In den letzten Jahren waren vernetzte Autos, Elektrofahrzeuge und Automatisierung die drei wichtigsten Innovationstreiber in der Automobilindustrie. Diese Sprünge nach vorn, die auf der Digitalisierung der fahrzeuginternen Systeme beruhen, haben durch die Einführung von Software und Konnektivität in die IT-Systeme von Fahrzeugen die Tür für Cyberbedrohungen geöffnet.
Laut dem 2020 Automotive Cybersecurity Report von Upstream Security ist die Zahl der jährlichen Cybersecurity-Vorfälle in der Automobilindustrie seit 2016 um erstaunliche 605 % gestiegen. Mehr als die Hälfte dieser Cyberangriffe wurden von Hackern aus der Ferne durchgeführt, mit dem Ziel, Unternehmen zu schaden, Eigentum zu stehlen und Lösegeld zu fordern. Zu den beliebtesten Angriffsvektoren gehörten schlüssellose Zugangssysteme, Backend-Server und mobile Apps.
Das Weltforum für die Harmonisierung von Fahrzeugregelungen (WP.29), eine Arbeitsgruppe der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE), hat die Notwendigkeit von Cybersicherheitsstandards für vernetzte, digitalisierte und autonome Fahrzeuge erkannt und neue Vorschriften erlassen, um diesen wachsenden Risiken zu begegnen. Die UN-Regelung Nr. 155 über Cybersicherheit und Cybersicherheitsmanagementsysteme ist die erste internationale Regelung für die Cybersicherheit moderner Fahrzeuge. Sie sieht unter anderem vor, dass Automobilhersteller verpflichtet sind, Risikobewertungen für die Cybersicherheit von Fahrzeugen durchzuführen und Sicherheitsvorfälle zu überwachen und zu melden.
Mit der UN-Regelung Nr. 156 über Software-Updates und Software-Update-Management-Systeme wurde eine Reihe von Standards für Software-Updates, einschließlich Over-the-Air-Updates, eingeführt, um Cybersicherheitsrisiken zu mindern. Diese beiden bahnbrechenden UN-Fahrzeugregelungen wurden im Juni 2020 beschlossen, traten am 22. Januar 2021 in Kraft und gelten in den 54 Ländern, die dem Übereinkommen von 1958 beigetreten sind.
Interne Datensicherheit
Vernetzte Fahrzeuge sind jedoch nicht die einzigen Schwachstellen, mit denen die Automobilindustrie konfrontiert ist. Es handelt sich auch um große Unternehmen mit komplexen IT-Infrastrukturen und globalen Lieferketten. Sie sammeln große Mengen sensibler Daten von Kunden, Partnern und Mitarbeitern und verarbeiten oft Zahlungsinformationen in großem Umfang. Innovation bedeutet auch das Vorhandensein von Patenten und geistigem Eigentum (IP), dessen Schutz für den Erfolg eines Automobilherstellers von größter Bedeutung ist.
Persönlich identifizierbare Informationen (PII) werden durch Datenschutzgesetze wie die Allgemeine Datenschutzgrundverordnung (DSGVO) der EU und den California Consumer Privacy Act (CCPA) geschützt, während der Payment Card Industry Data Security Standard (PCI DSS) den Schutz von Zahlungssystemen vor Verstößen, Betrug und Diebstahl von Karteninhaberdaten durchsetzt.
In Ländern wie Deutschland nahmen die Automobilhersteller die Sache selbst in die Hand: Der Verband der Automobilindustrie (VDA) entwickelte eine Informationssicherheitsbewertung (ISA), die hauptsächlich auf den bestehenden internationalen Normen ISO/IEC 27001 und 27002 basiert. Der VDA gründete daraufhin den Trusted Information Security Assessment Exchange (TISAX), der als Bewertungs- und Austauschmechanismus fungieren soll, über den Unternehmen Prüfungen zur Einhaltung der ISA einreichen können.
Diese Gesetze und Normen schreiben den Fahrzeugherstellern und den Unternehmen, die mit ihnen zusammenarbeiten wollen, mehrere bewährte Verfahren für die Cybersicherheit vor. Die Nichteinhaltung von Gesetzen wie GDPR und CCPA kann massive finanzielle Strafen nach sich ziehen, im Falle von PCI DSS die Unfähigkeit, Kredit- oder Debitkartenzahlungen zu akzeptieren, und im Falle der Nichtvorlage einer gültigen TISAX-Bewertung den Verlust von Geschäftsverträgen.
