Startseite > Automotive > Wirtschaft > Im Fokus von Cyberkriminellen

Gefährdete Automobilindustrie

Im Fokus von Cyberkriminellen

14. September 2021, 13:14 Uhr | Kathrin Veigel

Eine Studie belegt, dass die Autobranche ihre Entwicklungsdaten und Produktionsanlagen nicht ausreichend schützt und sich so leichtfertig der Gefahr von Cyberangriffen aussetzt.

Die Automobilindustrie ist stark von Ransomware-Angriffen bedroht, so das Ergebnis einer weltweiten Untersuchung, die CybelAngel bei führenden Automobilunternehmen durchführte. Die Analyse legt erschreckende Sicherheitsmängel innerhalb der Branche offen.

▶ Diesen Artikel anhören

Angesichts der immer lauter werdenden Diskussion um den Klimawandel, ist ein »Weiter so« für die Automobilindustrie nicht länger eine Option. Die Branche muss mit neuen Entwicklungen fit für die Zukunft werden. Je innovativer die neuen Konzepte, desto besser können die Autobauer sich im Mobility-Markt positionieren. Forschung und Entwicklung sowie die Produktionsanlagen geraten dadurch allerdings immer stärker in den Fokus von Cyber-Kriminellen.

Obwohl die Innovationen ihrer Entwickler für die Automobilbranche von immenser Bedeutung sind, ist die Sicherheitslage in vielen Unternehmen erschreckend. Daten, Entwicklungsunterlagen und Produktionsumgebungen sind nur unzureichend geschützt, wie die Untersuchung ergab, die CybelAngel bei international führenden Unternehmen der Branche durchführte.

Demnach sind rund 215.000 ungeschützte Zugangsdaten online verfügbar. Die Cyber-Bedrohungen richten sich zudem gegen 235.046 ungeschützte Anlagen und Hunderte von öffentlich zugänglichen Blaupausen von Motoren und Produktionsanlagen. Auf diese Weise gelangten bereits in der Vergangenheit Geschäftsgeheimnisse, personenbezogene Daten und andere hochsensible Informationen nach außen.

Auszüge aus den Studienergebnissen

Darüber hinaus wurden Sicherheitslücken in der gesamten Lieferkette der Automobilindustrie aufgedeckt. Die Analysten fanden im Rahmen ihrer Untersuchung vertrauliche Vereinbarungen, Baupläne sowie die Korrespondenz von Personalabteilungen, die ungeschützt zugänglich waren.

Die Studie ergab unter anderem Folgendes:

Bei einer Stichprobe unter 2,2 Millionen Mitarbeitern gab etwa jeder zehnte Mitarbeiter Anmeldedaten in öffentlich zugänglichen Umgebungen online preis.
Unternehmen aus den Vereinigten Staaten und Westeuropa waren am stärksten von offen zugänglichen Zugangsdaten betroffen. Diese Anmeldedaten stellen ein großes Risiko dar, da für 30 Prozent der Ransomware-Angriffe gestohlene, offengelegte oder wiederverwendete Anmeldedaten eingesetzt werden.
Die Analysten fanden 26.322 ungeschützte Anlagen mit offenen Ports oder Protokollen, die sofort geschlossen oder genau überwacht werden mussten.
Das bedeutendste Leck stammt von einer Industriedesignfirma, die für die neue Fabrik eines führenden US-Autokonzerns verantwortlich ist. Bei dem Leck handelt es sich offenbar um einen in China ansässigen Anbieter von Designdienstleistungen, der speziell für dieses Projekt beauftragt wurde. Die auf das Jahr 2020 datierten Dokumente umfassen rund 200 Seiten mit Plänen, in denen die Infrastruktur der Anlage und die Spezifikationen des Sicherheitssystems beschrieben sind.
Ein Hersteller legte in der Analyse mehrere Millionen Dateien in einem AWS S3-Bucket offen. Die Informationen umfassten geschäftliche Details, E-Mail-Austausch, Verträge, Rechnungen und technische Daten. Ein weiterer Autobauer verstieß gegen eine Geheimhaltungsvereinbarung (NDA): Er legte Dokumente über die Lieferung von Stahl und anderen Rohstoffen an seine Konkurrenten offen und setzte sich damit einem rechtlichen Risiko aus.

Risiken und ihre Folgen nicht unterschätzen

»Die Risiken, die von ungeschützten Daten ausgehen, können gar nicht hoch genug eingeschätzt werden. Neben Ransomware-Angriffen, Datenlecks, offengelegten Vermögenswerten und Zugangsdaten, besteht für Unternehmen die Gefahr des Diebstahls geistigen Eigentums. Hinzu kommen Datendiebstahl, Wirtschaftsspionage und Betrug«, erklärte Erwan Keraudy, CEO von CybelAngel. Bei der Preisgabe personenbezogener Daten von Mitarbeitern müssten Unternehmen zudem mit Geldstrafen in Millionenhöhe rechnen, wenn sie gegen Vorschriften wie die DSGVO verstoßen.

Geht es um vertrauliche Informationen, beispielsweise um Details eines Unternehmensverkaufs, könnte die Organisation, die die Daten weitergegeben hat, wegen Verstoßes gegen Geheimhaltungsvereinbarungen oder Datenschutzbestimmungen verklagt werden. Im schlimmsten Fall scheitert dann das gesamten Übernahmegeschäft.

»Der Automobilsektor ist für Hacker attraktiv, weil er lange, komplexe und vernetzte Lieferketten mit unterschiedlichen Cybersicherheitsniveaus und damit Schwachstellen aufweist«, so Erwan Keraudy. Die Branche habe in puncto Sicherheit einen erheblichen Nachholbedarf. Es sei notwendig, umgehend Maßnahmen zu ergreifen, um Daten zu sperren und Zugangsdaten zu schützen.