Bild 2: Mögliche Folgen eines Cyber-Angriffs für die Kernthemen der Automobilindustrie (Bild: Argus)
Gerade in der Automobil- und Mobilitätsindustrie nehmen Cyber-Risiken stetig zu. Umso wichtiger ist es, diese Risiken zu kennen und sich mit einem ganzheitlichen Cyber-Security-Konzept auszurüsten, das gegen heutige und zukünftige Risiken maximalen Schutz gewährleistet. Ein gewisses Restrisiko bleibt immer, wenn es um Cyber Security geht. Wird Cyber Security jedoch im Rahmen des Risikomanagements eines Unternehmens von Anfang an konzeptionell berücksichtigt, lässt sich im Ernstfall umgehend eingreifen und reagieren. Die Gefahren sind so bereits im Vorfeld eindämmbar und teilweise sogar ganz vermeidbar.
Bild 1: Jede Kommunikationsschnittstelle des Fahrzeugs und der Datenaustausch durch die OBD2-Schnittstelle sowie in der Supply Chain stellen eine potentielle Angriffsfläche für Hacker dar. Argus
Ein aktuelles Fahrzeug bietet eine Vielzahl von elektronischen Systemen und Funktionen, die auf deutlich mehr als 20 Millionen Zeilen Softwarecode basieren. OEMs sind also längst nicht mehr nur Hardwareproduzenten, sondern Anbieter komplexer, softwaregesteuerter Mobilitätslösungen. Die verwundbarsten Remote-Angriffsflächen sind Telematik-Verbindungen, Infotainment- sowie vernetzte ADAS-Systeme. In Bild 1 sind weitere Eintrittstore für Cyber-Attacken dargestellt. Verschafft sich ein Hacker Zugang zum Fahrzeug, kann er auf Steuergeräte zugreifen und eventuell sicherheitskritische Systeme manipulieren. So kann er beispielsweise die Bremsfunktion blockieren, die Geschwindigkeit erhöhen, die Türen schließen oder den Motor abschalten.
Folgen von Attacken auf die Automobilindustrie
Cyber-Angriffe auf Fahrzeuge haben verschiedene Auswirkungen. Im schlimmsten Fall gefährden sie Menschenleben ganz direkt. Auch auf die Verkehrsinfrastruktur haben sie enormen Einfluss, bis dahin dass diese zum Erliegen kommen kann und mithin die öffentliche Sicherheit gefährdet wird. Zudem können Hackerangriffe zu umfassenden Rückrufaktionen ganzer Modellreihen führen, mit gravierenden finanziellen Risiken. Cyber-Angriffe gefährden auch in erheblichem Maß die Integrität persönlicher Daten, was nach der DSGVO erhebliche Sanktionen nach sich ziehen kann. Hinzu kommen die potentiellen Auswirkungen auf den Markenwert sowie mögliche Rechtsfolgen.
Bild 2: Mögliche Folgen eines Cyber-Angriffs für die Kernthemen der Automobilindustrie Argus
In einem ersten Schritt empfiehlt es sich, das Auffinden von Schwachstellen nicht feindlichen Hackerangriffen zu überlassen, sondern proaktiv vorzugehen und mithilfe von externen Dienstleistern durchgeführten Penetrationstests Risiken bestenfalls bereits im Entwicklungsstadium zu identifizieren.
Rechtliche Regulierungen
Tabelle: Vereinfachte Darstellung der Risikobewertung einer Cyber-Attacke Argus
Regierungen, Industrie und Verbände haben längst erkannt, dass die Cyber-Sicherheit im gesamten Fahrzeugökosystem und über die gesamte Fahrzeuglebensdauer zu integrieren ist. Um den Bereich der Automotive Cyber Security zu unterstützen, haben diese unabhängig voneinander eine Reihe von Prinzipien und Richtlinien veröffentlicht, die für die Automobilhersteller und deren Zulieferer große Herausforderungen darstellen, wie beispielsweise den ISO/SAE-Standard. Auch im US-Repräsentantenhaus, im US-Senat sowie von der britischen Regierung wurden Gesetze und Regulierungen vorgeschlagen, die eine mehrschichtige Automotive Cyber Security vorschreiben.
