Automotive : Cyber-Sicherheit in der Automobilbranche
Wie viele andere Branchen wird auch der Automobilsektor von externen Faktoren beeinflusst. So sind nach wie vor die Auswirkungen der Corona-Pandemie in der Automobilbranche spürbar – überall, aber besonders in den Bereichen von Zulieferteilen, -produkten oder -dienstleistungen. Momentan jedoch ist die Lage vor allem durch den Angriffskrieg Russlands gegen die Ukraine geprägt und die damit verbundenen wirtschaftlichen und zunehmend auch Cyber-Sicherheitsrelevanten Auswirkungen auf die deutsche Automobilindustrie – eine Zwischenbilanz.
Von Marco Krambrich, Referat Nationales IT-Lagezentrum, Analysen und Prognosen, BSI
Cyber-Angriffe werden qualitativ immer ausgereifter und zielgerichteter. Ransomware-Angriffe sind aus Sicht des BSI weiterhin die größte operative Bedrohung der Cyber-Sicherheit – vor allem für die IT-Systeme der Automobilhersteller und ihrer Zulieferer. So hatte beispielsweise jüngst ein deutscher Autoteilezulieferer durch Ransomware mit massiven Produktionsausfällen in zahlreichen Werken zu kämpfen. Die Produktion konnte erst einen Monat später wieder weitgehend in den Normalbetrieb überführt werden.
Es kommt erschwerend hinzu, dass der russische Angriffskrieg gegen die Ukraine zunehmend durch Maßnahmen im Cyber-Raum begleitet wird, die auch Auswirkungen auf die deutsche Automobilindustrie haben und die Cyber-Sicherheit gefährden. Dazu gehören Distributed Denial-of-Service-(DDoS)-Angriffe mit dem Ziel, ganze Webseiten lahmzulegen, sowie intensive Aktivitäten sogenannter Hacktivisten.
In der im Herbst 2022 erschienenen zweiten Ausgabe des Branchenlagebilds „Automotive 2021/2022“ [1] präsentiert das BSI einen branchenspezifischen Überblick zur Lage der Cyber-Sicherheit in diesem Bereich und stellt Informationen zu Vorfällen und Schwachstellen zur Verfügung.
Fahrzeug und digitale Produkte
Die Digitalisierung bleibt neben der Elektromobilität ein bestimmendes Thema für die Automobilbranche. Die Cyber-Sicherheit der Fahrzeugsysteme ist dabei eine Schlüsseleigenschaft für eine erfolgreiche Umsetzung der Digitalisierung: Neu eingeführte Regelungen verpflichten die Hersteller, Cyber-Sicherheit in der Produktentwicklung zu berücksichtigen und ein Cyber-Sicherheits-Management aufzubauen, das im Fall neu auftretender Schwachstellen entsprechende Gegenmaßnahmen schnell ermöglicht.
Verschiedene Forschungsarbeiten haben die Anfälligkeit von Fahrzeugsystemen für Cyber-Attacken, die über eine Funkverbindung verfügen oder mit Hintergrundsystemen vernetzt sind, verdeutlicht. Dazu gehören
- der Ausfall von Infotainmentsystemen durch fehlerhafte Metadaten,
- das Öffnen von Fahrzeugen durch ungesicherte API-Token,
- Replay-Angriffe auf Schließsysteme sowie
- die Unterbrechung von Schnellladevorgängen.
Vernetztes Fahren
Die Entwicklung des automatisierten und autonomen Fahrens schreitet weiterhin stark voran, weil immer mehr Rechenleistung und immer größere Datenmengen zur Verfügung stehen, um Verfahren und Systeme mit künstlicher Intelligenz (KI) weiterzuentwickeln. Neben der Umsetzung neuer Funktionalitäten und steigender Performanz schafft die Nutzung von KI im automatisierten und autonomen Fahren jedoch auch neue Herausforderungen.
Produktionsanlagen und -Prozesse
Der Grad der IT-Vernetzung und Automatisierung wird in der Produktion besonders deutlich: In modernen Fertigungsstraßen ist eine Vielzahl von Komponenten miteinander verbunden – von Sensoren bis zu Fertigungsrobotern. Mit der zunehmenden IT-Vernetzung erhöht sich aber die Angriffsfläche, da diese Systeme auch mit dem Unternehmensnetzwerk sowie Dienstleister- und Partner-/Lieferantennetzwerken verbunden sein können und teilweise über das Internet erreichbar sein sollen.
