Die Automobilindustrie durchläuft derzeit einen der größten technologischen Umbrüche. Das Aufkommen des autonomen Fahrens und die zunehmende Konnektivität verändern die Arbeitsweise von Autoherstellern, Automobilzulieferern und Lieferketten und schaffen neue, sich ständig weiterentwickelnde Geschäftsmodelle. Vernetzte Computersysteme in Autos bedeuten auch, dass mehr Daten gesammelt und verarbeitet werden, was das Risiko von Cyberangriffen erhöht.
Laut dem Global Automotive Cybersecurity Report 2021 von Upstream Security wurden im Jahr 2020 über 200 Cybervorfälle in der Automobilindustrie gemeldet. Als Reaktion auf diese wachsende Cyber-Bedrohungslandschaft hat die Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) Vorgaben veröffentlicht, die von den Herstellern den Nachweis eines zertifizierten Cybersecurity-Management-Systems (CSMS) und eines Software-Update-Management-Systems (SUMS) verlangen. Ab 2022 muss jedes neue Auto diese beiden Zertifizierungen haben, bevor es für den Straßenverkehr zugelassen wird, und die Erstausrüster (OEMs) dürfen Fahrzeuge ohne diese Zertifizierungen nicht mehr verkaufen.
Heute sind die Automobilhersteller in verschiedene Gruppen unterteilt, die sich jeweils auf die Herstellung verschiedener Fahrzeugteile konzentrieren. Damit Cybersicherheit effektiv ist, muss sie ein grundlegendes Merkmal jedes Produkts über den gesamten Lebenszyklus eines Fahrzeugs und der unterstützenden Systeme hinter den Herstellungs- und Geschäftsprozessen sein. Aus diesem Grund haben die Automobilhersteller damit begonnen, strenge Cybersecurity Anforderungen für alle Unternehmen einzuführen, die Teil ihrer Lieferkette werden wollen.
Die Bedeutung der Datensicherheit für Automobilzulieferer
Automobilunternehmen auf der ganzen Welt haben damit begonnen, ihre eigenen Cybersecurity Richtlinien und Compliance-Vorschriften einzuführen, um die Anforderungen an die Cybersicherheit zu gewährleisten. So hat beispielsweise der Verband der Automobilindustrie (VDA) in Deutschland ein Information Security Assessment (ISA) entwickelt, das auf den bestehenden internationalen Normen ISO/IEC 27001 und 27002 basiert. Alle Autoteilehersteller, OEMs, Partner und Unternehmen der Automobilzulieferkette, ob sie in Deutschland ansässig sind oder nicht, müssen sich einer TISAX-Bewertung (Trusted Information Security Assessment Exchange) unterziehen, um die Einhaltung des ISA nachzuweisen.
Die Zunahme von Datenschutzgesetzen auf der ganzen Welt hat auch dazu geführt, dass Autoteilehersteller die Einhaltung von Vorschriften wie der EU-Datenschutzgrundverordnung (DSGVO) und dem kalifornischen Verbraucherschutzgesetz (CCPA) sicherstellen müssen, um die personenbezogenen Daten zu schützen, die sie von Mitarbeitern und Kunden sammeln und verarbeiten.
Ein weiterer wichtiger Aspekt für Hersteller von Autoteilen ist die Sicherheit des geistigen Eigentums (IP), wie Produktdesigns, Quellcode, Patente und Blaupausen. Die Vertraulichkeit solcher Informationen ist für Unternehmen von entscheidender Bedeutung, um ihren Marktvorteil zu wahren und Partnern und Kunden zu vertrauen.
Schutz sensibler Daten vor internen Bedrohungen
Um sensible Daten wirksam zu schützen, müssen Automobilzulieferer verstehen, dass Sicherheitsbedrohungen nicht nur von außen kommen. Herkömmliche Cybersicherheitsstrategien neigen dazu, einen „Castle-and-Moat“-Ansatz zu verfolgen, der sich darauf konzentriert, Außenstehenden den Zugriff auf Daten innerhalb des Unternehmensnetzwerks zu verwehren. Dieser Ansatz kann zwar dazu beitragen, Daten vor potenziellen externen Bedrohungen zu schützen, geht aber nicht auf eine andere Ursache für Datenschutzverletzungen ein: Insider mit privilegiertem Zugriff auf sensible Daten.
Ob böswillig oder fahrlässig, die Mitarbeiter selbst stellen eines der größten Datensicherheitsrisiken für Unternehmen dar. Hersteller von Autoteilen müssen daher sicherstellen, dass sie sensible Daten wie personenbezogene Daten und geistiges Eigentum wirksam vor internen Bedrohungen schützen können, ohne die Produktivität der Mitarbeiter wesentlich zu beeinträchtigen.
