steuergeräte (ECUs)
• Anwendungen

KRITISCHER FAKTOR: REGULIERUNG DER CYBERSICHERHEIT IN DER AUTOMOBILINDUSTRIE

UNECE R155 und ISO/SAE 21434 schreiben Penetrationstests, Fuzzing und Schwachstellenanalysen bei Validierungs- und Verifizierungsaktivitäten ausdrücklich vor. Nach Abschluss dieser Tests erstellen wir ein umfassendes Gutachten für Ihre Arbeitsprodukte, das als konkreter Nachweis für die umgesetzten Maßnahmen dient. Wir bieten Ihnen volle Unterstützung bei der Behebung von Schwachstellen und bei erneuten Tests.

PENETRATIONSTESTS IN IHREM SCHWACHSTELLENMANAGEMENTPROGRAMM

Die Integration von Penetrationstests in Ihre Schwachstellenmanagement-Richtlinie ist unerlässlich. PCAutomotive bietet einen flexiblen Ansatz, um Penetrationstests nahtlos in Ihren Softwareentwicklungszyklus (SDLC) zu integrieren und die Kosten und den Zeitaufwand für eine effektive Schwachstellenbeseitigung zu minimieren.

VON ON-BOARD BIS BACK-END: WIR HABEN ALLES IM GRIFF

PCAutomotive bietet ein vollständiges Spektrum an Penetrationstests für die Automobilindustrie. Wir führen gründliche Penetrationstests für alle Hardware- oder Softwarekomponenten sowie für das gesamte Fahrzeug durch.

ZIEL DES DIENSTES

Penetrationstests aller Fahrzeugkomponenten, um sicherzustellen, dass unentdeckte Schwachstellen und Verwundbarkeiten minimiert werden. Diese Tests zielen darauf ab, die Angemessenheit und Erreichung der Cybersicherheitsziele gemäß ISO/SAE 21434 zu demonstrieren.

BESCHREIBUNG DES DIENSTES

Während der Penetrationstests führt das Cybersicherheitsteam von PCAutomotive realitätsnahe Angriffe durch, um Wege zu identifizieren, wie die Cybersicherheitsziele des gesamten Fahrzeugs und seiner Komponenten kompromittiert werden können. Der Umfang des Dienstes umfasst alle Komponenten des Fahrzeugs, einschließlich vernetzter Anwendungen, aller Schnittstellen, Backend-Systeme und Kommunikationswege.

Musterbericht anfordern

002

UNSERE REFERENZEN

UNSERE KUNDEN

Elli Logo

"Wir können PCAutomotive für ihren professionellen Penetrationstestservice empfehlen."

Adyen Logo

"Als Finanzdienstleister hat Sicherheit bei Adyen oberste Priorität. Partner wie PCAutomotive helfen uns, die Robustheit unserer Zahlungsplattform zu testen."


FALLSTUDIEN

Vollständiger Penetrationstest des Škoda Superb III 2022

Im Jahr 2023 führte das Sicherheitsteam von PCAutomotive einen vollständigen Penetrationstest des Škoda Superb III 2022 durch. Das Team identifizierte und veröffentlichte sieben kritische Schwachstellen im Automobilsektor, von CVE-2023-28895 bis CVE-2023-28901. Diese Schwachstellen umfassen hartcodierte Passwörter im Speicher des Leistungssteuerchips und UDS-Diensten, schwache Passwortkodierung in UDS-Diensten, eine Denial-of-Service-Schwachstelle in der MIB3-Head-Unit über Apple CarPlay und in anderen Steuergeräten über OBD, sowie Datenoffenlegungsprobleme auf Backend-Servern im Automobilsektor.

Lesen Sie die Sicherheitswarnung für weitere Details

Penetrationstests von drei verschiedenen Modellen von EV-Ladegeräten

In den Jahren 2023 und Anfang 2024 testete PCAutomotive drei Anbieter von Wohn-EV-Ladegeräten. Das Team fand 29 Sicherheitsprobleme, darunter 12 Schwachstellen mit einem CVSS-Wert von 9.00 und höher.

Fordern Sie die Fallstudie an

UNSERE METHODIK

Wir verwenden die PTES (Penetration Testing Execution Standard) Methodik für die Durchführung von Penetrationstests. Die PTES-Methodik umfasst mehrere Phasen, um umfassende Tests sicherzustellen:

1. Pre-engagement Interactions: Planung und Definition des Testumfangs.
2. Intelligence Gathering: Sammlung von Informationen über das Ziel.
3. Threat Modeling: Identifizierung potenzieller Bedrohungen für das System.
4. Vulnerability Analysis: Auffinden und Priorisieren von Schwachstellen.
5. Exploitation: Versuch, Schwachstellen auszunutzen, um Zugang zu erlangen.
6. Post-exploitation: Bewertung der Auswirkungen und Aufrechterhaltung des Zugangs.
7. Reporting: Dokumentation der Ergebnisse und Bereitstellung von Empfehlungen.

