Die Hacker konnten Bremsen und Motor deaktivieren, in die Lenkung eingreifen, bei voller Fahrt Musik abspielen, das Fahrzeug per GPS verfolgen sowie Klimaanlage, Schlösser und Scheibenwischer fernsteuern – wenn sie denn gewollt hätten. Der Angriff auf die Bordsysteme eines Geländewagens durch zwei Sicherheitsforscher schrieb 2015 Cybersicherheits-Geschichte. Die Folge: 1,4 Millionen zurückgerufene Fahrzeuge und ein enormer Image-Schaden für den Hersteller.
Die
Aussichten für Auto-Hacker sind rosig: Strategy&, die globale
Strategieberatung von PwC, prognostiziert das europäische Marktvolumen für
fahrzeugbasierte Connected Services bis 2030 auf 16 Milliarden US-Dollar. Der
Markt- und Werbeträger-Analyse 2021 des Allensbach-Instituts zufolge verfügten
2021 allein in Deutschland rund 3,5 Millionen Menschen über ein internetfähiges
Fahrzeug – knapp eine Million mehr als im Vorjahr. Doch das digitale
Sicherheitsverständnis für die vernetzten Ökosysteme steckt noch in den Kinderschuhen.
Das führt zu kritischer neuer Angriffsfläche. Die Automobilindustrie und der
Gesetzgeber haben bereits auf die neue Bedrohung reagiert – doch erst das jetzt
geforderte CSMS macht proaktives Handeln unumgänglich.
Ein überfälliger Weckruf
Die
Wirtschaftskommission für Europa (UNECE) begegnet diesen Entwicklungen mit der UNECE R 155. Künftig müssen Hersteller ihre Autos
mit einem Cyber Security Management System (CSMS) schützen – ab Juli 2022 bei
der Zulassung neuer Typen, ab 2024 für alle neuen vernetzten Fahrzeuge. CSMS sind
die Grundlage für automobile Cybersicherheit und definieren einen einheitlichen
Standard, um in der Automobilindustrie digitale Bedrohungen effektiver zu managen.
Das verankert Cybersicherheit nicht mehr nur in einzelnen Features oder
Domänen, sondern hebt sie von der Projekt- auf die Organisationsebene. CSMS definieren
nicht spezifische Systeme oder Programme, sondern einen prozessualen Rahmen –
so gewährleisten sie nicht nur den Schutz vor gefährlichen Eingriffen in das
Fahrzeug, sondern auch die digitalen Ökosysteme der Hersteller insgesamt.
Mittelbar auch Zulieferer in der
Pflicht
Ob Navigationsdienste,
Streaming oder Fahrtenbücher: Autobesitzer nutzen an ihren Fahrzeugen mehr und
mehr Funktionen über die Mobilität hinaus. Das schafft ein neues Erlebnis und
eine neue Beziehung zum eigenen Fahrzeug – erfordert aber auch ein neues Denken
der Hersteller. Mit den neuen Chancen und Werbeversprechen kommen neue
Verpflichtungen – Cybersicherheit wird zum absoluten Muss. Pikant: UNECE R 155
rückt vor allen Hersteller in den Fokus und erwähnt Zulieferer nur am Rande. Doch
OEMs müssen nachweisen, dass sie auch die Risiken aus der Kette der Zulieferer
kontrollieren. Wie bei anderen Produkthaftungsrisiken werden Zulieferer also
von den Herstellern in die Pflicht genommen, das CSMS der Hersteller zu
unterstützen oder ihrerseits zu etablieren.
CSMS werden spätestens
mit dem Beschluss der UNECE unternehmenskritisch – ohne CSMS keine Zulassung,
ohne Zulassungen kein Geschäft –, doch die Branche tut sich noch schwer. In PwCs aktueller CSMS-Studie gaben zwar fast alle befragten
Branchenvertreter an, ein festes CSMS zu nutzen – diese seien aber nur selten
voll einsatzfähig. Damit sich das ändert, braucht es einen Sinneswandel:
Security-by-Design ist nicht nur eine Zeit- und Geldfrage, sondern primär eine
Kulturfrage. Damit Systeme von Grund auf sicher gestaltet und entwickelt
werden, muss sich die Cybersicherheit von einem hinreichenden zu einem
notwendigen Kennwert entwickeln, der auch in der Chefetage geschäftsstrategisch
erkannt wird.
Sicherheit ist die Pflicht zur Kür der Innovation
Wenn
Hersteller die Compliance als Teil der Business-Strategie sehen, können sie den
Regularien gelassen entgegensehen. Sie schwimmen vor der Welle, wenn es um die
Klärung noch offener Punkte der Richtlinie geht und können so auch ihren
Vorsprung zur Konkurrenz ausbauen. Denn reibungslose und sichere Erfahrungen
werden im Wandel der Automobilindustrie zum immer wichtigeren Faktor für den
Kauf. Und nicht zuletzt schaffen Anbieter so ein geregeltes Rahmenwerk für die
weitere Transformation – etwa für weniger Hindernisse auf dem Weg zum autonomen
Fahren.
Externe Dienstleister als Turbo für die Umsetzung
Was also bremst die Branche aus? In der PwC-Studie legen die Befragten dar, dass neben Fachkräftemangel und Zeitdruck durch die engen Fristen auch unklare Anforderungen und zu wenig Bewusstsein im Management die Umsetzung empfindlich verzögern. Bei den meisten dieser Hürden ist externe Unterstützung ein entscheidender Schlüssel: Spezialisierte Anbieter verfügen über erforderliche Fachkräfte sowie übergreifendes Branchenwissen und können OEMs und Zulieferer vom Anforderungskatalog über die Implementierung bis zur Abnahme unterstützen. Eine Prüfung durch externe Auditoren macht potenzielle Sicherheitslücken zuverlässig sichtbar, um das CSMS weiter zu verbessern. Gleichzeitig werden Zertifizierungen immer wichtiger, um überhaupt einen Zugang zu dem immer stärker regulierten Markt zu erhalten.
UNECE R 155
ist ein Ruck für eine ganze Branche. Was für Hersteller und Zulieferer große
Herausforderungen bedeutet, ist für die Endkunden vor allen Dingen eine Chance
auf die Sicherheit, Resilienz und Reifung eines neuen Mobilitätsverständnisses.
Für den Wandel kommt es nicht nur auf einen starken Motor und eine klare Ideallinie
an – es braucht eben auch Traktionskontrolle, Sicherheitsgurt und ABS, um
sicher und für alle Risiken gewappnet ans Ziel zu kommen. Genau das ist die
Rolle einer belastbaren Sicherheitskultur.