Zukunftsfähigkeit durch Digitalisierung – so lautet, kurz zusammengefasst, die Strategie der europäischen Autohersteller im Wettlauf mit ihren neuen Herausforderern in China und im Silicon Valley. Doch dabei treffen die wackeren Motorenschrauber und Blechpresser auf Gegenwind aus einer Richtung, in der man in ganz anderen Begrifflichkeiten zu denken pflegt als Spaltmaße und Fahrwerksabstimmung. Gemeint ist die zwielichtige Gilde der Cyberkriminellen und Industriespione, deren Geschäft immer besser läuft. Denn Arbeitsteilung, Automatisierung und der Einsatz von künstlicher Intelligenz machen diese Branche immer produktiver.
Nach dem kürzlich veröffentlichten Cybercrime-Lagebericht des Bundeskriminalamts fluteten die Cyber-Verbrecher im Jahr 2019 das Internet mit circa 312.000 neuen Malware-Varianten – und zwar pro Tag. Am Ende kam eine Milliarde unterschiedlicher Malware-Familien zusammen. Der Industrieverband Bitkom schätzt für das Jahr 2019 den Schaden, der der deutschen Wirtschaft durch Cyberangriffe entstanden ist, auf rund 100 Milliarden Euro. Und das Geschäft für die Gauner aus dem Dark Web läuft immer besser, denn verschiedene Sonderfaktoren haben der Wachstumsbranche der Internet-Betrüger und -Erpresser weiteren Rückenwind beschert.
Homeoffice wird zum Sicherheitsrisiko
Da ist zum einen die Covid-19-Pandemie. Sie zwang viele Mitarbeiter ins Homeoffice. Aus der Sicht von Security-Experten bedeutet das ein zusätzliches Risiko, denn dort mussten die Heimarbeiter mit weit weniger professionellem Schutz gegen Cyberangriffe arbeiten als in ihrem Büroumfeld. Verschärft wird dieses Risiko noch durch einen anderen Umstand: „Viele Homeoffice-Arbeiter benutzen ihre eigenen Geräte, beziehungsweise sie greifen aus ihrem eigenen, ungeschützten Netzwerk auf die Firmen-IT zu“, erläutert Sebastian Schmerl, Head of Cyber Defense und Industrial Security beim IT-Dienstleister Computacenter. „Was wir hier sehen, ist ein Paradigmenwechsel von geschützten auf ungeschützte Umgebungen.“
Gleichzeitig bewiesen die Cyberkriminellen Flexibilität – sie setzten verstärkt auf Phishing-Kampagnen, die thematisch auf Covid-19 abzielten, bemerkt Tanja Hofmann, Security-Expertin beim Sicherheitssoftware-Hersteller McAfee. Noch einen weit größeren Einfluss auf die Security-Situation als die Pandemie hat allerdings die aktuelle Umbruchphase der Autoindustrie, in der an zwei Fronten eine Bedrohungslage mit hohem Schadpotenzial aufzieht. Die Rede ist zum einen von der zunehmend innigeren Verbindung zwischen elektronischen Shopfloor-Steuerungen (Operational Technology, OT) und der Business-IT nebst den zahlreichen „Quick-and-Dirty“-Lösungen, die im Sinne des Internet of Things in die Fabrikumgebungen eingebracht werden. Und zum anderen von der Digitalisierung des Produkts Auto mit all seinen zukunftsträchtigen Online-Services.
Ransomware schadet vor allem KMUs
Um mit der neuen Gefahrenlage in Produktionsnetzwerken zu beginnen: Dass hier oftmals Uralt-Betriebssysteme wie etwa Windows XP eingesetzt werden, für die kein Support mehr verfügbar ist – geschenkt. Das wird der Branche seit Jahren vorgehalten, geändert hat sich nach Beobachtung von Experten wenig. Neu ist, dass die Cyberkriminellen zunehmend die OT ins Visier nehmen. „Wir sehen sehr stark, dass sich spezifische Bedrohungen gegen die OT richten“, hat McAfee-Expertin Hofmann beobachtet. „Es gibt Ransomware, die speziell dazu entwickelt wurde, Schäden im Produktionsumfeld anzurichten.“ Dazu gehört etwa EKANS, eine Malware, die in industriellen Steuerungen erhebliche Störungen verursachen kann. Erschwerend hinzu kommen zahllose schlecht konfigurierte und unzureichend geschützte Sensorelemente, die in Produktionsumgebungen installiert wurden und über potenziell unsichere Cloud-Services neugierigen Hackern interne Daten zugänglich machen.
Auch Computacenter-Experte Schmerl mahnt hier zu besonderer Aufmerksamkeit. „Die großen Cloud-Dienstleister bieten eine sehr gute Absicherung – aber nur wenn man sie richtig bedient“, so Schmerl. „Wenn man die Einstellungen falsch vornimmt, öffnet man mit solchen Diensten jedem die Tür.“ Besonders problematisch ist diese Situation für kleinere und mittelständische Unternehmen. „Ransomware ist für Großunternehmen eher nicht so ein Problem, die haben die entsprechenden Backup- und Security-Konzepte“, kommentiert Hofmann. „Viel stärker betroffen sind mittelständische Unternehmen – denen fehlt oft das Personal, um Sicherheitskonzepte umzusetzen.“
Autos als Einfallstor für Hacker
Ein Problem mit noch größerer Reichweite liegt in der Transformation des Autos an sich. Der Wertanteil der Software in den Fahrzeugen wächst beständig; zudem sind die Autos immer stärker in Datennetze eingebunden. Die Software und die damit verbundenen Online-Services beeinflussen zunehmend die Kundenattraktivität eines Fahrzeugs. Deswegen muss die Security für die in den Autos installierte Software sowie den verbundenen Backend-Diensten zusammen mit der Unternehmens-IT als einheitliches und ganzheitlich abzusicherndes System betrachtet werden. Da die Verantwortung für die Entwicklung dieser Systeme zumindest mittelbar im Hoheitsgebiet der Autohersteller liegt, ergibt sich daraus auch eine Ausweitung der Cybersecurity-Verantwortung auf die Wertschöpfungskette.
Eine Studie von McKinsey postuliert in diesem Zusammenhang die Notwendigkeit für eine softwarezentrierte Cybersecurity-Kultur. „Die große Transformation der Autoindustrie in Richtung Digitalisierung und Software muss sich auch in der Security widerspiegeln“, sagt Gundbert Scherf, Partner und Cybersecurity-Experte bei McKinsey. Konkret heißt das, dass die gesamte Branche zuerst einmal eine ganzheitliche Sicherheitskultur aufbauen muss. „Security muss von der Entwicklung von Software bis in die Produktion, aber auch bis in den Betrieb ganzheitlich gedacht werden – Stichwort ‚Security by Design‘“, erläutert Scherf. Das reicht aber immer noch nicht aus. Dieser Leitgedanke muss sich letztlich in Prozessen materialisieren, in denen die Software automatisiert regelmäßig auf die Einhaltung der Security-Spielregeln abgeklopft wird. „Diese Prozesse sind neu“, so Scherf. „Sie müssen bei den OEMs bereichsübergreifend angelegt sein. Und sie müssen natürlich in der Lieferkette umgesetzt werden.“