Anzeige

Quelle: CYMOTIVE Technologies

Je vernetzter und autonomer Fahrzeuge sind, umso höher ist das Risiko für Cyberangriffe. Security muss daher zur Chefsache werden. Doch eine Capgemini-Studie von 2021 zeigt: Bisher fühlen sich erst zehn Prozent der Autobauer gut auf die Bedrohungen vorbereitet. Es gibt also noch viel zu tun.

Die Automobilindustrie befindet sich im Wandel – nicht nur hin zur Elektromobilität und zum autonomen Fahren, sondern auch zu mehr Software-Zentriertheit. Immer mehr Fahrzeuge enthalten Embedded-Software, um interne Vorgänge zu erfassen und mit der äußeren Umgebung zu interagieren. Durch die Digitalisierung tun sich zudem für Autobauer neue Geschäftsmodelle auf. Software und digitale Services werden in Zukunft immer wichtiger, um auch im Aftersales Geld zu verdienen und sinkende Verkaufszahlen zu kompensieren. So prognostiziert das Marktforschungsunternehmen Capgemini, dass sich der Anteil der OEM-Einnahmen aus softwarebasierten Funktionen und Diensten in den nächsten zehn Jahren von acht Prozent auf 22 Prozent fast verdreifachen wird. Mit dem zunehmenden Software-Anteil in Fahrzeugen werden in rasantem Tempo neue Schwachstellen auftauchen, die ein hohes Risiko für die Sicherheit und die Privatsphäre der Verbraucher darstellen. Dabei ist jedes vernetzte Element im Smart-Mobility-Ökosystem ein potenzielles Einfallstor für Hacker.

EU-Richtlinie schreibt Cybersecurity vor

Während die Angriffsfläche kontinuierlich wächst, stehen Erstausrüster (OEMs) und Zulieferer vor der Herausforderung, ihre Produkte und Flotten richtig abzusichern. Auch der Gesetzgeber fordert dies künftig. Laut der EU-Richtlinie WP.29 TF-CS/OTA dürfen ab 2022 nur noch Fahrzeugtypen zugelassen werden, wenn der Hersteller ein zertifiziertes Cybersecurity-Managementsystem (CSMS) nachweisen kann. Die erforderlichen Maßnahmen umfassen vier Bereiche: Cyber-Risikomanagement für Fahrzeuge, Security by Design während der Entwicklung entlang der gesamten Wertschöpfungskette, Intrusion Detection für die komplette Flotte sowie die Möglichkeit, Software-Sicherheitslücken auch nach dem Verkauf des Fahrzeugs Over-the-Air zu schließen. Dazu kommen die Anforderungen der DSGVO zum Schutz von personenbezogenen Daten. 

Aber können OEMs diese Anforderungen bereits erfüllen? Die Capgemini-Studie zeigt ernüchternde Ergebnisse: Nur zehn Prozent der befragten Automobilhersteller glauben, dass sie gut auf die Umsetzung verschiedener Cybersicherheitsmaßnahmen vorbereitet sind. Im Bereich Security-by-Design sehen sich erst sechs Prozent gut aufgestellt, bei der Bedrohungserkennung und Eindämmung sind es acht Prozent und bei OTA-Software-Updates neun Prozent. Noch schlechter sieht es im Hinblick auf die Datenschutz-Grundversordnung (DSGVO) aus: Hier sehen sich lediglich vier Prozent der Fahrzeughersteller gut vorbereitet. 

Ende-zu-Ende-Sicherheit umsetzen

Es gibt also noch viel zu tun, doch dabei steht die Branche vor großen Herausforderungen. Das fängt damit an, dass Automobilhersteller Sicherheit neu denken müssen. Traditionell herrschen hier Prozesse aus der Safety vor, also der funktionalen Sicherheit. Diese lassen sich aber nicht eins zu eins auf die Security übertragen. Auch die Vielzahl der Personen, die an einer Fahrzeugentwicklung beteiligt sind, sowie die vielen verschiedenen Software-Quellen erschweren es, für einheitliche Sicherheitsstandards zu sorgen. Ein spezialisierter Dienstleister kann helfen, Hürden zu überwinden und ein Security by Design-Konzept umzusetzen. Dabei empfiehlt es sich, nach agilen Methoden oder dem in der Software-Entwicklung bekannten V-Modell vorzugehen: Jede Entwicklungsphase ist einer entsprechenden Test- und Validierungsphase zugeordnet, wobei der Prozess aus vielen Rückkopplungsschleifen besteht. Am Anfang steht stets eine Risikoanalyse, auf deren Basis das Security-Team die passende Sicherheitsarchitektur entwickelt. Die Spezifikationen werden anschließend einem technischen Review unterzogen, umgesetzt und durch kontinuierliches Testen validiert. Dabei ist es wichtig, eine Außensicht einzunehmen und aus der Perspektive der Angreifer vorzugehen. Security by Design betrifft sowohl die Hardware-, Software- und Datenintegrität als auch die Authentifizierung der Geräte und ihrer Dienste sowie die Kommunikationssicherheit. 

