Cybersecurity Gastbeitrag: Drei Prognosen zur Automotive Cybersecurity im Jahr 2023

Ein Gastbeitrag von Ilona Simpson

Anbieter zum Thema

Ransomware, Phishing, vernetzte Autos: Die IT-Managerin Ilona Simpson vom Cybersecurity-Unternehmen Netskope beschreibt die Risiken für die Branche – und wie eine standardisierte IT-Sicherheit möglich ist.

Ilona Simpson ist CIO EMEA bei Netskope. In ihrem Gastbeitrag prognostiziert sie die drei wichtigsten Cybersecurity-Themen für das Jahr 2023.
Ilona Simpson ist CIO EMEA bei Netskope. In ihrem Gastbeitrag prognostiziert sie die drei wichtigsten Cybersecurity-Themen für das Jahr 2023.
(Bild: Netskope)

Die Automobilindustrie ist ein finanziell sehr lohnendes Ziel für Hacker. Um mit den immer ausgefeilteren Methoden der Cyberkriminellen mitzuhalten, müssen die Unternehmen im Bereich Cybersecurity nachrüsten. Aus der aktuellen Situation in der Branche lassen sich drei Prognosen für das Jahr 2023 ableiten:

  • Eine Reihe von OEMs und großen Tier-1-Zulieferern werden sich zu einer „Zero-Trust-Strategie“ verpflichten. Die Vorstände werden dabei voraussichtlich mehrjährige Programme genehmigen, welche die IT-, OT- und IoT-Sicherheit abdecken.
  • Ein besonderes Augenmerk wird in der Branche gelegt werden auf den Schutz von geistigem Eigentum und vertraulichen Informationen – von technischen Zeichnungen über Protokolle von Vorstandssitzungen und Beschlüssen bis hin zu Mitarbeiter- und Kundendaten.
  • Die Einhaltung der in Kürze erscheinenden ISO 24089 für die Fahrzeugsicherheit, die für eingebettete Software höchste Priorität hat, wird im Fokus der Unternehmen stehen.

Die Maßnahmen im Detail

Ransomware-Attacken der vergangenen Monate – beispielsweise bei Continental und Nio – zeigen, dass diese zu den derzeit größten Gefahren für die Datensicherheit in der Automobilbranche gehören. So sehen führende Analysten von Gartner Ransomware im Jahr 2023 als „unvermeidliche Bedrohung“, da die Kriminellen ihre Angriffe mit immer ausgefeilteren Techniken durchführen und Schutzstrategien dringend angepasst werden müssen.

Da die Angreifer es bei der Verbreitung von Ransomware primär auf finanziellen Gewinn abgesehen haben, nehmen sie meist Unternehmen ins Visier, die unter diesem Aspekt besonders lohnend erscheinen. Dieses sogenannte „Big Game Hunting“ trifft Hersteller und Zulieferer, wie der Fall Continental zeigt: Die Lockbit-Gruppe erbeutete im August 2022 mehr als 40 TB Daten, die im November 2022 für 50 Millionen US-Dollar im Darknet angeboten wurden.

Phishing und Datenlecks ermöglichen Zugang

Doch nicht nur Ransomware, auch Phishing ist für die Branche ein großes Risiko. Darüber hinaus nutzen die Kriminellen auch Datenlecks – wie etwa im Fall des Elektroautoherstellers Nio im Januar 2023 – oder DDoS-Attacken.

Angesichts des Fokus von Hackern auf Ransomware-Attacken müssen Hersteller und Zulieferer natürlich zunächst sich selbst vor Cyberangriffen schützen. Lange Zeit wurde diese Notwendigkeit in der Branche verkannt, da sich die Automobilindustrie traditionell auf Spionage als die größte Datenschutz-Bedrohung konzentrierte. Doch die jüngsten öffentlichkeitswirksamen Hackerangriffe tragen zu einer erhöhten Sensibilisierung auf Vorstandsebene bei.

Ein Mix aus Erkennungs- und Präventionsmaßnahmen

Daher ist im Jahr 2023 eine zunehmende Anzahl von externen Bewertungen zu erwarten, die von Vorständen und Aufsichtsräten initiiert werden. Etwa von Beratern, Security-Vendor-Spezialisten oder ähnliche. Außerdem eine Neustrukturierung der vorhandenen Portfolios an Cybersicherheitsprogrammen. Um mit dem technischen Hochrüsten der Kriminellen im Bereich Ransomware Schritt zu halten, sollten Unternehmen dabei neben dem Einsatz grundlegender Sicherheitstechniken und -prozesse auf einen Mix aus verschiedenen Erkennungs- und Präventionsmaßnahmen setzen und einen soliden Backup- beziehungsweise Wiederherstellungsprozess etablieren.

