Die Automobilindustrie ist wie kaum eine andere Branche durch Cyberangriffe gefährdet. Das ist dies Ergebnis einer Studie des Center of Automotive Management (computergestützte Fertigung) verbinden mit dem Technologiekonzern Cisco, die dieser Fluor.A.Z. exklusiv vorliegt. „Die Cybergefahrenlage pro die Automobilbranche ist in den letzten Jahren kontinuierlich angestiegen“, sagt Studienleiter Stefan Bratzel vom computergestützte Fertigung. Mit dieser Verbreitung von software-definierten Fahrzeugen, dieser Elektromobilität, dem autonomen Fahren und dieser vernetzten Lieferkette würden sich die Cyberrisiken weiter potenzieren.
Ein vernetztes Automobil habe zwölf verschiedene Angriffsbereiche mit wiederum mehreren potentiellen Eintrittsmöglichkeiten, heißt es in dieser Studie: Steuergeräte, Fahrassistenz- oder Kamerasysteme, die Bremssysteme oder dies GPS sind nur manche dieser Angriffsvektoren. „Stellen Sie sich vor, ein Navigationssystem wird so manipuliert, dass Sie in eine Gefahrensituation gelockt werden“, sagt Christian Korff im Gespräch mit dieser Frankfurter Allgemeine Zeitung. Er leitet im Kontext Cisco dies Geschäft mit internationalen Großkunden und betreut unter anderem manche große Autohersteller qua Kunden.
Für jedes große Aufregung hatten zuletzt drei Berliner Wissenschaftler gesorgt, die – in einer Laborumgebung – den Autopiloten eines Teslas gehackt hatten. Die Angst davor, dass Hacker dies eigene Auto steuern, ist sicherlich dies größte Problem in dieser Kundenakzeptanz des autonomen Fahrens. Dass Hacker ein Fahrzeug gebremst oder umgeleitet hätten, sei bislang nicht festgestellt worden, sagt Bratzel. Aber ein gewisses Risiko bestehe natürlich. Dagegen sollten Autohersteller Strategien gedeihen. Wenn dies Auto etwa vereinigen Angriff registriere, könne es automatisch an den Straßenrand pendeln und stillstehen bleiben.
Fragmentierte Ladeinfrastruktur qua Risiko
Ein überraschenderes Einfallstor stellt die Ladeinfrastruktur pro Elektrofahrzeuge dar. Das Ladeökosystem sei durch seine verschiedenen Marktteilnehmer außersolide komplex und biete viele Angriffspunkte, zusätzlich die wie Kundendaten abgenutzt werden könnten.
Für jedes dies noch größere Risiko hält Bratzel zwar die Vernetzung dieser Lieferketten dieser Unternehmen. „Es gibt eine riesige Wertschöpfungskette an Akteuren, mit denen die Industrie regelmäßig arbeitet“, sagt er. Das sei untergeordnet im Vergleich zu anderen Branchen schon eine vornehmlich große Komplexität. „Die Zuliefererindustrie ist dies kritische Glied in dieser Wertschöpfungskette“, sagt Bratzel. Die Unternehmen sind meist Vorleger, können sich deshalb nicht so große IT-Abteilungen leisten. Sie sind ein Einfallstor pro mögliche Schwachstellen, die sich später untergeordnet in den fertigen Autos niedervermöbeln. Eine Analyse von 52 signifikanten Sicherheitsvorfällen in dieser Automobilindustrie zwischen Januar und Juni 2022 in dieser Studie zeigt, dass etwa zwei Drittel hauptsächlich Automobilzulieferer betrafen.
Das kann untergeordnet wirtschaftlich große Folgen nach sich ziehen, wie dies Beispiel Toyota zeigt. Nachdem ein Zulieferer von Kunststoffteilen und elektronischen Komponenten von einem mutmaßlichen Cyberangriff getroffen wurde, musste Toyota im Februar 2022 den Betrieb seiner japanischen Fabriken nicht dauerhaft aussetzen und konnte rund 13.000 Autos nicht planmäßig konstruieren.
Cybersicherheit qua „ungeliebtes Kind“
„Die Autoindustrie ist beim Thema Software und Daten ein Waisenkind“, sagt Bratzel. Cybersicherheit spiele im Kontext den Autoherstellern zwar eine Rolle, sei zwar immer noch ein „ungeliebtes Kind“ – zumal dieser Wettbewerbsdruck, möglichst schnell möglichst viele vernetzte Dienstleistungen anzubieten, hoch sei. Das erhöhe dies Risiko, dass die Cybersicherheit nicht die erste Priorität sei.
Korff vergleicht die Lage dieser Autokonzerne mit den Anfängen von Cisco . „Vor 30 Jahren nach sich ziehen wir Router noch ohne Sicherheitskomponenten gebaut“, sagt er. „Dann nach sich ziehen wir angefangen, solche Komponenten im Nachhinein anzuflanschen.“ In dem Stadium sei aktuell die Automobilbranche. „Aber um wirklich cybersicher zu werden, muss die Cybersicherheit schon beim ersten Pinselstrich mitgedacht werden.“ Das fordert untergeordnet die EU in einer Verordnung, die Autohersteller seitdem Juli 2022 pro sämtliche neuen Fahrzeugtypen und von Juli 2024 an untergeordnet pro sämtliche bestehenden Fahrzeugtypen einhalten sollen.
Das kann untergeordnet eine Chance pro die Branche sein, sind Bratzel und Korff überzeugt. Cybersicherheit könne zum Alleinstellungsmerkmal pro Autohersteller werden – und untergeordnet ganz neue Funktionen hervorbringen. Ein Beispiel ist die Identitätsprüfung. Autos könnten in Zukunft prüfen, ob dieser Fahrer wirklich dieser ist, dieser er vorgibt zu sein, berichtet Korff. Das geht etwa zusätzlich vereinigen Irisscan oder den Pulsschlag. Das könnte Fahrzeuge in Zukunft nahezu unstehlbar zeugen. „Das Thema Cybersicherheit muss in dieser Autoindustrie viel positiver besetzt werden“, sagt Bratzel.