Datensicherheit als Achillesferse
Roadmap für die Entwicklung cybersicherer Fahrzeuge
Cybersicherheit in der Automobilindustrie ist kein Sprint, sondern ein Marathon, der eine durchdachte Strategie für den gesamten Lebenszyklus erfordert. Angesichts der dynamischen Bedrohungslandschaft ist es daher entscheidend, Sicherheitsmaßnahmen kontinuierlich anzupassen.
Das Auto hat sich vom einfachen Transportmittel zum mobilen IT-Zentrum mit permanenter Internetverbindung und Annehmlichkeiten wie Parkplatzbezahlung oder elektrischer Aufladung aus dem Fahrersitz heraus entwickelt. Die hierbei erfassten und gespeicherten Standort- und persönlichen Daten sowie notwendigen Schnittstellen stellen jedoch auch ein attraktives Ziel für Cyberkriminelle dar.
Die potenziellen Folgen für Fahrer, Hersteller und Flottenbetreiber reichen von Datenverlust über Fahrzeugdiebstahl bis hin zu gefährlichem Fahrzeugverhalten. Wie eine Kaspersky-Umfrage zeigt, sind sich IT-Entscheider aus Automobil-, Logistik- und Transportunternehmen in Deutschland dessen durchaus bewusst: Fast die Hälfte der Befragten (48 Prozent) hält Datensicherheit für das aktuell größte Cybersicherheitsrisiko; knapp ein Viertel (23 Prozent) sieht Vernetzung und Kommunikation (V2V/V2I) sowie Over-the-Air-Updates als größte Herausforderung bis 2026 [1].
Angesichts der zunehmenden Gefahren für Fahrzeuge hat die Arbeitsgruppe World Forum for Harmonization of Vehicle Regulations (WP.29) der Wirtschaftskommission für Europa (UNECE) einheitliche Regeln für eine verbesserte Cybersicherheit vernetzter Fahrzeuge in Europa erarbeitet. Seit Juli 2024 sind diese Vorschriften für alle neu produzierten Fahrzeuge in Deutschland verbindlich [2]. Trotz jahrelanger Vorbereitungszeit hatten laut Kaspersky-Studie im Januar 2024 jedoch 28 Prozent der Hersteller noch keine Vorbereitungen getroffen oder Pläne zur Umsetzung von WP.29 in ihrer Organisation erarbeitet [1].
Wie können Hersteller, Lieferketten und damit auch die Fahrzeuge selbst cybersicher werden?
1. Cybersicherheit in der IKT-Infrastruktur sicherstellen
Automobilhersteller sollten sicherstellen, dass ihre Informations- und Kommunikationstechnologie-Infrastruktur (IKT) vor Cyberangriffen geschützt ist, indem sie Sicherheitslösungen zum Schutz des Büronetzwerks und der Endgeräte einsetzen. Dieser Schritt sollte nicht übersprungen werden, denn es ist viel schwieriger, laufende Prozesse zu reparieren, als von Grund auf sichere Prozesse zu schaffen. Die spezifischen Sicherheitspraktiken, die ein Unternehmen zur Sicherung seiner IKT-Infrastruktur anwenden sollte, hängen vom Reifegrad und der Größe des Unternehmens ab. IKT-Sicherheit ist zudem keine einmalig abgeschlossene Aktion, sondern ein kontinuierlicher Prozess.
2. Ganzheitliches Cybersicherheitsmanagementsystem implementieren
Ein Cybersicherheitsmanagementsystem für die Fahrzeugentwicklung, -produktion und nachbereitung erfordert einen strukturierten Ansatz. Geschäftsentscheider sollten klare unternehmensweite Ziele definieren, um potenziellen Bedrohungen in diesen Bereichen wirksam zu begegnen. Dazu gehören nicht nur der Schutz der Unternehmensumgebung und -werte, sondern auch die Implementierung von Prozessen zur Identifizierung, Bewertung, Kategorisierung und Behandlung fahrzeugbezogener Cybersicherheitsrisiken, darunter:
- die kontinuierliche Überwachung der Cybersicherheit [3],
- effektive Reaktionsstrategien auf Vorfälle sowie
- spezielle Verfahren zur Prüfung der Cybersicherheit von Fahrzeugen und ihrer Komponenten.
Darüber hinaus sollte im Unternehmen eine Cybersicherheitskultur etabliert werden, die die Mitarbeiter – je nach Rolle – durch Schulungen und Security-Awareness-Trainings auf gängige Bedrohungen und Angriffe vorbereitet [4]. Phishing-Angriffe machten beispielweise im Jahr 2023 mit 54 Prozent den größten Anteil der Cyberangriffe auf die Automobilbranche aus [1].
