Die steigende Gefahr von Cyberattacken auf Produktion und vernetzte Fahrzeuge erfordert immer ausgefeiltere Abwehrstrategien bei OEMs und Zulieferern. (Bild: Gorodenkoff /Adobe Stock)
Von der digitalisierten Produktion bis zum vernetzten Fahren: Binnen Minuten kann Malware maximalen Schaden anrichten. So schnell es am Ende auch gehen mag, jeder Angriff hat einen Vorlauf – Tage, Wochen, Monate vergehen, bis die Attacke geplant ist. Diese Zeit gilt es zu nutzen. „Aufgrund der wachsenden Anzahl von Technologien, die in modernen Fahrzeugen eingesetzt werden, ist es wichtig, Informationen über alle möglichen Bedrohungen zu haben – von Schwachstellen in elektronischen Steuergeräten bis hin zu Angriffen auf Vehicle-to-everything-Komponenten“, sagt Sergey Zorin, Head of Transportation System Security bei Kaspersky. „Unsere Untersuchungen im Automotive-Bereich zeigen den Trend, dass OEMs, ihre Zulieferer und Partner hauptsächlich von Ransomware-Angriffen betroffen sind“, ergänzt Zorin, „Das zeigt, dass Cyberkriminelle immer noch daran interessiert sind, den einfachsten Weg zu gehen, um Gewinn aus einem Angriff zu ziehen.“ Die Automobilbranche in Deutschland werde aktuell insbesondere von Spyware und schädlichen Dokumenten angegriffen. Doch soweit muss es nicht kommen.
Angriffe frühzeitig erkennen
Dem Feind eine Nasenlänge voraus sein, wissen, was er plant – das ist die Aufgabe von Threat Intelligence. OEMs von Fiat über Tesla bis zu Volkswagen investieren inzwischen große Summen in Informationen über drohende Cyberattacken und Erkenntnisse, wie Hacker arbeiten. Entweder engagieren sie selbst White-Hat-Hacker (also die Guten) oder Cybercrime-Sicherheitsfirmen wie Eset, Northwave, Kaspersky und Spycloud, die den Job erledigen. Die Herangehensweise ist dabei sehr unterschiedlich.
Die Threat Intelligence-Experten von Spycloud durchforsten unter anderem soziale Medien, Foren und vor allem das Darknet nach Hinweisen auf geplante oder laufende Angriffe. Es sind nicht nur KI-Tools, die das Netz systematisch nach Auffälligkeiten abgrasen, nein, das US-Startup schleust ganz klassisch „Spione“ in einschlägige Darknet-Foren ein. Wie es Geheimdienstler zu tun pflegen, wird zunächst ein schlagkräftiges Profil des Cyber-Undercoveragenten mit fiktiver Vita, die von den Hackerqualitäten kündet, aufgebaut, um als vertrauenswürdig zu gelten – was den Weg zu den Informationsquellen ebnet. Manchmal stoßen die verdeckten Ermittler dabei direkt auf gestohlene Zugangsdaten von Herstellern, die noch nicht für einen Angriff missbraucht wurden, so dass die IT-Systeme präventiv gesperrt und neu aufgesetzt werden können.
Unternehmen wie die Deutsche Telekom locken unterdessen Autohacker mit Fallen an, so genannten Honeypots. Das sind im Falle der Telekom 2.200 logische und 511 physische Systeme, die leidlich abgesichert sind und so mit einladenden Lücken Übeltäter anlocken – was sehr lehrreich ist, um herauszufinden, wie Autohacker arbeiten und welche Ziele sie verfolgen.
Beim IT-Sicherheitsdienstleister Eset (Enjoy Safer Technology) werden permanent mehr als 1.000 Botnetze auf Hinweise zu geplanten Langzeitangriffen gescannt. „Wir überwachen unsere Telemetrie ständig auf Auffälligkeiten. Dazu unterhalten wir automatisierte Systeme, mit denen wir die Treffer filtern und anhand bestimmter Cluster klassifizieren können: Bedrohungsakteure, Malware-Familien und so weiter“, erklärt Eset-Security Awareness Specialist Ondrej Kubovič.
Informationsfluss oft mangelhaft
Als besonders gefährdet erweisen sich Daten von Zulieferern. „Die Logik dahinter ist, dass die Hersteller ihre Lieferanten als vertrauenswürdig betrachten, obwohl sie nur begrenzte Kontrolle über die Sicherheit ihrer IT-Systeme haben“, weiß Kubovič, „Um das Risiko zu managen, führen Hersteller zwar Sicherheitsstandards ein, die Lieferanten erfüllen müssen, bevor sie in die Lieferkette aufgenommen werden.“ Doch leider wiesen die Vorkehrungen der Lieferanten in der Regel einen niedrigeren Standard auf und stellten somit eine „interessante Angriffsfläche“ dar. Zumal über einen Zulieferer auf einen Schlag oft eine ganze Latte von Herstellern getroffen werden kann.
Daher haben OEMs ein großes Interesse daran, dass jeder entlang der Lieferkette über die Erkenntnisse der Threat Intelligence informiert ist. Doch daran mangelt es oft, weil die Informationen schlicht nicht weitergeben werden. Das beklagen auch die Experten von Kaspersky in einer aktuellen Studie, nach der die Hälfte der befragten Unternehmen das Teilen von Threat-Intelligence-Erkenntnissen mit Fachkreisen untersagt. Dahinter stünden Bedenken, dass Cyberkriminelle so erführen, dass sie entdeckt würden und ihre Taktik änderten, bevor ein Unternehmen auf einen Angriff reagieren könne, so Anatoly Simonenko von Kaspersky. Abhilfe soll der kostenfreie Zugang zum Threat-Intelligence-Portal des Cybersicherheitsanbieters mit geschütztem Einreichungsmodus bieten.
Außerdem offeriert Kaspersky neuerdings ein Threat-Intelligence-Reporting speziell für die Automobilbranche, da das Thema immer relevanter wird, wie Zorin bemerkt. „Unternehmen erhalten damit nicht nur Informationen über die neuesten Cyberbedrohungen, sondern auch konkrete Angaben darüber, wie sich diese auf sie auswirken könnten“, sagt Zorin. Die Berichte beinhalten detaillierte Analysen branchenspezifischer Sicherheitsbedrohungen und identifizieren Informationen, die von Angreifern genutzt werden könnten, um Angriffe auf Autos, vernetzte Fahrzeuginfrastruktur und andere fahrzeugbezogene Systeme zu starten.
„Jeder Bericht des Automotive-Threat-Intelligence-Teams enthält zudem einen Überblick und eine Analyse technologischer Trends zu Cyberangriffen in der Automobilindustrie, wie etwa Cybervorfälle, aktuelle Studien, Konferenzgespräche, Community- und Darknet-Foren sowie Aktivitäten zu branchenspezifischen Foren“, ergänzt Zorin. Außerdem gibt es Executive Summaries für Entscheider, Bedrohungsbeschreibungen und Empfehlungen sowie auf den jeweiligen OEM zugeschnittene Benachrichtigungen über risikoreiche Aktivitäten und Schwachstellen.
Zorin: „Wir arbeiten kontinuierlich daran, unseren Threat-Intelligence-Service zu erweitern, damit Hersteller genügend Zeit haben, potenzielle Risiken anzugehen.“ Denn eines ist klar: Das Hase-und-Igel-Spiel wird ewig weitergehen. Wer da die Nase vorn haben möchte, muss mit allen Mitteln arbeiten. Und sei es mit echten Cyber-Spionen.