All diese Leitlinien und vorgeschlagenen Standards erfordern umfassende Methoden und Lösungen für die Umsetzung der Cyber Security im Automobilbereich, sind jedoch bisher noch nicht gesetzlich verankert. Dadurch bleibt den OEMs ein großer Spielraum bei der Implementierung dieser Standards in ihren Fahrzeugen. Ein Umstand, der zu Lasten der öffentlichen Sicherheit geht. Die jüngsten Berichte beziehungsweise Studien, die auf Regulierungen, Richtlinien und empfohlene Standards für Automotive Cyber-Security-Praktiken eingehen, stammen vom Ponemon Institute, in Auftrag gegeben von Synopsys und SAE International sowie von Strategy Analytics. Automobilhersteller haben vor diesem Hintergrund allen Anlass proaktiv zu handeln und sich schon heute nach Automotive-Cyber-Security-Standards zu richten, auch wenn diese noch nicht in Gesetze gefasst sind.
Dringlichkeit des ganzheitlichen Risikomanagements
Bild 3: Ein ganzheitlicher Automotive-Cyber-Security- Risikomanagementansatz beginnt schon in der Planungsphase. Argus
Die Risiken, aber auch die verstärkten gesetzgeberischen Aktivitäten stellen neue Anforderungen an die Unternehmen. Diesen lässt sich nur durch eine entsprechende Priorisierung des Themas Automotive Cyber Security wirksam begegnen. Automotive Cyber Security bekommt idealerweise den Stellenwert einer neuen Unternehmensfunktion, die IT-Sicherheit, Produktsicherheit, Privacy und Risikomanagement einschließt. Cyber Security wird also zur Managementaufgabe und muss durch einen ganzheitlichen Risikomanagementansatz im gesamten Unternehmen implementiert werden. Dieser Ansatz umfasst in erster Linie Bedrohungsanalysen, Risikobewertungen, Sicherheitsaudits und die Integration von Cyber-Security-Lösungen im Fahrzeug über den gesamten Fahrzeuglebenszyklus unter Vorwegnahme bevorstehender gesetzlicher und regulatorischer Anforderungen.
Um eine ganzheitliche Risikomanagementstrategie über den gesamten Produktlebenszyklus hinweg zu entwickeln, bedarf es der Identifikation und Bewertung der Risiken. Das Ergebnis ist eine Risikobestimmung, die in der Regel eine Funktion des Schadensgrades und der Eintrittswahrscheinlichkeit darstellt. Des Weiteren werden Maßnahmen zur Risikobewältigung beziehungsweise -beherrschung definiert und die mögliche Akzeptanz von Restrisiken festgelegt. Alle bei der Risikoanalyse und -beurteilung dokumentierten Schritte sind intern an alle relevanten Unternehmensbereiche zu kommunizieren.
Die Risikobewertung
Bild 4: Die Entwicklung einer End-to-End-Cyber Security-Risikomanagementstrategie sollte nicht ohne Experten erfolgen. Argus
Für die Automobilbranche gilt es bei der Risikobewertung vor allem die Kernthemen Sicherheit, Funktion, Gesetze und Datenschutz sowie Finanzen im Hinblick auf Cyber-Gefahren zu betrachten. Bild 2 veranschaulicht mögliche Folgen eines Cyber-Angriffes für diese Kernthemen. Bei der Abschätzung der mit Cyber-Angriffen verbundenen Risiken und Auswirkungen im Automotivebereich sind von den Führungskräften nicht nur die direkten und offensichtlichen Kosten wie Rückrufkosten zu berücksichtigen, sondern auch die daraus folgenden Kosten, die schwieriger zu quantifizieren sind. Dabei handelt es sich zum Beispiel um Kosten von Gerichtsverhandlungen, potenzielle Schadensersatzzahlungen, höhere Versicherungsprämien, die Störung des Kerngeschäfts oder Verluste durch die Abwertung des Markennamens.
