Wie alle Branchen hat auch die Automobilindustrie mit zunehmenden Cyberbedrohungen zu kämpfen. Sie ist sogar noch größeren Gefahren ausgesetzt als viele andere Bereiche. Denn kapert ein Angreifer aus der Ferne ein Fahrzeug und ist so in der Lage dieses zu steuern, kann das Auto sogar zur tödlichen Waffe werden. Zudem sind gerade deutsche Automobilhersteller aufgrund ihrer Vorreiterrolle immer wieder im Fokus von Industriespionage. Um sich zu schützen, müssen Unternehmen nicht nur umfassende Sicherheitslösungen und -prozesse implementieren, sondern diese auch dauerhaft von erfahrenen Security-Spezialisten, ob intern oder von extern, begleiten lassen.
Autoren: Philipp Zeh (Teamleiter IT-Security) und Michael Schweyer (Consultant IT-Security), beide bei Konica Minolta IT Solutions
Schon im Jahr 2015 zeigten Computerexperten, welche Auswirkungen es haben kann, wenn Angreifer remote Zugriff auf ein Fahrzeug erhalten. Damals gelangten die Forscher über das Infotainment-System eines Jeeps in das Auto und konnten so auch Steuersignale des Fahrzeugs – vom Radio über die Scheibenwischer bis hin zum Motor – beeinflussen. Ermöglicht wurde dies durch das Überschreiben der Firmware des Infotainment-Systems, wodurch die Forscher in der Lage waren Befehle an den sogenannten CAN-Bus, das Rechenzentrum eines Fahrzeugs, zu senden. Er verbindet die vielen elektronischen Steuergeräte innerhalb eines Autos miteinander, die heutzutage Einfluss auf nahezu alle mechanischen Komponenten haben. Eine wirkliche Gefahr bestand damals glücklicherweise nicht, denn die „Angreifer“ hatten keine bösen Absichten. Sie wollten der Autoindustrie lediglich aufzeigen, welche Gefahren die zunehmende Digitalisierung mit sich bringt, und dass deutlich mehr getan werden muss, um Fahrzeuge im digitalen Zeitalter ausreichend zu schützen. Dennoch – im Ernstfall könnten die Folgen einer solchen Fahrzeugübernahme fatal sein. Neben dem hohen finanziellen Schaden darf vor allem der damit verbundene Reputationsverlust nicht außer Acht gelassen werden, der im schlimmsten Fall sogar zum Konkurs eines Unternehmens führen kann.
Security oftmals noch stiefmütterlich behandelt
Mittlerweile sind Fahrzeuge längst Internet-of-Things (IoT)-Geräte. Daher müssen sich IT-Abteilungen neben den zunehmenden Cyberbedrohungen – von Ransomware über Schwachstellen in Software-Produkten und Social Engineering mit der Schwachstelle „Mensch“ oder Crime-as-a-Service – auch mit der Produktsicherheit auseinandersetzen. Um diese immer komplexer werdenden Anforderungen zu erfüllen, sind neben umfassenden Sicherheitslösungen auch Security-Experten notwendig, die mit den heutigen Cyberangriffen umgehen und entsprechende Gegenmaßnahmen einleiten können.
Und genau hier liegt oftmals die Krux. Denn in vielen Unternehmen wird das Thema Sicherheit stiefmütterlich behandelt. Die IT-Abteilung ist im Verhältnis zur Firmengröße deutlich zu klein. Dadurch fehlen den Mitarbeitern die Ressourcen, um sich – neben ihrer alltäglichen Arbeit – auch noch um die IT-Sicherheit zu kümmern. Es ist keine Seltenheit, dass dafür ein Mitarbeiter abgestellt wird, der das Thema Security mit abdecken muss, jedoch meist keinerlei Erfahrung darin hat. Ein dediziertes Security-Team gibt es nicht. Von definierten Incident Response Prozessen, die festschreiben wer, wie bei einem Angriff zu reagieren hat, ganz zu Schweigen. Die fehlende Security-Expertise bringt zudem mit sich, dass Organisationen nicht ausreichend in eine proaktive Erkennung investieren und teilweise nicht einmal Standard-Systeme wie Firewall, Antivirus-Lösung, Mail-Gateway und Proxy implementiert sind. So können Cyberattacken häufig über mehrere Monate laufen, bevor sie erkannt werden.
Fehlendes Know-how
Um sich ausreichend zu schützen, müssen Unternehmen in der Lage sein, auf Vorfälle zu reagieren. Neben dem Incident Response-Prozess sind auch die Sicherheits-Lösungen zu implementieren, mit denen Angriffe erkannt und abgewehrt werden können. Generell gilt: Je schneller Unternehmen die fünf W-Fragen (wer, was, wann, wo, wie) beantworten können, desto geringer halten sie den Schaden. Hierfür ist nicht nur der passive beziehungsweise reaktive Ansatz in Bezug auf die IT-Sicherheit zu wählen, sondern auch Lösungen, die eine proaktive Erkennung fördern, sollten zum Einsatz kommen. Unabdingbar ist zudem die dafür nötige Transparenz. Denn nur, wenn Unternehmen wissen, welche Bedrohungen es gibt und wie sie darauf reagieren müssen, können sie Gefahren eindämmen. So nutzt es nichts, zum Beispiel ein Security Information and Event Management (SIEM)-System zu implementieren, das die gesammelten Daten speichert sowie interpretiert und eine Datenanalyse nahezu in Echtzeit ermöglicht, wenn niemand in der Lage ist, das SIEM richtig zu bedienen. Zudem müssen ausreichend Ressourcen bereitgestellt werden, die das SIEM 24 x 7 überwachen, um möglichst viele Vorfälle auch zu erkennen und ihnen entgegenzuwirken.
Externe Hilfe von Spezialisten
Im Zusammenhang mit Cloud und IoT werden die Anforderungen hinsichtlich der IT-Security immer weiter zunehmen. Viele Unternehmen können diese selbst nicht stemmen, da ihnen entsprechende Ressourcen und die Erfahrung fehlen. Das gilt nicht nur für kleine und mittelständische Unternehmen, sondern auch für große Firmen. Im Rahmen von Managed Security Services gewährleisten externe Spezialisten wie Konica Minolta eine höhere Sicherheit für Unternehmen. Dabei sorgen dedizierte Teams für eine kontinuierliche Auditierung und Betreuung der Security Infrastruktur bei den Kunden, die im Bedarfsfall auch komplexe, forensische Untersuchungen durchführen können. Zudem implementieren sie Betriebskonzepte und unterstützen beim Betrieb der eingesetzten Sicherheitslösungen. Damit stellen sie sicher, dass sich Unternehmen um ihr Kerngeschäft kümmern können und der Security-Bereich dennoch optimal betreut wird.
Vier goldene Regeln für eine höhere Produktsicherheit in der Automobilindustrie
- Sicheres Design: Schon während der Entwicklungsphase muss auf die Security geachtet werden
- Sicherheitstests von unabhängigen Dritten/Dienstleistern durchführen lassen (Penetrationstests)
- Monitoring von internen Systemen, die wiederum zur Erkennung und Alarmierung führen
- Segmentierung der Architektur: Es muss sichergestellt sein, dass es nicht möglich ist, von einem System auf ein anderes zuzugreifen
Generell sollte die IT-Sicherheit anhand eines kontinuierlichen Kreislaufes verwaltet werden. Dieser umfasst die Vorsorge, die Abwehr, das Erkennen und die Reaktion auf Gefahren, wobei die Erkenntnisse daraus wieder in die Vorsorge fließen.