Auto IT Security

IT- und Informationssicherheit in der Automobilbranche

Vernetzte Autos, vernetzte Produktionswege, vernetzte Lieferketten. Wenn Daten und Informationen über digitale Wege ausgetauscht werden, birgt das immer auch ein Risiko für Cyberangriffe. Gerade bei sensiblen Projekten wie in der Automobilindustrie hat die Cybersicherheit daher höchste Priorität.



Zunehmende Cyberangriffe auf die Automobilindustrie in Deutschland

Mit der zunehmenden Vernetzung ist das Risiko für Cyberangriffe auf die Automobilindustrie stetig mit angestiegen. Die Studie „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie“ des deutschen Digitalverbands Bitkom hält fest: 68 Prozent der befragten Unternehmen im Automobilbau waren zwischen 2016 und 2018 von Datendiebstahl, Industriespionage oder Sabotage betroffen. Weitere 22 Prozent vermuteten, ebenfalls betroffen zu sein.

Das zeigt, wie stark die Automobilbranche im Fokus von Cyberkriminellen ist – denn diese Zahlen werden in dem Bericht nur von der Chemie- und Pharmaindustrie übertroffen. Die Automobilbranche ist ein lohnender Zweig für Cyberkriminelle. Und Cyberangriffe können weitreichende Folgen für die Betroffenen haben: Von juristischen Konsequenzen über Vertrauensverlust und Imageschaden bei Kunden oder Lieferanten bis hin zum Verlust von Wettbewerbsvorteilen sowie hohem wirtschaftlichen Schaden. 



Spionage, Sabotage, Diebstahl: Verschiedene Motive für Cyberangriffe

Cyberangriffe können dabei verschiedene Ziele verfolgen und sehr unterschiedlich vorgehen. Breit angelegte Kampagnen und Angriffe auf ganze Netzwerke sind ebenso möglich wie sehr gezielte und individualisierte Angriffe auf einzelne Unternehmen oder gar bestimmte Personen in Unternehmen. Letztere Methode ist unter dem Begriff „Spear Phishing“ bekannt, wo die Betrugsversuche dem üblichen „Phishing“-Schema folgen, dabei aber nicht willkürlich Daten abgreifen, sondern auf bestimmte Unternehmen und Personen abzielen.

Diese Methoden des „Social Engineering” dienen häufig als Einfallstor für die beabsichtigten Maßnahmen. Ist der Zugriff einmal erlangt, kann er zu verschiedenen Zwecken genutzt werden – je nachdem, was mit dem Angriff erreicht werden soll. Die Spionage bzw. Informationsgewinnung, Lösegelderpressungen durch Blockieren des Zugriffs auf bestimmte Systeme oder die Sabotage von Netzwerken und Systemen mithilfe einer Schadsoftware sind dabei die verbreitetsten Motive für Cyberangriffe.



Herausforderungen der Cybersicherheit in der Automobilbranche

IT- und Informationssicherheit in der Automobilbranche betreffen zum einen die Fahrzeuge selbst: In Deutschland verfügten im Jahr 2019 etwa 19 Prozent der verkauften Neuwagen über einen Internetzugang (Quelle: Statista). Und der IT-Marktforscher Gartner prognostizierte vor fünf Jahren, dass bis Ende 2020 eine viertel Milliarde vernetzter Fahrzeuge auf den Straßen unterwegs sein würden. Diese Vernetzung der Fahrzeuge macht sie zu möglichen Angriffszielen für Hacker.

Doch nicht nur die Autos selbst sind betroffen – der Gesamtprozess der Produktion und Logistik findet zu großen Teilen außerhalb der unternehmenseigenen Systeme statt. Lieferanten und Dienstleister, aber auch Service-Provider in Clouds erhalten und bearbeiten Informationen. Ohne den externen Zugriff funktionieren die Netzwerke heutzutage nicht mehr. Zwischen Zulieferern und OEMs findet entlang der Lieferkette ein ständiger Austausch von sensiblen Informationen und Daten statt.

