Zunehmende Cyberangriffe in der Automobilbranche
Auch die Automobilbranche digitalisiert sich – und damit werden auch die Angriffsflächen für Cyberangriffe größer. Autonomes Fahren und Connected Cars sind längst keine Fiktion mehr. Neben den Automobilen sind auch Produktionsstraßen direkt mit dem World Wide Web verbunden. Die Branche wächst, sie verändert sich radikal.
Digitalisierung bietet Angriffsflächen
Schöne neue Automobilwelt: Die Digitalisierung greift um sich, Autofahren wird einfacher und längst treiben sich autonom fahrende PKW, ja sogar Busse auf den Straßen herum. Das sind schöne Entwicklungen, die den Verkehr und das Thema Schadstoffe und Umwelt maßgeblich verändern werden. Doch auch diese positiven Veränderungen haben ihre Schattenseiten.
So konnten Forscher bereits aufzeigen, wie sich Schwachstellen in der Steuerungssoftware des Fahrzeugs auswirken können: Schadcode ließ sich infiltrieren, um sowohl die Bremsen als auch die Lenkung des Fahrzeugs zu beeinflussen.
Verschiedene Motivationen für Cyberangriffe
Es gibt verschiedene Motivationen für Cyberangriffe in der Automobilindustrie:
- Hacktivismus: Werden Cyberangriffe als Protestmittel genutzt, bezeichnet man dies als Hacktivismus. Im Bereich der Automobilindustrie ist diese Motivation eher selten zu finden.
- Spionage: Industriespionage ist ein weltweit sehr ernstzunehmendes Problem, das auch die Automobilbranche betrifft. Interessant sind vor allem die Forschungs- und Entwicklungsdaten verschiedener Automobilhersteller.
- Cybercrime: Meist steht eine finanzielle oder aber eine technische Motivation hinter Attacken, die schlicht auf Cybercrime aus sind. So werden Schwachstellen ausgenutzt, um etwa personenbezogene Daten oder auch Fahrzeuge zu erbeuten. Ein Sicherheitsrisiko für Fahrer kann sich ergeben, wenn Schwachstellen den Weg zur Kontrolle über das Fahrzeug freimachen. Darüber hinaus können Datendiebstahl sowie ein finanzieller Schaden mögliche Risiken sein. Auch Angriffe auf Zulieferer sind denkbar, um die Lieferkette zu unterbrechen.
Mögliche Angriffsszenarien auf die Automobilbranche
Staatlich unterstützte Hackergruppen aus verschiedenen Ländern sind in der Vergangenheit durch den Diebstahl von Forschungs- und Entwicklungsdaten im Besonderen oder von geistigem Eigentum im Allgemeinen aufgefallen. Auch operationelle Prozesse und Daten stehen im Fokus solcher Hackergruppen. Das Ziel ist klar: Man möchte sich die Wettbewerbsvorteile der Konkurrenz selbst zu Eigen machen.
In aller Regel sind Automobilkonzerne Großkonzerne mit einer mehr oder minder guten Verteidigungsstrategie. Die Zuliefererindustrie jedoch besteht oft aus kleinen und mittleren Unternehmen (KMU). Sie gelten für Cyberkriminelle als recht leichtes Ziel.
Industriespionage fügt einem Automobilkonzern eher langfristigen Schaden zu. Finanziell motivierte Hacker jedoch möchten den Geschäftsbetrieb beeinflussen und die Automobilproduktion gefährden. Erhebliche finanzielle Verluste ergeben sich für die Automobilbranche, wenn der Geschäftsbetrieb gestört ist, etwa durch Verzögerungen in der Produktion. Werden nun Zulieferer angegriffen, betreffen die Störungen meist auch nachfolgende Produktionsstationen. Letztlich lässt sich so der Betrieb einer kompletten Herstellerfabrik erfolgreich unterbrechen, wie bereits Angriffe mit der Ransomware Wannacry beeindruckend demonstriert haben.