Um diese Risiken zu bewerten, muss das Unternehmen, insbesondere die Führungsebene, die bestehenden und potentiellen Risiken der Zukunft kennen und die Quellen der Angriffe verstehen und analysieren können. Um dabei effektiv vorzugehen, sollte das Unternehmen Automotive-Cyber-Security-Experten hinzuziehen, die nicht nur das einzelne Fahrzeug, sondern auch die gesamte Value Chain verstehen und überprüfen können. Alle Bedrohungen, die durch Cyber-Angriffe entstehen können, erfahren so eine genaue Analyse, um eine Risikobewertung vorzunehmen. Bei der Bewertung werden die Gefahren als hoch, mittel oder niedrig eingestuft und das Risiko entsprechend eingeordnet. Die Tabelle zeigt eine vereinfachte Darstellung dieser Risikobewertung.
Aufgrund der Bedrohungs- und Risikoanalyse steht die Entscheidung an, welche Schutzmaßnahmen zu implementieren sind. Dies hängt zum einen von der unternehmensinternen Bewertung der Gefahren ab, wird aber in Zukunft stetig mehr durch gesetzliche Vorgaben beeinflusst.
Sicher über den gesamten Produktlebenszyklus
Der einzige Weg ein sicheres vernetztes Fahrzeug auf den Markt zu bringen, besteht darin, die Cyber-Sicherheit während des gesamten Produktlebenszyklus zu integrieren. Hardware, Software und die Technologien für die Vernetzung müssen zusammenspielen – und das über den gesamten Produktlebenszyklus hinweg, angefangen bei der Strategie, der Forschung und Entwicklung über die Produktion, den Sales- und After-Sales-Bereich bis hin zum Aftermarket mit beispielsweise den nachrüstbaren Dongles für die OBD2-Schnittstelle. Auch die Datensicherheit beim Recycling und beim Wiederverkauf des Autos muss bedacht sein.
Dabei sind unbedingt strenge Entwicklungsrichtlinien einzuhalten, um das Risiko von Sicherheitsschwachstellen in der Soft- und Hardware zu minimieren. Darüber hinaus sind alle von Lieferanten erhaltenen Komponenten vor der Implementierung auf Sicherheit zu prüfen. Langfristiges Ziel der OEMs sollte sein, Sicherheitsanforderungen und -richtlinien für die Lieferanten zu definieren, denen diese Folge zu leisten haben. Um die Cyber Security eines Fahrzeugs über den kompletten Lebenszyklus aktuell zu halten, entwickeln sich sichere OTA Software Security Updates (Over the Air) zum unverzichtbaren Bestandteil eines ganzheitlichen Sicherheitskonzepts. Die Integration von OTA-Aktualisierungen sind ein Muss, da sie es den OEMs ermöglichen, sehr schnell und außerdem kostengünstig auf Angriffe zu reagieren und Schwachstellen zu beheben, bevor Hacker größeren Schaden anrichten.
Implementierung und Planungsprozess
Eck-Daten
Cyber Security ist nicht nur eine rein technologische Herausforderung, sondern muss ganzheitlich im unternehmerischen Handeln Berücksichtigung finden. Gefahren müssen im Risikomanagement des Unternehmens von Anfang an beachtet werden. So sind Ausgaben für Cyber-Security-Maßnahmen bereits im Finanzplan zu hinterlegen. So und mit einer Sicherstellung der Cyber-Sicherheit über den gesamten Produktlebenszyklus hinweg lässt sich das Unternehmensrisiko trotz Cyber-Gefahren nachhaltig senken.
