Hans-Peter Fischer, Partner im Bereich Security Consulting bei KPMG, erachtet ein etabliertes CSMS als klaren Fortschritt. (Bild: KPMG)
In der Corona-Krise wurde etwa die Entwicklung ins Homeoffice verlagert. Welche Maßnahmen müssen die Autokonzerne umsetzen, damit die agile Arbeitsweise nicht zu Sicherheitsrisiken führt?
Autokonzerne, die ihre IT-Infrastruktur schon im Vorfeld auf das Arbeiten im Homeoffice eingestellt hatten, waren hier klar im Vorteil. Für alle anderen gilt nun, die Arbeit und Zusammenarbeit der Mitarbeiter im Homeoffice abzusichern. Dafür sollten Anmeldungen im Unternehmensnetzwerk sowohl über gesicherte VPN-Verbindungen als auch über Geräte, die vom Unternehmen gesichert werden, ermöglicht werden. Zum Dateiaustausch sollten Unternehmen auf sichere Filesharing Clouds setzen und Mitarbeiter mit entsprechenden Lizenzen ausstatten, damit sie nicht gezwungen sind, auf unsichere Services zurückzugreifen. Um die Kommunikation als wichtigen Teil agiler Arbeitsmethoden sicherzustellen, sollten Unternehmen sichere Co-Working Apps nutzen – vor allem kostenlose Anbieter haben in der Vergangenheit Sicherheitslücken gezeigt. Nicht zuletzt sollten die Mitarbeiter ausreichend für das Thema sensibilisiert werden.
Welche Einfallstore in vernetzten und autonomen Fahrzeugen bewerten Sie als besonders riskant und wie können die Anbieter diesbezüglich gegensteuern?
Hier sind einige Angriffspunkte denkbar, die böswillig attackiert werden können. Beispielsweise die klassischen Funkschnittstellen, die bereits bei Hacks ausgenutzt wurden. Darüber hinaus kommen aber inzwischen auch Car-to-Car und Car-to-X Schnittstellen in Frage, die Angreifer zur Kontrollübernahme fahrender Autos ausnutzen könnten. Updates Over-the-Air sind ebenfalls eine Schwachstelle, bei der das Auto absichtlich oder versehentlich schadhaften Input erhalten kann. Nicht zuletzt bietet Künstliche Intelligenz eine weitere Angriffsfläche für Hacker und andere Angreifer – beispielsweise durch den Einsatz von Adversarial Learning. Eine wichtige Schutzmaßnahme stellt hierbei ein strukturiertes Software Update Management System (SUMS) dar, um entdeckte Schwachstellen schnellstmöglich abzudecken sowie eine klare Trennung von Netzen und Funktionen im Fahrzeug.
Die Typzulassung von Fahrzeugen soll in der EU ab 2022 nur noch mit der Zertifizierung eines Cybersecurity-Managementsystems möglich sein. Werden die Risiken dadurch beseitigt, und können die Systeme den neuen Technologien zum Durchbruch verhelfen?
Zunächst einmal ist mit der Einführung eines Cyber Security Management Systeme (CSMS) ein klarer Fortschritt zu sehen. Die OEMs sollten Cyberrisiken systematisch über den gesamten Lebenszyklus eines Fahrzeuges und über die gesamte Lieferkette betrachten und managen – mit dem Ziel, eine angemessene Produktsicherheit herzustellen. Endgültig beseitigt werden die Risiken dadurch nicht, aber ein etabliertes CSMS erlaubt es, diese Risiken zu erkennen, zu mindern und fortlaufend zu überwachen. Gerade im Automobilsektor rücken die Begriffe Security und Safety näher zusammen – ein gehacktes Auto kann hier Menschenleben kosten. Abschließend kann gesagt werden, dass die neue Regulierung die Autos der Zukunft nicht nur sicherer macht, sondern auch das Vertrauen in diese und ihre Hersteller stärkt.