Das stellt in Bezug auf die IT- und Informationssicherheit vielfältige Herausforderungen: Vernetzte und autonome Fahrzeuge müssen ebenso gesichert werden wie die digitale Kommunikation zwischen OEMs und Zulieferern, cloudbasierte Dienste oder mobile Arbeitsplätze.



Wirksamer Schutz muss ganzheitlich umgesetzt werden

Um die verschiedenen potenziellen Angriffsflächen in diesem Netzwerk zu sichern, braucht es einen ganzheitlichen Ansatz. Denn nicht nur die vernetzten Autos selbst müssen durch Schutztechnologien vor unbefugtem Zugriff gesichert werden – von der Systementwicklung über die gesamte automobile Liefer- und Produktionskette hinweg sind Geschäftsdaten, Zugänge, geistiges Eigentum und Informationen zu schützen.

Denn häufig werden nicht die Automobilhersteller selbst ins Visier der Cyberangriffe genommen, sondern eher die kleineren und mittelständischen Unternehmen in der Lieferkette, die oft als leichteres Ziel für Cyberkriminelle angesehen werden. Um sich gegen diese strategischen Angriffe zu schützen, ist es wichtig, dass hinreichende Sicherheitsrichtlinien definiert und umgesetzt werden – unabhängig von Größe, Standort oder Komplexität. 



Schutz mit System: TISAX-Zertifizierung

Um ein einheitliches Informationssicherheitsniveau für alle Parteien in der Automobilbranche zu schaffen, haben der Verband der Automobilindustrie (VDA) und die ENX Association den sogenannten TISAX-Standard entwickelt. TISAX steht für „Trusted Information Security Assessment Exchange“ und ist ein wechselseitig anerkannter Prüf- und Austauschmechanismus für die Informationssicherheit speziell in der Automobilindustrie.

TISAX beruht im Grunde auf der international anerkannten Norm ISO 27001, wurde aber individuell an die Branche angepasst, z.B. durch die Erweiterung von Kriterien wie Prototypenschutz oder Anbindung Dritter. Mit TISAX werden die IT-Sicherheitsmaßnahmen unternehmensübergreifend bewertet und die Prüfergebnisse transparent gemacht. Für die Durchführung und Überwachung der Qualität und Umsetzung ist die ENX Association als neutrale Instanz vom VDA beauftragt.



TISAX als Standard: Warum sich die Zertifizierung lohnt

Mit TISAX wurde ein Standard gesetzt, der von allen VDA-Mitgliedern anerkannt wird. Wo es zuvor unterschiedliche Maßnahmenkataloge für die Anforderungen an die IT-Sicherheit der Zulieferer gab, setzen jetzt die meisten OEMs auf das einheitliche TISAX-Zertifikat. Diese einheitlichen Anforderungen an ein anerkanntes Sicherheitsniveau und die branchenweite Anerkennung der Prüfergebnisse vereinfachen den Prozess für Kunden und Lieferanten.

TISAX wird so immer mehr zu einer notwendigen Wettbewerbsanforderung. Durch die TISAX-Plattform der ENX Association wird ein hohes Maß der Vergleichbarkeit und Transparenz gewährleistet. Doch TISAX ist vor allem auch ein Qualitätsmerkmal, das Vertrauen schafft. Mit einem TISAX Zertifikat weisen Dienstleister oder Lieferanten nach, dass sie die geforderten Standards der IT-Sicherheit erfüllen. 

Mehr zu TISAX können Sie in unserem neuen Webinar erfahren: „TISAX – Trusted Security Assessment Exchange“. In dieser Grundlagen-Schulung geben wir Ihnen einen fundierten Einstieg in das Thema und unterstützen Sie dabei, die Zertifizierung für Ihr Unternehmen zielgerichtet vorzubereiten. Melden Sie sich jetzt zu Ihrem Wunsch-Termin an, wir freuen uns auf Sie!




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security