Egal ob Massenhersteller wie Ford und Opel oder Luxusschmiede wie Bentley – am Thema Connected Car kommt in diesem Jahr kein Hersteller vorbei. Hier 4 Tipps für alle Automobilhersteller, damit ihr Connected Car ein voller Erfolg wird.
Wie eine aktuelle Studie des internationalen Beratungshauses IDC und des Spezialisten für Anwendungssicherheit Veracode zeigt, ist das Interesse von Fahrern an vernetzten Anwendungen fürs Auto hoch. 74 Prozent der in der Studie befragten deutschen Fahrer wünschen sich vernetzte Navigationsanwendungen, 56 Prozent Apps, die bei der Parkplatzsuche helfen. Auch Anwendungen mit Reisedaten (55 Prozent) oder zum Spritsparen (48 Prozent) stehen hoch im Kurs. Solche Anwendungen zur Verbesserung des Fahrerlebnisses müssen Automobilhersteller nicht zwingend selbst entwickeln. Sie können auch mit unabhängigen Software-Unternehmen zusammenarbeiten, die hier oft über mehr Expertise verfügen. Dabei müssen die Automobilhersteller aber umso mehr auf Sicherheitsaspekte – auch in Bezug auf Cyberbedrohungen – achten. Sicherheitsexperte Veracode gibt darum vier Tipps, wie Automobilhersteller auch bei einer solchen Software-Zusammenarbeit eine sichere Lieferkette gewährleisten können.
Die Wahl des richtigen Software-Zulieferers
Bei der Frage nach dem richtigen Zulieferer für vernetzte Anwendungen im Automobil liegt es nahe, zuerst einmal zu prüfen, wer bereits sichere Anwendungen entwickelt und anbietet. Da es in der Automobilbranche jedoch bisher noch keine festen Standards zur Zertifizierung sicherer Software-Anbieter gibt, ist dies nicht ohne weiteres möglich. Wichtig ist, dass Unternehmen selbst die Initiative ergreifen. Sie sollten sich über die Arbeitsweise der Zulieferer informieren und auf einige Kriterien achten, die für Sicherheit stehen – darunter die Analyse der Software-Zusammensetzung sowie die Arbeit mit binär-statischen Analysen zur Aufdeckung von Anwendungsschwachstellen.
Das Vertrauen auf bereits bestehende Geschäftspartner
Da zwischen Automobilherstellern und Zulieferern für vernetzte Systeme oft bereits Geschäftspartnerschaften existieren, ist es wichtig, auch auf diese zu vertrauen und sie nicht von einem Tag auf den nächsten ändern zu wollen. Um die Vorteile dieser bestehenden Beziehungen voll zu nutzen, können Unternehmen nach der Low-Hanging-Fruit-Strategie die Zulieferer auswählen, die bereits Sicherheitskriterien einhalten und sie für andere als positives Vorbild heranziehen. Mit der 80/20-Regel können sie zudem ihre Top-Automobil-Zulieferer auswählen und bei diesen mit einem eventuell notwendigen Transformationsprozess beginnen.
Die Einhaltung von Compliance-Vorgaben
Klar definierte Richtlinien sind genauso wichtig für die Zusammenarbeit zwischen Automobilherstellern und Zulieferern wie das Vertrauen auf bestehende Lieferketten. Festgelegt werden sollten Software- und Sicherheits-Tests der vernetzten Systeme und Connected-Car-Anwendungen, die Regelmäßigkeit für deren Durchführung sowie feste Fixzeiten und Risikotoleranzen. Solche Compliance-Vorgaben müssen offen an die Zulieferer kommuniziert werden. Zudem sollten sie mit strengen Konsequenzen im Falle einer Nichterfüllung verbunden sein, wie beispielsweise Preisnachlässe oder die Beendigung des Vertragsverhältnisses.
Das Aufzeigen von Vorteilen für die Partnerschaft
Die Einhaltung solcher Richtlinien ist allerdings für Software-Zulieferer nicht immer selbstverständlich und manch ein Drittanbieter würde es eher riskieren, einen Kunden zu verlieren, als sich an „Vorschriften“ zu halten. Aus diesem Grund sollte ebenfalls im Vordergrund stehen, den Zulieferern Vorteile aufzuzeigen, die mit der Einhaltung der Compliance-Vorgaben einhergehen. Im Idealfall können hierfür reale Daten herangezogen werden, zum Beispiel ein Vergleich zwischen der Rentabilität manueller Penetrationstests und binär-statischer Analysen zur Aufdeckung von Schwachstellen in Connected-Car-Anwendungen.
Für die sichere Entwicklung von vernetzten Anwendungen im Automobilbereich ist eine verlässliche Partnerschaft zwischen Automobilherstellern und Software-Zulieferern unerlässlich. Wenn beide Partner gemeinsam an ihren Zielen zur Verwirklichung des sicheren Connected Car arbeiten, werden Richtlinien einfacher akzeptiert und es können zudem neue Sicherheitskriterien etabliert werden. Vor allem vor dem Hintergrund noch vieler ungeklärter Fragen zu Haftungspflichten und steigender Cyberbedrohungen für vernetzte Automobile ist ein einfacher Softwarezukauf für Automobilhersteller keine Option. Eine auf Sicherheit bedachte Software-Lieferkette wird im anbrechenden Connected-Car-Zeitalter ebenso wichtig wie die Auswahl des richtigen Motors sein.