Schutz sensibler Daten
Um diese Anforderungen zu erfüllen und sowohl persönliche Daten als auch sensible Unternehmensinformationen zu schützen, können Automobilhersteller auf Cybersecurity-Lösungen zurückgreifen. Um Ransomware- und Malware-Angriffe zu verhindern, können Fahrzeughersteller sowohl grundlegende Sicherheitsmaßnahmen wie den Einsatz von Firewalls und Anti-Malware-Lösungen als auch fortschrittlichere Strategien wie die Verwendung von Trusted Platform Module (TPM)-Funktionen und die Einführung einer Zero-Trust-Architektur umsetzen.
Böswillige Außenseiter sind jedoch nicht das einzige Problem. Die Automobilindustrie muss sich auch vor Insidern in Acht nehmen. Vor allem wenn es um geistiges Eigentum und sensible Geschäftsinformationen geht, sind Automobilunternehmen anfällig für Datendiebstahl und Unternehmensspionage durch Insider. Vor allem Wechseldatenträger sind seit langem ein Problem, mit dem sich die Fahrzeughersteller schwer tun. Durch kleine Geräte wie USBs können Daten selbst von Computern, die sich in gesicherten Umgebungen und Offline-Maschinen befinden, leicht exfiltriert werden.
Eine einfache Möglichkeit, dieses Problem zu lösen, ist der Einsatz von Data Loss Prevention (DLP)-Lösungen mit Gerätekontrollmodulen. Mit ihnen können Automobilhersteller die Nutzung von Peripheriegeräten, USB-Anschlüssen und Bluetooth-Verbindungen überwachen, kontrollieren und blockieren. Durch die benutzerbasierte Autorisierung von Wechseldatenträgern können sie feststellen, welcher Mitarbeiter zu welchem Zeitpunkt einen Wechseldatenträger benutzt hat.
DLP hilft auch dabei, sensible Daten daran zu hindern, das Unternehmensnetzwerk zu verlassen. Durch vordefinierte Profile für Vorschriften wie GDPR oder CCPA oder Standards wie PCI DSS, aber auch für verschiedene Kategorien von geistigem Eigentum wie Patente, Blaupausen oder proprietäre Algorithmen, können Automobilunternehmen Richtlinien auf Datenebene anwenden und so sicherstellen, dass Dateien mit sensiblen Daten nicht übertragen werden können und jeder Versuch, sie zu verschieben, protokolliert und gemeldet wird. Durch Gerätekontrolle und DLP-Richtlinien für Datenübertragungen können Unternehmen in der Automobilindustrie so potenzielle böswillige Insider identifizieren, die versuchen, Daten zu stehlen, und dies in Echtzeit verhindern.
Absicherung aller Betriebssysteme
In der Automobilindustrie werden häufig Netzwerke mit mehreren Betriebssystemen betrieben. Linux ist das bevorzugte Betriebssystem für gesicherte Umgebungen. Es ist zwar widerstandsfähiger gegen Bedrohungen von außen als Windows, aber genauso anfällig für Insider-Bedrohungen, sei es durch böswillige oder unvorsichtige Mitarbeiter. Das Gleiche gilt für macOS, das in letzter Zeit in den Unternehmen immer mehr an Bedeutung gewinnt.
Unternehmen der Automobilindustrie sollten daher nach geeigneten Lösungen suchen, die für Linux und macOS die gleichen Datenschutzfunktionen bieten wie für Windows. Plattformübergreifende Lösungen wie Endpoint Protector, die auf alle drei Betriebssysteme angewendet werden können, sind zwar selten, aber durchaus vorhanden. Solche Tools erleichtern die unternehmensweite Implementierung und ermöglichen es Administratoren, Datenschutzrichtlinien für alle Endgeräte über eine einzige Schnittstelle zu steuern.
Fahrzeughersteller und alle Unternehmen, die zu ihrer Lieferkette gehören, verarbeiten nicht nur persönliche und finanzielle Informationen, sondern auch sensible Daten über ihre Prototypen, Patente und Schaltpläne. Der Verlust dieser Daten kann schwerwiegende Auswirkungen auf den Wettbewerbsvorteil eines Unternehmens haben, weshalb Unternehmen alles in ihrer Macht Stehende tun müssen, um sie vor Bedrohungen durch Insider und Außenstehende zu schützen.