Nachdem das Auto auf der Straße ist, muss die Absicherung weitergehen – und zwar über den gesamten Lebenszyklus hinweg und unter Berücksichtigung des gesamten vernetzten Ökosystems. Dies umfasst neben dem Fahrzeug und dem Backend des Herstellers zum Beispiel auch die Services von Drittanbietern oder die Ladeinfrastruktur bei der Elektromobilität. Um für Schutz zu sorgen, benötigen Automobilhersteller spezialisierte Lösungen für Schwachstellenmanagement und für automatisiertes Incident Monitoring, Detection & Response. Letzteres muss tief in die Fahrzeugtechnik integriert werden und in der Lage sein, Bedrohungsinformationen der Endpunkt- und Netzwerkagenten in Echtzeit an das Hersteller-Backend zu übermitteln. Dort sind Cybersecurity-Analysten erforderlich, die die Alerts des Systems auswerten, untersuchen und Gegenmaßnahmen einleiten. 

Allianzen für Cybersicherheit schmieden

Die Smart-Mobility-Domäne abzusichern, ist eine große Herausforderung, die niemand im Alleingang bewältigen kann. Denn die Angriffsfläche wächst kontinuierlich. Auch wenn Automobilhersteller erheblich in Cybersecurity investieren, werden sie weiterhin an vielen Fronten verwundbar sein. Ein geschickter und entschlossener Hacker findet immer einen Angriffsweg. Ist er erfolgreich, kann das den Ruf des ganzen Unternehmens schädigen. Cybersicherheit spielt daher eine entscheidende Rolle für die Vertrauenswürdigkeit eines Produkts und ist von strategischer Bedeutung für die Geschäftsleitung. Risikomanagement muss auf Unternehmensebene durchgeführt und zum integralen Bestandteil der Markteinführungsstrategie werden. Vorausdenkende Automobilunternehmen schmieden Allianzen, um Cyberkriminellen die Stirn zu bieten und das digitale Vertrauen ihrer Kunden zu gewinnen. Wenn Cybersecurity zum gemeinsamen Ziel der Branche wird und OEMs, Zulieferer, Software-Dienstleister und politische Instanzen eng zusammenarbeiten, profitieren am Ende alle Akteure davon. 

Dr. Tamir Bechor, Co-Founder
Dr. Tamir Bechor
Co-Founder, CYMOTIVE Technologies

Artikel zu diesem Thema

Automotive Software
Okt 29, 2021

Software: Proaktive Anomalie-Erkennung in der Automobilbranche entscheidend

Durch die Umfrage wollte man herausfinden, wie es um das Software-Qualitätsmanagement in…
Automotive Software
Sep 11, 2021

Softwaregetriebene Transformation für Automobilhersteller

Automobilhersteller, die das volle Potenzial von Software ausschöpfen, werden einen…
hacker auto
Feb 25, 2020

Wer kappt bei einem Hacker-Angriff die Internetverbindungen?

Die Angriffe auf vernetzte Fahrzeuge haben spürbar zugenommen, immer mehr Schnittstellen…

Weitere Artikel

Cyber Security

Was steht der Cybersicherheit im Jahr 2022 bevor?

2021 war ein Jahr, in dem sich die Ereignisse überschlugen. Die Pandemie führte zu mehr Spaltung, mehr Isolation und einem allgemeinen Unsicherheitsgefühl in vielen Lebensbereichen. In der Cybersicherheit gab es einen starken Anstieg der Zahl der…
Security

Der 10-Punkte-Plan für den Cyber-Ernstfall

Ein Incident-Response-Plan kann Unternehmen helfen, bei einer Cyberattacke die Kontrolle über die Situation zu bewahren. Sophos Labs sowie die Sophos Managed-Response- und Rapid-Response-Teams haben hierfür einen Ratgeber mit zehn entscheidenden Schritten…
Cyber Security

Start-ups & Security: Risiken und Gefahren zum Website Launch

Wer heutzutage ein Start-up gründet, hat zunächst alle Hände voll zu tun. Was dabei allerdings gerne vergessen wird, ist das Thema Sicherheit im Zusammenhang mit der eigenen Website. Und das kann fatale Folgen haben.
KRITIS

Die Energiewende als Herausforderungen für die Cybersicherheit

Die Energiewende ist in vollem Gange. Doch dabei sollte die Cybersicherheit nicht zu kurz kommen. Denn die neue Technologie bringt auch neue Angriffsvektoren mit sich.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.