Thought Leadership
Je vernetzter und autonomer Fahrzeuge sind, umso höher ist das Risiko für Cyberangriffe. Security muss daher zur Chefsache werden. Doch eine Capgemini-Studie von 2021 zeigt: Bisher fühlen sich erst zehn Prozent der Autobauer gut auf die Bedrohungen vorbereitet. Es gibt also noch viel zu tun.
Die Automobilindustrie befindet sich im Wandel – nicht nur hin zur Elektromobilität und zum autonomen Fahren, sondern auch zu mehr Software-Zentriertheit. Immer mehr Fahrzeuge enthalten Embedded-Software, um interne Vorgänge zu erfassen und mit der äußeren Umgebung zu interagieren. Durch die Digitalisierung tun sich zudem für Autobauer neue Geschäftsmodelle auf. Software und digitale Services werden in Zukunft immer wichtiger, um auch im Aftersales Geld zu verdienen und sinkende Verkaufszahlen zu kompensieren. So prognostiziert das Marktforschungsunternehmen Capgemini, dass sich der Anteil der OEM-Einnahmen aus softwarebasierten Funktionen und Diensten in den nächsten zehn Jahren von acht Prozent auf 22 Prozent fast verdreifachen wird. Mit dem zunehmenden Software-Anteil in Fahrzeugen werden in rasantem Tempo neue Schwachstellen auftauchen, die ein hohes Risiko für die Sicherheit und die Privatsphäre der Verbraucher darstellen. Dabei ist jedes vernetzte Element im Smart-Mobility-Ökosystem ein potenzielles Einfallstor für Hacker.
EU-Richtlinie schreibt Cybersecurity vor
Während die Angriffsfläche kontinuierlich wächst, stehen Erstausrüster (OEMs) und Zulieferer vor der Herausforderung, ihre Produkte und Flotten richtig abzusichern. Auch der Gesetzgeber fordert dies künftig. Laut der EU-Richtlinie WP.29 TF-CS/OTA dürfen ab 2022 nur noch Fahrzeugtypen zugelassen werden, wenn der Hersteller ein zertifiziertes Cybersecurity-Managementsystem (CSMS) nachweisen kann. Die erforderlichen Maßnahmen umfassen vier Bereiche: Cyber-Risikomanagement für Fahrzeuge, Security by Design während der Entwicklung entlang der gesamten Wertschöpfungskette, Intrusion Detection für die komplette Flotte sowie die Möglichkeit, Software-Sicherheitslücken auch nach dem Verkauf des Fahrzeugs Over-the-Air zu schließen. Dazu kommen die Anforderungen der DSGVO zum Schutz von personenbezogenen Daten.
Aber können OEMs diese Anforderungen bereits erfüllen? Die Capgemini-Studie zeigt ernüchternde Ergebnisse: Nur zehn Prozent der befragten Automobilhersteller glauben, dass sie gut auf die Umsetzung verschiedener Cybersicherheitsmaßnahmen vorbereitet sind. Im Bereich Security-by-Design sehen sich erst sechs Prozent gut aufgestellt, bei der Bedrohungserkennung und Eindämmung sind es acht Prozent und bei OTA-Software-Updates neun Prozent. Noch schlechter sieht es im Hinblick auf die Datenschutz-Grundversordnung (DSGVO) aus: Hier sehen sich lediglich vier Prozent der Fahrzeughersteller gut vorbereitet.
Ende-zu-Ende-Sicherheit umsetzen
Es gibt also noch viel zu tun, doch dabei steht die Branche vor großen Herausforderungen. Das fängt damit an, dass Automobilhersteller Sicherheit neu denken müssen. Traditionell herrschen hier Prozesse aus der Safety vor, also der funktionalen Sicherheit. Diese lassen sich aber nicht eins zu eins auf die Security übertragen. Auch die Vielzahl der Personen, die an einer Fahrzeugentwicklung beteiligt sind, sowie die vielen verschiedenen Software-Quellen erschweren es, für einheitliche Sicherheitsstandards zu sorgen. Ein spezialisierter Dienstleister kann helfen, Hürden zu überwinden und ein Security by Design-Konzept umzusetzen. Dabei empfiehlt es sich, nach agilen Methoden oder dem in der Software-Entwicklung bekannten V-Modell vorzugehen: Jede Entwicklungsphase ist einer entsprechenden Test- und Validierungsphase zugeordnet, wobei der Prozess aus vielen Rückkopplungsschleifen besteht. Am Anfang steht stets eine Risikoanalyse, auf deren Basis das Security-Team die passende Sicherheitsarchitektur entwickelt. Die Spezifikationen werden anschließend einem technischen Review unterzogen, umgesetzt und durch kontinuierliches Testen validiert. Dabei ist es wichtig, eine Außensicht einzunehmen und aus der Perspektive der Angreifer vorzugehen. Security by Design betrifft sowohl die Hardware-, Software- und Datenintegrität als auch die Authentifizierung der Geräte und ihrer Dienste sowie die Kommunikationssicherheit.
Nachdem das Auto auf der Straße ist, muss die Absicherung weitergehen – und zwar über den gesamten Lebenszyklus hinweg und unter Berücksichtigung des gesamten vernetzten Ökosystems. Dies umfasst neben dem Fahrzeug und dem Backend des Herstellers zum Beispiel auch die Services von Drittanbietern oder die Ladeinfrastruktur bei der Elektromobilität. Um für Schutz zu sorgen, benötigen Automobilhersteller spezialisierte Lösungen für Schwachstellenmanagement und für automatisiertes Incident Monitoring, Detection & Response. Letzteres muss tief in die Fahrzeugtechnik integriert werden und in der Lage sein, Bedrohungsinformationen der Endpunkt- und Netzwerkagenten in Echtzeit an das Hersteller-Backend zu übermitteln. Dort sind Cybersecurity-Analysten erforderlich, die die Alerts des Systems auswerten, untersuchen und Gegenmaßnahmen einleiten.
Allianzen für Cybersicherheit schmieden
Die Smart-Mobility-Domäne abzusichern, ist eine große Herausforderung, die niemand im Alleingang bewältigen kann. Denn die Angriffsfläche wächst kontinuierlich. Auch wenn Automobilhersteller erheblich in Cybersecurity investieren, werden sie weiterhin an vielen Fronten verwundbar sein. Ein geschickter und entschlossener Hacker findet immer einen Angriffsweg. Ist er erfolgreich, kann das den Ruf des ganzen Unternehmens schädigen. Cybersicherheit spielt daher eine entscheidende Rolle für die Vertrauenswürdigkeit eines Produkts und ist von strategischer Bedeutung für die Geschäftsleitung. Risikomanagement muss auf Unternehmensebene durchgeführt und zum integralen Bestandteil der Markteinführungsstrategie werden. Vorausdenkende Automobilunternehmen schmieden Allianzen, um Cyberkriminellen die Stirn zu bieten und das digitale Vertrauen ihrer Kunden zu gewinnen. Wenn Cybersecurity zum gemeinsamen Ziel der Branche wird und OEMs, Zulieferer, Software-Dienstleister und politische Instanzen eng zusammenarbeiten, profitieren am Ende alle Akteure davon.
