Visualisierung vernetzte Automobilindustrie Cybersecurity Schwachstellen

Angesichts der zunehmenden Cybersecurity-Herausforderungen in der Autobranche braucht es frühzeitig innovative Sicherheitsstrategien, um sowohl technologisch als auch sicherheitstechnisch führend zu bleiben. (Bild: Adobe Stock / VideoFlow)

Automobilwerke werden zu smarten Fabriken, analoge Vehikel transformieren sich zu Connected Cars und die dahinterstehenden Hersteller streben eine neue Rolle als Softwareplayer an. In allen Bereichen der Automobilindustrie öffnet die Digitalisierung neue Türen. Doch gleichzeitig entstehen auf diesem Wege auch neue Einfallstore für virtuelle Attacken. „Wenn alles sich stärker digitalisiert wird und miteinander vernetzt ist, dann wird auch alles gehackt. Wir sehen deutliche Zunahmen sowohl von Angriffen als auch von der Art der Angriffe. Die werden immer ausgefeilter, was man gut in den Daten sehen kann“, warnt Katrin Suder, Digitalexpertin und ehemalige Vorsitzende des Digitalrats unter Ex-Kanzlerin Angela Merkel, im Rahmen einer automotiveIT-Diskussionsrunde im vergangenen Jahr. Doch an welchen Stellen sind die Cybersecurity-Risiken für die Automobilindustrie aktuell am größten und wie können die Unternehmen mit böswilligen Cyber-Kriminellen überhaupt Schritt halten? 

Connected Car wird zur Zielscheibe von Cyberattacken

"Wir setzen gerne auf Sicherheit, wenn es weh tut oder wenn Menschenleben in Gefahr sind. Und im Cyberspace ist das eigentlich nicht der Fall. Vielleicht hat jemand meine Kontodaten, aber physisch passiert mir erst mal nichts. Wo diese beiden Aspekte zusammenkommen, ist im Auto. Dort kann jedes Security-Problem direkt zu einem Safety-Problem werden“, erklärt Ralf Schneider, Cybersecurity-Experte der Allianz-Versicherung, die Bedeutung der digitalen Sicherheit im Fahrzeug.

Auch der TÜV Rheinland ist der Ansicht, dass der Grund für die zunehmenden Cyberattacken in der steigenden Konnektivität von Fahrzeugen liegt. Wenn Autos Teil eines globalen Netzwerks werden, so der Prüfdienstleister, biete dies zwar Komfortfunktionen wie Over-the-Air-Updates der Fahrzeugsoftware, die dafür notwendigen IT- und Softwaresysteme machten das Auto aber zur Informationsdrehscheibe und damit gleichzeitig zu einem verlockenden Ziel für Cyberangriffe.

Dies bestätigt ebenso eine Studie zum Thema Automotive Cyber Security, die das Center of Automotive Management (CAM) kürzlich veröffentlichte. Eine im Rahmen der Studie durchgeführte Meta-Analyse zu den Cyber-Angriffen auf Fahrzeuge und Unternehmen der Automobilwirtschaft habe stark zunehmende Risiken offenbart. „Eine professionelle Cyber Security-Strategy von Unternehmen gewinnt als unerlässlicher Hygienefaktor in der Automobilindustrie stark an Bedeutung,“ erklärt Studienleiter Stefan Bratzel. Die Auswertungen der bisherigen Angriffspunkte auf die Cybersicherheit der internationalen Automobilwirtschaft zeigten, dass die Quantität und Qualität der Angriffe in den letzten Jahren erheblich gestiegen sei.

Strengere Regularien für mehr Sicherheit im autonomen Fahrzeug

Erste Ende 2023 berichtete unter anderem der Spiegel von einem Hackerangriff auf Tesla, bei dem drei IT-Sicherheitsforscher in die Hardware eindringen und auf Firmengeheimnisse zugreifen konnten. Diese Art von digitalen Attacken sorgt dafür, dass auch die gesetzlich festgelegten Regularien rund um die Cybersecurity im Fahrzeug verschärft werden. Um die virtuelle Sicherheit entlang der gesamten Lieferkette und des Lebenszyklus von Kraftfahrzeugen zu gewährleisten, hat die United Nations Economic Commission for Europe (UNECE) bereits vor einigen Jahren regulatorische Anforderungen wie R155 und R156 formuliert.

Parallel dazu wurde im August 2021 die Norm ISO/SAE 21434 (Road Vehicles Cyber Security Engineering) veröffentlicht, die Möglichkeiten zur Umsetzung der neuen die Möglichkeiten zur Umsetzung der neuen Regelungen thematisiert. Die Gesetzgebungen sind für Hersteller und Zulieferer trotz Hilfestellungen teilweise mit größeren Aufwänden verbunden. Erst kürzlich kündigte beispielsweise der VW-Konzern Modellstreichungen an, die dem OEM ein kostspieliges Nachrüsten der jeweiligen Reihen im Rahmen der neuen Richtlinie WP.29 der UNECE ersparen sollen.  