Argus betrachtet die Fahrzeug-Cyber-Sicherheit ganzheitlich und bietet den Automobilherstellern und ihren Zulieferern ganzheitliche End-to-End-Lösungen und -Services entlang des gesamten Entwicklungsprozesses an. Das Unternehmen ist mit OEMs und Tier-1s im gesamten Lebenszyklus der Fahrzeuge aktiv (Bild 3). Argus verfasst Anforderungsdefinitionen für alle Bereiche der Fahrzeugsicherheit wie beispielsweise ECU level requirements, High level architecture requirements, Communication requirements und Backend requirements.
Im besten Fall sind die Sicherheitsexperten von Argus schon im Planungsprozess der Ende-zu-Ende-Zielarchitektur mit eingebunden. Anwender stellen dabei projektrelevante Informationen und Unterlagen zur Verfügung. Während dieser ersten Projektphase erfolgt die gemeinsame Überprüfung der Materialien und des Designs der Zielarchitektur sowie die Diskussion eventueller Einschränkungen. Nachdem ein erstes Verständnis der Zielarchitektur gewonnen wurde, beginnt die Analyse des erhaltenen Materials und die Identifizierung der Elemente, die Sicherheitsmaßnahmen erfordern. Bild 4 veranschaulicht den Prozess zur Entstehung eines ganzheitlichen Security-Konzeptes unter Einbezug der Bedrohungs- und Risikoanalyse.
Risiko-Assessment TARA
Bild 5: Anwendung des TARA-Modells Argus
Unter Anwendung des TARA-Modells (Threat Assessment and Remediation Analysis), dargestellt in Bild 5, erfolgen Überprüfung und Dokumentation von Fahrzeugarchitektur, Systemen und Komponenten auf Cyber-Schwachstellen. Um Verwundbarkeiten in schon bestehenden Fahrzeugarchitekturen oder Fahrzeugkomponenten aufzudecken, werden Penetration-Tests durchgeführt, um die Cyber-Sicherheit dieser Komponenten zu bewerten.
Die Anforderungen der Industriestandards ISO 27005 sowie NIST SP 800-30 finden dabei Berücksichtigung. Der von Argus verfasste Bericht beinhaltet die Bewertung und Zuordnung der einzelnen Cyber-Schwachstellen zu den verschiedenen Risikolevels sowie Empfehlungen von Maßnahmen zum Schließen der identifizierten Sicherheitslücken. Im Anschluss wird gemeinsam mit dem OEM ein Sicherheitskonzept ausgearbeitet und das Cyber-Design für das Zielprodukt entwickelt. Auf Basis des Sicherheitskonzepts startet das Erarbeiten und Festlegen der Sicherheitsanforderungen sowie der Verifikations- und Validierungsmethoden unter Berücksichtigung aller Phasen der Fahrzeugentwicklung und -konstruktion.
Der menschliche Aspekt
Da Hacker gerne dort zuschlagen wo sie die Verteidigungslinie schlecht vorbereitet glauben, ist es zwingend notwendig, eine Cyber-Sicherheitskultur im gesamten Unternehmen zu leben und alle Mitarbeiter über sämtliche Unternehmensbereiche hinweg einzubinden. Es bedarf aufmerksamer Mitarbeiter im gesamten Produktentstehungs- und -entwicklungsprozess, die nicht nur Sicherheitsbewusstsein besitzen, sondern im Ernstfall auch die nötigen Schritte der Sicherheitsverfahren durchsetzen können und dadurch zur Schadensreduzierung beitragen. Gefragt ist eine gut informierte, geschulte und aufmerksame Führungsebene, die bereit ist, die Cyber-Sicherheit als Teil der Unternehmenskultur aktiv im Unternehmen zu steuern und zu fördern. Der Wissenstransfer bezüglich neu auftauchender Risiken oder Änderungen im Sicherheitsverfahren, sollte zu allen relevanten Unternehmensbereichen durch einen reibungslosen Informationsfluss gesichert sein. Argus bietet Cyber-Sicherheits-Trainingsprogramme für die betreffenden Mitarbeiter des Unternehmens, die darauf abzielen, die Fähigkeit der Teilnehmer zu verbessern.
Nada Lea Welker
(na)
