Auch die Automobilbranche digitalisiert sich – und damit werden auch die Angriffsfl\u00e4chen f\u00fcr Cyberangriffe gr\u00f6\u00dfer. Autonomes Fahren und Connected Cars sind l\u00e4ngst keine Fiktion mehr. Neben den Automobilen sind auch Produktionsstra\u00dfen direkt mit dem World Wide Web verbunden. Die Branche w\u00e4chst, sie ver\u00e4ndert sich radikal.<\/p>\n
Sch\u00f6ne neue Automobilwelt: Die Digitalisierung greift um sich, Autofahren wird einfacher und l\u00e4ngst treiben sich autonom fahrende PKW, ja sogar Busse auf den Stra\u00dfen herum. Das sind sch\u00f6ne Entwicklungen, die den Verkehr und das Thema Schadstoffe und Umwelt ma\u00dfgeblich ver\u00e4ndern werden. Doch auch diese positiven Ver\u00e4nderungen haben ihre Schattenseiten.<\/p>\n
So konnten Forscher bereits aufzeigen<\/a>, wie sich Schwachstellen in der Steuerungssoftware des Fahrzeugs auswirken k\u00f6nnen: Schadcode lie\u00df sich infiltrieren, um sowohl die Bremsen als auch die Lenkung des Fahrzeugs zu beeinflussen.<\/p>\n Es gibt verschiedene Motivationen f\u00fcr Cyberangriffe in der Automobilindustrie:<\/p>\n Staatlich unterst\u00fctzte Hackergruppen aus verschiedenen L\u00e4ndern sind in der Vergangenheit durch den Diebstahl von Forschungs- und Entwicklungsdaten im Besonderen oder von geistigem Eigentum im Allgemeinen aufgefallen. Auch operationelle Prozesse und Daten stehen im Fokus solcher Hackergruppen. Das Ziel ist klar: Man m\u00f6chte sich die Wettbewerbsvorteile der Konkurrenz selbst zu Eigen machen.<\/p>\n In aller Regel sind Automobilkonzerne Gro\u00dfkonzerne mit einer mehr oder minder guten Verteidigungsstrategie. Die Zuliefererindustrie jedoch besteht oft aus kleinen und mittleren Unternehmen (KMU). Sie gelten f\u00fcr Cyberkriminelle als recht leichtes Ziel.<\/p>\n Industriespionage f\u00fcgt einem Automobilkonzern eher langfristigen Schaden zu. Finanziell motivierte Hacker jedoch m\u00f6chten den Gesch\u00e4ftsbetrieb beeinflussen und die Automobilproduktion gef\u00e4hrden. Erhebliche finanzielle Verluste ergeben sich f\u00fcr die Automobilbranche, wenn der Gesch\u00e4ftsbetrieb gest\u00f6rt ist, etwa durch Verz\u00f6gerungen in der Produktion. Werden nun Zulieferer angegriffen, betreffen die St\u00f6rungen meist auch nachfolgende Produktionsstationen. Letztlich l\u00e4sst sich so der Betrieb einer kompletten Herstellerfabrik erfolgreich unterbrechen, wie bereits Angriffe mit der Ransomware Wannacry beeindruckend demonstriert haben.<\/p>\n Doch es gibt noch ein anderes, nicht zu untersch\u00e4tzendes Einfallstor f\u00fcr Cyberkriminelle: Die Mitarbeiter. Oft nehmen finanziell motivierte Hacker diesen Weg. Man m\u00f6chte beispielsweise an die Login-Informationen der Mitarbeiter kommen, um mit erbeuteten Daten Wertpapierbetrug begehen zu k\u00f6nnen. \u00dcber Social Engineering oder Phishing-Kampagnen kommen die kriminellen Akteure an die gew\u00fcnschten Daten. Mit internem Wissen lassen sich die Wertpapierkurse beeinflussen.