Automobilindustrie muss Cybersecurity ganzheitlich denken

Arvid Rosinski, Chief Information Security Officer bei Audi betont automotiveIT gegenüber die Komplexität der Cybersecurity in der Automobilindustrie „In diesem vernetzten Ökosystem muss man durchaus weiter denken als nur an eine Komponente, sondern man muss es übergreifend betrachten. Von der digitalen, vernetzten Fabrik, bis hin zur Flotte, die sich auf der Straße bewegt und miteinander per IoT-Device kommunizieren muss. Das kann man nicht voneinander losgelöst betrachten und die größte Bedrohung herausfischen“, warnt der Audi-Experte. Bevor das Connected Car mit seinen verschiedenen Angriffsvektoren vom Band rollt, muss die digitale Sicherheit daher frühzeitig in den Entwicklungs- und Fertigungsprozessen mitgedacht werden. Denn ebenso wie im Fahrzeug selbst, vervielfacht die Digitalisierung in diesen Bereichen durch neue Technologien gefährliche Einfallstore für Cyberkriminalität.  

Wir haben als Verteidiger immer eine schlechtere Situation, weil es, wenn wir Technologie als Angriffsvektor betrachten, nur eine Schwachstelle braucht, die ausgenutzt werden kann“, schlussfolgert Rosinski. „Angreifer müssen nur warten, bis wir nicht schnell genug reagieren können. Zum anderen ist der größte Angriffsvektor, um den ich mir Sorgen mache, tatsächlich der Mensch. Es ist noch viel zu einfach, die menschlichen Schwachstellen in Form ihrer Bedürfnisse und Ängste auszunutzen.“ Und erst danach folge mit der Schließung dieser Schwachstelle die wirkliche Herausforderung, wie Schneider ergänzt. Neben geeigneten Beseitigungsprozessen und entsprechenden Tools käme es dann in erster Linie auf „eine extrem fitte Organisation“ an.  

Homeoffice & Kooperationen erhöhen Cyberrisiken zusätzlich

Und erst danach folge mit der Schließung dieser Schwachstelle die wirkliche Herausforderung, wie Schneider ergänzt. Neben geeigneten Beseitigungsprozessen und entsprechenden Tools käme es dann in erster Linie auf die Organisation sowie auf „eine extrem fitte Organisation“ an.

Obwohl das Home-Office für viele Beschäftigte eine gute Möglichkeit darstellt, ihre Work-Life-Balance zu verbessern, stellt das beliebte Arbeitsmodell die Sicherheit vor neue Hürden. Die zuvor als essenziell betonten Prozesse, Tools und Organisation sind laut Cloudflare-Experte Andreas Bechter deutlich schwieriger zu gewährleisten, wenn sich die betroffenen Geräte zusätzlich im Remote Office befinden. Für ihn ein klarer Grund dafür, warum die Förderung der Awareness bei den Mitarbeitenden ebenso weit oben im Pflichtenheft stehen sollte.

Am Rande des Ökosystems könnten sich nach all dem weitere Schwachstellen auftun, da auch Zulieferer oder Partnerunternehmen und damit deren Produkte kontinuierlich digitalisiert werden, kommentiert Suder. Auf der anderen Seite bekräftigt Audi-Experte Rosinski, dass es die Branche einem verstrickten Netz an Komplexität zu tun habe, welches sie ohne ihre Kooperationen mit Partnern und dem dafür notwendigen Vertrauen zwischen den Parteien nicht unter Kontrolle bringen könne. „Vertrauensvolle Zusammenarbeit ist ein wesentlicher Aspekt im Cyber-Umfeld. Dieser Bereich hat sich in den letzten Jahren gewandelt und Offenheit ermöglicht. Das Sharing-Prinzip, über das man Schwachstellen offenlegt, ermöglicht es anderen, auf ähnliche Angriffe vorbereitet zu sein“, berichtet er.

automotiveIT Kongress 2025

IT Team Award automotiveIT

Der automotiveIT Kongress 2024 zeigte vor allem eines: IT ist Business und Business ist IT. CIOs wie Katrin Lehmann und Alexander Buresch sowie IT-Experten und Branchenkenner gaben spannende Einblicke in die Digitalisierung der Automobilindustrie und diskutierten die wichtigsten Tech-Trends.
Save the Date! Am 18. September 2025 geht Deutschlands größtes Branchentreffen der Automobil- und IT-Industrie in Berlin in die nächste Runde. CIOs und IT-Experten stellen ihre Strategien und Projekte vor. Erleben Sie spannende Vorträge, Paneldiskussionen, Insights auf unseren Deep Dive-Bühnen, die Verleihung der nächsten IT Team Awards und natürlich das Networking mit der Community hautnah. 🎫 Jetzt Frühbucher-Ticket sichern!

Sie möchten gerne weiterlesen?