Doch es gibt noch ein anderes, nicht zu unterschätzendes Einfallstor für Cyberkriminelle: Die Mitarbeiter. Oft nehmen finanziell motivierte Hacker diesen Weg. Man möchte beispielsweise an die Login-Informationen der Mitarbeiter kommen, um mit erbeuteten Daten Wertpapierbetrug begehen zu können. Über Social Engineering oder Phishing-Kampagnen kommen die kriminellen Akteure an die gewünschten Daten. Mit internem Wissen lassen sich die Wertpapierkurse beeinflussen.
Direkt-Angriffe auf Fahrzeuge
Es ist Sicherheitsexperten bereits gelungen, über Remote-Zugänge Autotüren zu entriegeln oder Alarmanlagen auszulösen. Man hätte sogar die Geschwindigkeit des Tempomaten beeinflussen können. Eine weitere Studie zeigte auf, wie autonom fahrende Autos durch entsprechende Manipulation ganze Städte lahmlegen können.
Es ist unwahrscheinlich, dass finanziell motivierte Hacker mehrere Fahrzeuge beispielsweise während des Berufsverkehrs manipulieren. Denkbarer wird das jedoch bei staatlichen Hackergruppen.
Gerade bei älteren Fahrzeugen sind die Schutzmechanismen vor Hackerangriffen unzureichend. Besonders die OBD2-Schnittstelle gilt als gefährliches Einfallstor: Seit Ende der 90er Jahre wurde sie in alle Fahrzeuge eingebaut. Es handelt sich um eine bewusst ungesicherte Schnittstelle zum Auslesen von Abgasdaten über ein Kabel in der Werkstatt. Nachträglich installierte smart dongles erlauben dieser Schnittstelle mittlerweile die Datenübertragung per SIM-Card oder WLAN. So kann man ein elektronisches Fahrtenbuch anlegen. Doch der Schutz der Dongles ist mehr als mangelhaft: Teilweise sind Dongles nicht mal passwortgeschützt.
Risiken minimieren: Diese Möglichkeiten gibt es
Es gibt diverse Standards und Möglichkeiten, die die Automobilbranche nutzen kann, um die Risiken von Cyberangriffen deutlich zu minimieren:
TISAX: Standard für Informationssicherheit in der Automobilindustrie
TISAX kürzt “Trusted Information Security Assessment Exchange” ab. Dabei handelt es sich um einen speziell für und von der Automobilindustrie definierten Standard für die Informationssicherheit der Branche. Mit diesem Standard soll sichergestellt werden, dass sämtliche Beteiligte der Wertschöpfungskette über ein etwa vergleichbares Niveau der IT-Sicherheit verfügen.
TISAX wurde unter dem Dach des VDA (Verband der Automobilindustrie) entwickelt. Unternehmensübergreifend dient TISAX der Anerkennung von Assessments in der Informationssicherheit – TISAX schafft also einen gemeinsamen Prüf- und Austausch-Standard. Unternehmensübergreifend bedeutet, dass sämtliche Beteiligten der Wertschöpfungs- und Lieferkette angesprochen werden.
Der VDA hat die ENX Association mit dem Betreiben von TISAX, also auch mit der Durchführung betraut. Akkreditierte Prüfdienstleister nehmen bei Dienstleistern und Lieferanten im dreijährigen Rhythmus die Prüfung vor.
Basis von TISAX bildet das vom VDA entwickelte Information Security Assessment (ISA). Dies ist ein Fragenkatalog auf der Grundlage des ISO 27001-Standards.
Mitarbeiter schulen
Mitarbeiter sind tatsächlich eines der größten Einfallstore für Hacker – nicht nur, aber auch in der Automobilbranche. Deshalb zählen Awareness-Maßnahmen für Mitarbeiter zu den wichtigsten Maßnahmen zur Informationssicherheit.
Mit unseren ISO/IEC 27001-Schulungen der PSW GROUP Training fördern Sie die Kompetenzen Ihrer Mitarbeiter immens: Diese Schulungen decken das notwendige Wissen rund um den TISAX-Standard hervorragend ab. Ihre Mitarbeiter aus der Automobilbranche können also Informationssicherheit in diesem Bereich erlernen – und zwar von zertifizierten Experten mit sehr guten Kenntnissen der Automobilbranche.