Unternehmen weltweit sind täglich mehrere Tausend Mal das Ziel von Hackerangriffen oder anderen Ausprägung der Cyber Crime. Auch vor dem Fahrzeug macht dieser Trend nicht halt, schließlich ist das Auto als vernetztes Fahrzeug längst Teil des Internet of Things (IoT) geworden und damit potenziell ebenso gefährdet wie ein PC oder Server. Ein erfolgreicher Angriff beispielsweise auf eine ganze vernetzte Fahrzeugflotte könnte weitreichende Folgen haben: Hier stehen, wie bei Attacken auf kritische Infrastrukturen und Industrieanlagen, unter Umständen Menschenleben auf dem Spiel.

Die Unternehmen der Automobilindustrie befinden sich heute mehr denn je im Wettbewerb um das Vertrauen der Kunden. Daher ist die dauerhafte Erhöhung der IT-Sicherheit nicht nur ein Faktor für die langfristige Tragfähigkeit der Geschäftsmodelle rund um vernetzte Services, sondern auch für die eigene Reputation. Hersteller müssen gewährleisten, dass die Daten, die den Netzwerkknoten „Fahrzeug“ passieren, in mehrfacher Hinsicht geschützt sind. Im Sinne der Vertraulichkeit gilt es die privaten Daten der Fahrzeugnutzer abzusichern. Im Sinne der Integrität sollen Manipulationen verhindert werden sowie im Sinne der Authentizität unberechtigter Zugriff unterbunden werden.

IT-Fachwissen reicht nicht aus, um Cyber Crime effektiv abzuwehren

Um dem Herausforderungen im Bereich Security gerecht zu werden, wenden sich OEM und Zulieferer zunehmend an auf die Branche spezialisierte IT-Security-Unternehmen. Doch das Fachwissen der IT-Firmen ist nicht allein ausschlaggebend, um Angriffe abzuwenden. Vielmehr erfordern Datensicherheitslösungen für Fahrzeuge einen ganzheitlichen Ansatz, der drei Dimensionen berücksichtigt: Zum einen muss das Gesamtsystem Fahrzeug in seiner kompletten Infrastruktur einbezogen werden. Darüber hinaus ist der kontinuierliche Schutz über den gesamten Fahrzeuglebenszyklus zu gewährleisten. Außerdem gilt es organisatorische Rahmenbedingungen und Prozesse beim Hersteller zu berücksichtigen.

Berücksichtigt ein IT-Dienstleister all diese Aspekte, muss er tief in das Gewebe der Unternehmensstruktur, der Prozesslandschaft und des Lösungsportfolios eines Herstellers eingreifen. Damit hat er seinerseits Zugriff auf dessen sensible Daten. Folglich könnte der Sicherheitsexperte selbst zum Sicherheitsrisiko werden.

IT-Security ist auch Vertrauensfrage

Expertise allein ist also nicht das einzige Kriterium. „Fahrzeughersteller und Zulieferer müssen dem Unternehmen, dem sie die Sicherheit ihrer Software und Daten und damit ihre Geschäftsmodelle, ihren Unternehmenserfolg, ihre eigene Vertrauenswürdigkeit und nicht zuletzt den Schutz von Fahrzeuginsassen anvertrauen, trauen können“, erklärt Dr. Thomas Wollinger, Geschäftsführer von Escrypt. Fahrzeughersteller und Zulieferer müssen sich darauf verlassen können, dass der Security-Partner ihres Vertrauens den Zugriff auf sensible Daten nicht missbraucht, etwa zu Spionage- und Sabotagezwecken, sei es im wirtschaftlichen wie auch im politischen Kontext.

Doch woher können Fahrzeughersteller wissen, welchem Security-Partner sie trauen können? Es gilt die Aussagen, aber mehr noch die Handlungen des Partners mit Blick darauf zu beobachten, ob er seine Versprechen hält, ob er im Sinne der gemeinsamen Regeln zum beiderseitigen Vorteil agiert und an welchen Werten er sich in seinem unternehmerischen Handeln orientiert. „Getreu dem Sprichwort‚Trau, schau, wem! ‘ sollten sich nach eingehender Prüfung dann jene Security-Unternehmen als vertrauenswürdig erweisen, die bereits jahrzehntelang an der Seite der OEM und Tier1 in Deutschland stehen“, so Escrypt-Geschäftsführer Thomas Wollinger.