Neben der allgemeinen Gefahr durch Ransomware-Angriffe tauchen immer wieder Beispiele für Schadsoftware auf, die speziell auf industrielle Steuerungsanlagen (Industrial Control-Systems, ICS) ausgerichtet ist. Diese verfolgen das Ziel, Informationen zu sammeln oder Manipulationen vorzunehmen. Die Automobilhersteller tragen eine aktive Verantwortung für den Schutz ihrer eigenen IT-Systeme und -Netze und benötigen dafür ein geeignetes Schwachstellenmanagement. Wer das nicht hat, geht enorme Risiken ein, denn Produktionsausfälle infolge eines Cyber-Angriffs können schnell existenzbedrohend werden. Gemäß dem Motto des diesjährigen 18. IT-Sicherheitskongresses muss Cyber-Sicherheit daher Chef:innen:sache sein und mit ausreichenden Ressourcen zum festen Bestandteil des eigenen Risiko-Managements gemacht werden.
Auch die Verbesserung der Softwarequalität ist ein wichtiger Beitrag zur Erhöhung der Cyber-Sicherheit. Eine besondere Herausforderung sind in dieser Hinsicht die komplexen Software-Lieferketten, die das Auffinden und Beheben von Schwachstellen erschweren können. Das BSI fordert daher eine zielgerichtete Umsetzung von Maßnahmen für eine bessere Softwarequalität in IT-Produkten. Dazu unterstützt das BSI aktiv Konzepte wie beispielsweise Software-Bills-of-Materials (SBOM) – also eine Auflistung aller Komponenten und Abhängigkeiten einer Software, um eine effiziente Überprüfung zu ermöglichen, ob eine bekannte Schwachstelle ein Produkt betrifft – und das „Common Security Advisory Framework“ (CSAF – ein maschinell verarbeitbares Format für Security-Advisories), um Coordinated Vulnerability-Disclosure-(CVD)-Prozesse zu optimieren. Letztere dienen dem Umgang mit Meldungen über Schwachstellen in IT-Produkten und ermöglichen es Sicherheitsforscher:inne:n, die Schwachstellen in IT-Produkten entdeckt haben, diese an eine zentrale Adresse zu melden und bei deren Behebung und der geeigneten Veröffentlichung von Patches zu unterstützen.
Maßnahmen und Aktivitäten des BSI
Um den für den Wirtschafts- und Automobilstandort Deutschland sehr wichtigen Bereich der Digitalisierung sicher zu gestalten und verlässliche Rahmenbedingungen für Investitionen und Innovationen zu schaffen, arbeiten das BSI und das Kraftfahrt-Bundesamt (KBA) in Fragen der Cyber-Sicherheit eng zusammen. Mit neuen Regeln für die Genehmigung von Fahrzeugen soll beispielsweise das Thema Cyber-Sicherheit über den gesamten Lebenszyklus eines Fahrzeugs fest verankert werden, um Risiken besser vorbeugen zu können. Der für den Transfer in die Anwendung erforderliche Austausch mit der Automobilindustrie wird dabei auch proaktiv durch das BSI und den Verband der deutschen Automobilindustrie (VDA) vorangetrieben.
Für mehr Sicherheit neuer Technologien wie KI, 5G oder Smart Home / Smart Factory gestaltet das BSI unter anderem praxisgerechte Sicherheitsanforderungen, Standards und Handlungsempfehlungen.
Neuregelungen für Unternehmen im besonderen öffentlichen Interesse (UBI) sollen zukünftig dabei helfen, ein breiteres Verständnis über die Cyber-Sicherheit dieser Unternehmen zu gewinnen, indem diese Informationen zu einschlägigen Zertifizierungen, Audits, IT-Störungen oder sonstigen Maßnahmen an das BSI übermitteln.
Die ganzheitliche Umsetzung dieser Aufgaben im Bereich „Automotive“ ist eine komplexe und vielfältige Herausforderung. Die Industrie bleibt hier gefordert, die Cyber-Sicherheit in allen Phasen und unternehmensübergreifend durch geeignete Entwicklungsprozesse zu gewährleisten.
Literatur
[1] BSI, Branchenlagebild Automotive, Cyber-Sicherheit in der Automobilbranche 2021/2022, September 2022, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Branchenlagebild/branchenlagebild-automotive-2021_2022.html