<\/p>\n Es ist Sicherheitsexperten bereits gelungen<\/a>, \u00fcber Remote-Zug\u00e4nge Autot\u00fcren zu entriegeln oder Alarmanlagen auszul\u00f6sen. Man h\u00e4tte sogar die Geschwindigkeit des Tempomaten beeinflussen k\u00f6nnen. Eine weitere Studie<\/a> zeigte auf, wie autonom fahrende Autos durch entsprechende Manipulation ganze St\u00e4dte lahmlegen k\u00f6nnen.<\/p>\n Es ist unwahrscheinlich, dass finanziell motivierte Hacker mehrere Fahrzeuge beispielsweise w\u00e4hrend des Berufsverkehrs manipulieren. Denkbarer wird das jedoch bei staatlichen Hackergruppen.<\/p>\n Gerade bei \u00e4lteren Fahrzeugen sind die Schutzmechanismen vor Hackerangriffen unzureichend. Besonders die OBD2-Schnittstelle gilt als gef\u00e4hrliches Einfallstor: Seit Ende der 90er Jahre wurde sie in alle Fahrzeuge eingebaut. Es handelt sich um eine bewusst ungesicherte Schnittstelle zum Auslesen von Abgasdaten \u00fcber ein Kabel in der Werkstatt. Nachtr\u00e4glich installierte smart dongles erlauben dieser Schnittstelle mittlerweile die Daten\u00fcbertragung per SIM-Card oder WLAN. So kann man ein elektronisches Fahrtenbuch anlegen. Doch der Schutz der Dongles ist mehr als mangelhaft: Teilweise sind Dongles nicht mal passwortgesch\u00fctzt.<\/p>\n Es gibt diverse Standards und M\u00f6glichkeiten, die die Automobilbranche nutzen kann, um die Risiken von Cyberangriffen deutlich zu minimieren:<\/p>\n TISAX k\u00fcrzt \u201cTrusted Information Security Assessment Exchange\u201d ab. Dabei handelt es sich um einen speziell f\u00fcr und von der Automobilindustrie definierten Standard f\u00fcr die Informationssicherheit der Branche. Mit diesem Standard soll sichergestellt werden, dass s\u00e4mtliche Beteiligte der Wertsch\u00f6pfungskette \u00fcber ein etwa vergleichbares Niveau der IT-Sicherheit verf\u00fcgen.<\/p>\n TISAX wurde unter dem Dach des VDA (Verband der Automobilindustrie) entwickelt. Unternehmens\u00fcbergreifend dient TISAX der Anerkennung von Assessments in der Informationssicherheit – TISAX schafft also einen gemeinsamen Pr\u00fcf- und Austausch-Standard. Unternehmens\u00fcbergreifend bedeutet, dass s\u00e4mtliche Beteiligten der Wertsch\u00f6pfungs- und Lieferkette angesprochen werden.<\/p>\n Der VDA hat die ENX Association<\/a> mit dem Betreiben von TISAX, also auch mit der Durchf\u00fchrung betraut. Akkreditierte Pr\u00fcfdienstleister nehmen bei Dienstleistern und Lieferanten im dreij\u00e4hrigen Rhythmus die Pr\u00fcfung vor.<\/p>\n Basis von TISAX bildet das vom VDA entwickelte Information Security Assessment (ISA). Dies ist ein Fragenkatalog auf der Grundlage des ISO 27001-Standards<\/a>.<\/p>\n Mitarbeiter sind tats\u00e4chlich eines der gr\u00f6\u00dften Einfallstore f\u00fcr Hacker – nicht nur, aber auch in der Automobilbranche. Deshalb z\u00e4hlen Awareness-Ma\u00dfnahmen f\u00fcr Mitarbeiter zu den wichtigsten Ma\u00dfnahmen zur Informationssicherheit.<\/p>\nVerschiedene Motivationen f\u00fcr Cyberangriffe<\/h2>\n
\n
M\u00f6gliche Angriffsszenarien auf die Automobilbranche<\/h2>\n
Direkt-Angriffe auf Fahrzeuge<\/h2>\n
Risiken minimieren: Diese M\u00f6glichkeiten gibt es<\/h2>\n
TISAX: Standard f\u00fcr Informationssicherheit in der Automobilindustrie<\/h3>\n
Mitarbeiter schulen<\/h3>\n