TESTMETHODEN

• Fuzzing
• Entdeckung von Schwachstellen
• Tiefgehende Hardwareanalyse: Aufzählung von Hardwarekomponenten und Suche nach unbeabsichtigten Debug-Schnittstellen
• Analyse externer Schnittstellen
• Analyse der Sicherheit von Firmware-Updates
• Umgehung von Traffic-Filterregeln
• Statische Anwendungssicherheitsprüfung (SAST)
• Dynamische Anwendungssicherheitsprüfung (DAST)

SERVICE-ERGEBNISSE

Je nach Projektumfang bieten wir folgende Ergebnisse an:
1. Liste der identifizierten Sicherheitslücken in Form eines Sicherheitshinweises

Für jede Schwachstelle werden folgende Informationen bereitgestellt:

• CVSS-Score und -Vektor
• Entsprechende CWE (Common Weakness Enumeration) Nummer
• Detaillierte Beschreibung
• Schritte zur Reproduktion der Schwachstelle
• Exploit-Szenario und Auswirkungen
• Vorgeschlagene Maßnahmen
2. Vollständiger Penetrationstestbericht
Aufzählung der Komponenten, Beschreibung der durchgeführten Tests, Zusammenfassung der identifizierten Schwachstellen und der erreichten Sicherheitsauswirkungen
3. Verifizierungsbericht nach der Behebung

UNSERE GESCHÄFTSMODELLE

• Festpreisverträge
• Zeit- und Materialverträge (T&M)

WARUM PCAUTOMOTIVE?

Team-Zertifizierungen

• Offensive Security OSCP, OSCE
• Fortgeschrittene Sicherheitsschulungen: Hardware-Hacking mit FPGAs
• ISO 21434

Expertise

• Unser Team verfügt über fundierte Fachkenntnisse und nachgewiesene Erfolge bei Penetrationstests von Fahrzeugen, Automobilkomponenten und Straßeninfrastrukturen.

Nachgewiesene Erfolge

• Über 100 durchgeführte Sicherheitsbewertungen.
• Über 50 identifizierte Automobilschwachstellen im Jahr 2024.
• Entdeckung kritischer Schwachstellen bei den führenden Automobilmarken.
• Unsere Experten sind in den Ruhmeshallen von Branchenführern wie BMW und Siemens vertreten.

Vorträge und Wettbewerbe:

• BlackHat USA 2018
• Recon Brussels 2018
• DefCon 28
• BlackHat Europe 2020
• Standoff 2020
• Secure Our Streets 2023
• Hacktivity Budapest 2023
• Escar 2023
• Pwn2Own Automotive Tokyo 2024

Vor-Ort-Expertisezentrum

PCAutomotive verfügt über eine CyberGarage für vollständige Fahrzeugpenetrationstests und ein CyberLab für fortgeschrittene Hardwareanalyse. Unsere CyberLab und CyberGarage bieten erstklassige Durchführung und Datenschutz. Von unseren internen Experten entwickelt, ist die Security Garage von PCAutomotive mit modernsten Forschungstools ausgestattet, die umfassende Sicherheitsbewertungen für jede Branche auf höchstem Niveau ermöglichen.

PCAutomotive bei Pwn2Own Automotive 2024 in Tokyo

Das PCAutomotive-Team gewann einen bedeutenden Preis in Höhe von 46.000 $ beim renommierten Pwn2Own Automotive-Wettbewerb, der vom 23. bis 25. Januar 2024 in Tokyo stattfand. Das Team demonstrierte Proof-of-Concept-Angriffe gegen die Alpine Halo ILX-F509-Infotainment-Einheit über den Bluetooth-Kanal und gegen das Enel Juicebox 40 EV-Ladegerät über Wi-Fi-Deauthentifizierung und Ausnutzung der Schwachstelle in der Web-Management-Schnittstelle des Ladegeräts. Das Team meldete die entdeckte Schwachstelle umgehend den Anbietern, um einen verantwortungsvollen Ansatz zur Verbesserung der Cybersicherheit zu gewährleisten.

Kontaktieren Sie uns noch heute

003

Branchen

Cybersecurity-Dienstleistungen für die Automobilindustrie und andere Branchen

Automotive

Mehr dazu

Flottenverwaltung

Mehr dazu