3. Maßgeschneiderten Cybersicherheitsplan für Projekte entwickeln
Ein Cybersicherheitsplan umfasst die Planung und Umsetzung geeigneter Sicherheitsmaßnahmen innerhalb eines Automobilprojekts. Damit Cybersicherheit nicht isoliert betrachtet wird, integriert dieser Plan Cybersicherheit in den gesamten Entwicklungsprozess und definiert detailliert die erforderlichen Aktivitäten, deren Zusammenhänge, die zuständigen Mitarbeiter, Ressourcen, Kosten, Zeitpläne und Ergebnisse. Das Dokument kann Teil des Gesamtprojektplans sein oder darauf verweisen. Es dient der kontinuierlichen Überwachung und Sicherstellung der Cybersicherheit des Fahrzeugs und seiner Komponenten über dessen gesamten Lebenszyklus hinweg.
4. Unterstützende Infrastruktur und externe Dienstleister absichern
Die Cybersicherheit eines Fahrzeugs umfasst nicht nur das Fahrzeug selbst, sondern auch die unterstützende Infrastruktur wie Ladestationen (Vehicle-to-Grid), externe Dienste und Cloud-Umgebungen. Deshalb sollten die Sicherheitsanforderungen an diese externen Dienste klar definiert und in Verträgen festgehalten werden. Ist ein Dienstleister unverzichtbar und kann die geforderte Sicherheit nicht selbst abbilden, müssen zusätzliche Sicherheitsmaßnahmen durch den Fahrzeughersteller ergriffen werden, um die Gesamtsicherheit zu gewährleisten.
5. Cybersicherheit im Lebenszyklus von Fahrzeugen verankern
Cybersicherheit von der Konzeptphase bis zur Außerbetriebnahme eines Fahrzeugs sicherzustellen, ist eine komplexe und anspruchsvolle Aufgabe. Die Herausforderung besteht darin, Cybersicherheitsanforderungen zu formulieren, die alle wesentlichen Risiken abdecken, ohne die Projektprozesse zu überlasten. Dabei müssen nicht nur Risiken innerhalb des Fahrzeugs, sondern auch von Zulieferern, unterstützender Infrastruktur und externen Dienstleistungen berücksichtigt werden.
Strukturierte Cybersicherheits-Roadmap
Aufgrund der dynamischen Bedrohungslage ist es von höchster Bedeutung, Sicherheitsmaßnahmen kontinuierlich anzupassen. Entsprechende Investitionen sind langfristig kostengünstiger als der finanzielle und imagetechnische Schaden durch die Folgen eines erfolgreichen Cyberangriffs. Eine strukturierte Roadmap, die die Fähigkeiten des Herstellers berücksichtigt, ist dabei der Schlüssel für systematische und richtlinienkonforme Cybersicherheit in der Fahrzeugentwicklung.
Literatur
[1] https://go.kaspersky.com/Automotive-Report.html?utm_medium=pr&kaspr=automotive-report / Die Umfrage wurde von Arlington Research im Auftrag von Kaspersky im Januar 2024 durchgeführt. Dabei wurden insgesamt 200 IT-Entscheidungsträger aus Automobil-, Logistik- und Transportunternehmen in Deutschland zur Cybersicherheit in der Automobilbranche und in ihrer Lieferkette befragt.
[2] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:42021X0387
[3] Kaspersky Threat-Intelligence-Reporting für die Automobilindustrie: https://www.kaspersky.de/enterprise-security/transportation-security?redef=1&THRU&reseller=de_socmedia-miro_acq_ona_smm__onl_b2b_fbo_lnk_smteam______
[4] Kaspersky Security Awareness: https://www.kaspersky.de/enterprise-security/security-awareness
Jobangebote+ passend zum Thema
Der Autor
Waldemar Bergstreiser
wurde im Juli 2023 zum General Manager Central Europe von Kaspersky ernannt. In dieser Position ist er für die strategischen Vertriebs- und Marketingaktivitäten des Unternehmens in Deutschland, Österreich und der Schweiz verantwortlich. Zuvor verantwortete er seit Oktober 2022 als Head of B2B Germany die Unternehmensstrategie für mittelständische und große Unternehmen für Kaspersky in Deutschland. Ab 2016 leitete er den Vertriebsinnendienst des Cybersicherheitsanbieters, seit März 2020 als Head of Channel Germany.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Softwaredefinierte Fahrzeuge
Tests für mehr Cybersecurity
Umfangreiche Kooperation mit Ford
VW präsentiert neuen Bulli
Für Automobilanwendungen
Nexperia führt Kleinsignal-MOSFETs im DFN-Gehäuse ein
Ungesunde Luft im Auto
Üble Gerüche aus der Klimaanlage sind häufig – was tun?
Kontextbezogene Sicherheitswarnungen
UD Trucks nutzt Automotive-Cybersecurity-Lösung von VicOne
