So steht es in der Autobranche in Sachen Cybersicherheit

Eberspächer, Kojima Press Industries oder die Emil-Frey- Gruppe – die Cyberattacken gegen Unternehmen aus der Automobilbranche nehmen nicht erst in jüngster Zeit zu. Schon seit Längerem visieren Cyberkriminelle die sensiblen Produktionssysteme und Prozesse, aber auch die Fahrzeugsoftware an. Shutdowns, Kurzarbeit und Störungen im Betriebsablauf sind oftmals die Folge davon und fügen der Industrie massive Schäden zu. Ein beunruhigender Trend, der sich auch in globalen Umfragen widerspiegelt.

Nach dem „Allianz Risk Barometer 2022“ sind Cybergefahren die größten Bedrohungen für Unternehmen weltweit. Mit 44 Prozent der Antworten führen Cybervorfälle das Ranking erstmals an. Auf den zweiten Platz zurück fallen Betriebsunterbrechungen mit 42 Prozent, Naturkatastrophen rangieren mit 25 Prozent auf Platz drei. In die jährliche Umfrage des Industrieversicherers Allianz Global Corporate & Specialty (AGCS) fließen die Meinungen von 2.650 Experten in 89 Ländern und Territorien ein, darunter CEOs, Risikomanager, Makler und Versicherungsexperten. Doch tatenlos wollen sich die Akteure aus der Automobilindustrie dieser Gefahr nicht ergeben und arbeiten fieberhaft an der Resilienz ihrer IT-Infrastrukturen.

Zu ihnen zählt etwa auch Siemens-CIO Hanna Hennig: „IT- Sicherheit ist natürlich eine große Aufgabe für jeden Industriekonzern. Wir unterscheiden bei uns primär zwischen drei Security-Themen. Das erste wäre die IT-Sicherheit rund um das Office. Dann wären noch die Sicherheitsanforderungen der Produktion, ganz klar. Und drittens haben wir die angesprochenen Entwicklungsabteilungen. Und diese drei Bereiche müssen wir ganz individuell schützen. Da können wir nicht mit einer standardisierten Lösung daherkommen und sagen: Das funktioniert jetzt für euch alle. Einen ‚One size fits all‘-Ansatz darf es bei der Security nicht geben“, unterstreicht die Siemens-Managerin im Interview mit automotiveIT.

Darüber hinaus treibt der Münchener Industriekonzern noch weitere Sicherheitssysteme voran. So gebe es im Unternehmen das Zero-Trust-Konzept. Dabei gehe es laut Hennig darum, dass jede Ressource, jedes Gerät und jeder Mitarbeiter dahinter immer geprüft werde. Somit verabschiede man sich vom hard- waregetriebenen Firewallansatz hin zu einem flexibilisierten softwaregetriebenen Konzept. „Das Problem mit Firewalls ist, dass ein Hacker, sobald er einmal an der Firewall vorbei ist, die gesamte Umgebung infizieren kann. Beim softwaregetriebenen Authentifizierungsansatz könnte ein Hacker nur auf dieses eine Asset zugreifen und nicht auf alles“, sagt Hennig.

Doch es gilt nicht nur IT-Systeme in der Produktionsanlage, dem Büro oder im Homeoffice zu schützen, sondern auch im Produkt Fahrzeug an sich. So werde aktuell bereits für jede End-to-End-Verschlüsselung im Auto ein spezieller Schlüssel benötigt, der im sogenannten Hardware Security Module (HSM) abgelegt wird. Solche HSM-Module kommen heute schon in je- dem Smartphone zum Einsatz und werden in Zukunft auch in den Fahrzeugsteuergeräten verwendet werden.

„Cybersecurity ist für die gesamte Tech-Industrie ein wichtiges Thema und damit auch für die Autoindustrie. Die Smartphone-Hersteller haben Cybersecurity-Anforderungen längst sehr gut umgesetzt, die unter anderem dort verwendete End-to-End-Verschlüsselung ist State of the Art und die Automotive-Industrie hängt hier fünf bis zehn Jahre hinterher“, merkt Jan Becker, CEO von Apex.AI, an. Das Startup aus dem Silicon Valley hat unlängst ein eigenes Betriebssystem für softwaredefinierte Fahrzeuge entwickelt und legt dabei einen großen Fokus auf das Thema Cybersicherheit.

Aus Sicht Beckers seien moderne Autos letztlich auch auf eine Art und Weise mobile Endgeräte mit zahlreichen Sensoren, die Daten generieren, verarbeiten und wieder ausgeben – entweder an die Passagiere oder ein Backend. Sicherheit und Privatsphäre seien das höchste Gut, denn es werden unter anderem personenbezogene Daten erzeugt, aus denen sich ohne Aufwand beispielsweise Bewegungsprofile erstellen ließen oder die über ungeschützte Passwörter Zugriff auf Benutzerkonten ermöglichen.

Diese Gefahr hat die Autoindustrie erkannt und unlängst Standards definiert, die in der ISO 21.434 zusammengefasst wurden. Der Standard zielt auf die Sicherheit aller elektrischen und insbesondere elektronischen Systeme während des gesamten Lebenszyklus eines Fahrzeugs. Eine Norm, die insbesondere auch für höchst sicherheitsrelevante Themen wie das autonome Fahren von entscheidender Bedeutung ist.

Im Kampf gegen Cyberkriminelle wird die Automobilindustrie laut Becker nicht klein beigeben: „Den Herstellern und Zulieferern kommt zugute, dass hier keine Grundlagenforschung nötig ist. Letztlich müssen bekannte Hard- und Softwarebausteine korrekt angewendet und in die Systeme des Autos implementiert werden. In unserem Betriebssystem Apex.OS sehen wir beispielsweise die nötigen Funktionen für die End-to-End-Verschlüsselung der Kommunikation und zur Absicherung von Prozesszugriffen vor.“

Aufgrund der rapide zunehmenden Vernetzungsrate von Fahrzeugen und Güte der Vernetzungslösungen kann sich die Automobilindustrie aber nicht allein auf den bisher erzielten Sicherheitsvorkehrungen ausruhen. Es wird in Zukunft auch darum gehen, die Systeme laufend zu überarbeiten und neue Sicherheitsfeatures immer wieder an die aktuelle Lage anzupassen. Sonst könnte die Liste der namhaften Cyberopfer schneller anwachsen als es der Branche lieb sein dürfte.