Unternehmen können Data Loss Prevention (DLP)-Lösungen einsetzen, um sensible Daten direkt zu schützen. Mit vordefinierten Profilen für vertrauliche Daten und geistiges Eigentum, aber auch mit der Möglichkeit, eigene Definitionen zu erstellen, die den Anforderungen des Unternehmens entsprechen, können DLP-Tools die Bewegung vertraulicher Daten in Unternehmensnetzwerken identifizieren, überwachen und kontrollieren.
Mit DLP-Lösungen können Hersteller von Autoteilen verhindern, dass Dateien mit sensiblen Daten über unsichere Kanäle wie Messaging-Apps, persönliche E-Mail-Adressen oder Cloud- und File-Sharing-Dienste übertragen werden. Da Übertragungsversuche protokolliert und gemeldet werden, können Unternehmen potenzielle Datenlecks und Insider leicht identifizieren.
DLP-Lösungen wie Endpoint Protector können auch ganze Unternehmensnetzwerke nach lokal gespeicherten sensiblen Daten durchsuchen. Solche Praktiken wie lokales ablegen von sensiblen Dateien, können direkt gegen Datenschutzgesetze und Geheimhaltungsvereinbarungen mit Kunden verstoßen. Durch Scannen, Identifizieren und Anwenden von Abhilfemaßnahmen wie Löschen und Verschlüsseln können Hersteller sicherstellen, dass keine Dateien mit sensiblen Informationen an nicht autorisierten Orten gespeichert sind.
Begrenzung der Verwendung von Wechseldatenträgern
Ein weiterer gängiger Ausgangspunkt für Daten sind Wechseldatenträger. Insbesondere USB-Geräte sind leicht zu verlieren, zu vergessen oder zu stehlen, was sie zu einer der größten Schwachstellen für die Datensicherheit macht, die Unternehmen angehen müssen. Um diese Bedrohung zu entschärfen, können Automobilzulieferer USB-Blocker einsetzen, die die Verwendung von USB- und Peripherieanschlüssen unterbinden und so die Mitarbeiter an der Verwendung von Wechseldatenträgern hindern.
Die Blockierung der Nutzung von Wechseldatenträgern kann jedoch dazu führen, dass die Mitarbeiter ihre Aufgaben nicht mehr effizient erfüllen können. Hersteller von Autoteilen können DLP-Tools mit Gerätekontrollfunktionen verwenden, um die Verwendung von Wechseldatenträgern zu verwalten und auf die Benutzer zu beschränken, die sie für ihre täglichen Aufgaben benötigen oder die Zugriffsrechte auf sensible Daten haben. Administratoren können unterschiedliche Rechte auf der Grundlage von Gruppen, Abteilungen, Personen oder bestimmten Computern festlegen. Außerdem können sie die Verwendung von Wechseldatenträgern auf vertrauenswürdige, vom Unternehmen ausgegebene Geräte mit einem hohen Sicherheitsniveau beschränken.
Mithilfe der Gerätekontrollfunktionen können Hersteller außerdem leicht nachvollziehen, welcher Mitarbeiter wann und mit welchem Gerät sensible Daten kopiert. Auf diese Weise können Unternehmen potenzielle Austrittspunkte für sensible Daten und böswillige Insider, die Daten stehlen wollen, identifizieren.
Absicherung von Collaboration-Tools
Kollaborationstools werden von Mitarbeitern in der Automobilindustrie häufig genutzt, um ihre täglichen Aufgaben zu verfolgen, ihre Produktivität zu steigern und miteinander zu kommunizieren. Obwohl sie sich in der modernen Arbeitsumgebung als sehr nützliche Werkzeuge erwiesen haben, fördern sie auch den Austausch sensibler Daten, was ein Sicherheitsrisiko darstellen kann.
Unabhängig davon, ob sie von Unternehmen direkt über offizielle Kanäle eingeführt oder von Mitarbeitern unwissentlich genutzt werden, erfüllen Collaboration-Tools nicht immer die hohen Sicherheitsstandards, die im Netzwerk eines Autoteileherstellers erforderlich sind, und können dazu führen, dass Daten nach außen dringen oder unbefugten Parteien zugänglich gemacht werden. DLP-Lösungen können die Bewegung sensibler Daten über gängige Collaboration-Tools wie Microsoft Teams, Zoom, Slack und Skype kontrollieren und deren Nutzung und Übertragung einschränken.
