Cybersecurity-Lösungen alleine reichen nicht mehr aus - die Autobranche muss dringend resilienter werden. (Bild: Adobe Stock / Gorodenkoff)
Das Auto wird zur digitalen Angriffsfläche, aber auch dessen Produktion ist störanfällig geworden, wie die Pandemie, Lieferengpässe und Chip-Krise zeigten. Produktion und Produkt müssen widerstandsfähiger werden. Sich nicht verwunden lassen, biegsam und robust bleiben – mit einem Wort: resilienter werden. Doch daran hapert es, wie Studien zeigen.
So attestiert das Global Crisis and Resilience Survey 2023 der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC Deutschland hiesigen Unternehmen beim Thema Resilienz Nachholbedarf. Zwar genieße das Thema Priorität, doch bei der Umsetzung integrierter Resilienzprogramme hakt es, wie es in der Studie heißt: „Das macht sich vor allem dadurch bemerkbar, dass deutsche Unternehmen wichtige Schlüsselfunktionen im globalen Vergleich noch deutlich seltener integrieren.“
So sei beispielsweise das Business Continuity Management (BCM) in nur 19 Prozent der deutschen Unternehmen Teil eines Resilienzprogramms (globaler Schnitt: 40 Prozent). „Die Studie belegt, dass die Resilienz-Revolution auf globaler Ebene längst in vollem Gange ist. Für viele deutsche Unternehmen gilt es jetzt aufzuschließen - die Grundvoraussetzungen dafür sind aber durchaus gut“, erklärt Jane He, Director und Expertin für Resilienz bei PwC Deutschland.
Daran scheitert die Umsetzung von Resilienz-Maßnahmen
Immerhin gibt es ein Bewusstsein für die Risiken: Führungskräfte sorgen sich am meisten über Cyberangriffe, Lieferkettenunterbrechungen und Personalmangel. Sie wissen: Hier müssen sie dringend widerstandfähiger werden. Außerdem keimt in der Autoindustrie die Erkenntnis, dass man in Sachen Digitalisierung, Elektrifizierung und Automatisierung in der Produktion neuen Wettbewerbern wie chinesischen Anbietern hinterherhinkt.
„Man verharrte zu lange auf Bewährtem, sonnte sich in altem Glanz und wird heute vielfach maximal als Fast Follower wahrgenommen“, urteilt Philipp Kupferschmidt, Leiter des Geschäftsbereichs Automotive & Mobility bei Accenture in der DACH-Region. „Es ist jetzt kein Erkenntnis-, sondern ein Umsetzungsproblem.“ Ein Problem, das vor allem im Beharren auf alten Strukturen und zeitschluckende Vorgehensweisen bestehe, womit man anfälliger für Störungen werde. „Es wäre zum Beispiel dringend erforderlich, neue Zusammenarbeitsmodelle mit Lieferanten zu finden, mit klassischen Zulieferern aber auch neueren Playern wie Big Tech“, betont Kupferschmidt.
Ins gleiche Horn stößt Ewald Munz, Industrieexperte mit Fokus auf Industrie 4.0, Engineering und technische Services beim Softwarehersteller Splunk: „Kluge Hersteller automatisieren grundlegende Prozesse, modernisieren ihre Sicherheitslage und reduzieren ihren CO2-Fußabdruck“, steckt er das Handlungsfeld ab. Und: „Zukunftsorientierte Organisationen erhöhen ihre Investitionen in die Cloud, um agiler und widerstandsfähiger zu werden.“ All das sei ohne eine intelligente Datennutzung nicht möglich. Munz: „Resilienz ist während dieser herausfordernden Zeiten zur neuen strategischen Notwendigkeit für Hersteller geworden.“
Diese Vorteile bietet eine hohe Resilienz
Auch wenn digitale Resilienz mehr ist, als sich gegen Cyberangriffe zu wappnen, ist eine schlagkräftige Security bei Produktion und Produkt elementar. „Die verstärkte Nutzung von Sensordaten und die damit verbundene Vernetzung von Autos vergrößern mögliche Angriffsflächen für Hacker“, sagt Markus Cserna, CTO von Cyan Digital Security. „Von diesem Umstand sind nicht nur kleine und mittlere Unternehmen, sondern auch die Platzhirsche betroffen.“ Sein Befund: „Selbst, wenn eine digitale Nachrüstung während der letzten Jahre für mehr Resilienz gesorgt hat, gibt es noch viel Optimierungspotential für vollständige digitale Sicherheit.“
Besonders wichtig: Unternehmen sollten den Faktor Cybersecurity möglichst proaktiv, etwa bereits in der Produktion, mitdenken und nicht erst handeln, wenn ein Cyberangriff erfolgt ist. „Dann sprechen wir nämlich nur noch über Schadensbegrenzung“, betont Cserna, „Oder anders formuliert: Mittlerweile besitzt digitale Resilienz für die Qualität des Autos den gleichen Stellenwert wie herkömmliche Crashtests.“
Munz rät zu Threat Intelligence: Dabei wird maschinelle Intelligenz mit dem Wissen von kompetenten Security-Experten kombiniert. Vernetzung ist das entscheidende Stichwort: „Die Smart Factory wird nicht um umfassende IT- und OT-Security-Lösungen herumkommen.“ OT-Sicherheit sorgt für den Schutz von Systemen und Anlagen, etwa indem man Maschinen, Prozesse und kritische Ereignisse im Blick behält. Munz: „IT- und OT-Security können nur gewährleistet werden, wenn Datenströme überwacht und auf Anomalien ausgewertet werden.“
Das sei jedoch „der Knackpunkt“, denn mit Daten und deren Auswertung täten sich viele Hersteller schwer: „Allein beim Datenzugriff und der -integration gibt es eine Vielzahl an Hürden in Form von Protokollen und nicht standardisierten Einrichtungen, die erst aus dem Weg geschafft werden müssen.“ Hinzu komme, dass viele industrielle Produktionssysteme in die Jahre gekommen seien und sehr alte Steuerungssysteme verwenden würden.
Der Schlüssel für Digitale Resilienz ist, so Munz, die richtige Kombination aus Internet of Things (IoT), Cybersicherheit und Nachhaltigkeit. Das IoT sei dank plattformübergreifender Konnektivität in der Lage, Daten aus unterschiedlichsten Quellen zu lesen, umzuwandeln und in eine Analyseplattform zu übernehmen, erklärt der Experte: „Damit Cybersicherheit gewährleistet ist, müssen IT und OT aus ihren Silos befreit werden und ihre Daten in einem zentralen Security Operations Center, kurz: SOC, zusammengezogen und in Echtzeit gemeinsam bereitgestellt werden.“
IT-Bedrohungen für die Autobranche nehmen stetig zu
Denn die Bedrohungen werden künftig mit Sicherheit nicht weniger werden: „Die Herausforderung wird unter anderem darin bestehen, auf neue Disruptionen zu reagieren, die bislang unbekannte Cyberrisiken mit sich bringen“, sagt Cserna, „Beispielsweise besitzt ChatGPT schon heute das Potenzial, Cyberangriffe stetig zu optimieren.“ Gängige Security-Lösungen müssten sich auf kürzestem Weg an diese „Marktstandards“ anpassen, was voraussichtlich nicht immer gelingen werde.