Zum anderen dürfte der Fokus auf der Sicherung der intelligenten Fabrik liegen. Dank Digitalisierung und Industrie 4.0 sind moderne Produktionsanlagen vielfach mit Sensoren ausgestattet und untereinander hochgradig vernetzt. Selbst wenn die Systeme bisher nicht in jedem Fall in die klassischen Unternehmens- oder Zulieferernetze eingebunden sind: Auch in der Produktion sind Schutzsysteme notwendig, die Hackerangriffe erkennen; und zum Thema Cybersicherheit geschulte Mitarbeiter.

Zero-Trust-Architektur

In diesem Zusammenhang ist bereits ein Umschwenken der Unternehmen zu beobachten: von einem Netzwerk-basierten Sicherheitskonzept hin zu einer Zero-Trust-Architektur. Diesem datenzentrierten Ansatz liegt die Idee zugrunde, dass niemand innerhalb und außerhalb des Unternehmens implizit vertrauenswürdig ist. Daher wird ein kontinuierliches Monitoring durchgeführt und nur Personen Zugriff auf Unternehmensressourcen gewährt, die vorher validiert wurden. Der sichere Zugang zu Netzwerken beispielsweise erfolgt hier über Zero Trust Network Access (ZTNA)-Konzepte.

Künftig wird eine sichere Zusammenarbeit innerhalb des Entwicklungs-Ökosystems der Automobilbranche immer wichtiger werden. Dies betrifft vor allem mit Entwicklungsaufgaben befasste Tochterunternehmen und Entwicklungsdienstleister. Aktuell liegt die Entwicklungstiefe in der Branche bei etwa 30 Prozent, mit steigendem Trend. Hierbei spielt eine entscheidende Rolle, dass der Softwareanteil im Fahrzeug immer weiter zunimmt. Daher verstehen sich die OEMs zunehmend als Softwareentwickler. In dem Maße, in dem dieses Selbstverständnis wächst, wird die Sicherheit der digitalen Lieferkette und der eingebetteten Software immer wichtiger.

Übergangszeit mit steigender Komplexität

Gleichzeitig müssen die Fahrzeuge selbst dringend geschützt werden, da ihre Konnektivität stetig zunimmt. Dies betrifft die „eingebettete“ Konnektivität, also beispielsweise Fahr- und Sicherheitsfunktionen, ebenso wie das Infotainment im Auto. Für vernetzte Autos ist heute mindestens das OTA-Update (Over The Air) gefordert. Es ist entscheidend, um die Fahrzeuge mit neuen Sicherheitsupdates zu versorgen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Festzuhalten bleibt jedoch auch, dass die Automobilindustrie bei der Einführung von Technik im Bereich Fahrzeug-Unterhaltungselektronik noch hinterherhinkt. Das führt zu einer nicht tragfähigen Mischung aus alter und neuer Technik – und trägt zu Komplexität und mangelnder Transparenz bei. Die Bewältigung dieses Problems aus Sicherheitsperspektive wird im Jahr 2023 immer dringlicher werden.

Fokus auf die ISO 24089

Die Automobilindustrie ist bereits stark reguliert, regelmäßig kommen neue Normen und Audit-Anforderungen hinzu. Zur Cybersicherheit gab es im Gegensatz zu anderen Branchen wie Energie und Telekommunikation jedoch lange keine Vorgaben. Mit den „UNECE WP.29“-Regularien für die Cyber Security von Fahrzeugen und Software Updates hat sich das geändert. OEMs in UNECE-Mitgliedsländern müssen nun nachweisen, dass sie über die gesamte Produktionskette hinweg über ein ausreichendes Cyber-Risikomanagement verfügen.

Das UNECE Automotive CSMS (Cybersecurity Management System) ist erst seit 2022 verpflichtend, doch schon jetzt steht die Veröffentlichung einer neuen Richtlinie bevor. Die ISO/AWI-Norm 24089 ist derzeit in der Genehmigungsphase. Sie soll dazu führen, Software im Auto und deren Updates mit einem einheitlicheren Ansatz zu verwalten.

Branchenexperten sehen sie als erste Norm, die für den kompletten Fahrzeuglebenszyklus genaue organisatorische, verfahrenstechnische und technische Anforderungen vorgibt. Zusammen mit den UNECE-Regularien ermöglicht sie es der Automobilindustrie, gemeinsame Cybersicherheitspraktiken umzusetzen und deren Einhaltung bewerten zu lassen, beispielsweise durch Zertifizierungsunternehmen. Für 2023 ist daher zu erwarten, dass die Automobilhersteller einen Fokus auf Compliance mit der ISO 24089 legen werden. (sp)

* Ilona Simpson ist CIO EMEA bei Netskope

(ID:49039088)