Cybersicherheit : Automobilbranche muss jetzt die Handbremse lösen

Die Hacker konnten Bremsen und Motor deaktivieren, in die Lenkung eingreifen, bei voller Fahrt Musik abspielen, das Fahrzeug per GPS verfolgen sowie Klimaanlage, Schlösser und Scheibenwischer fernsteuern – wenn sie denn gewollt hätten. Der Angriff auf die Bordsysteme eines Geländewagens durch zwei Sicherheitsforscher schrieb 2015 Cybersicherheits-Geschichte. Die Folge: 1,4 Millionen zurückgerufene Fahrzeuge und ein enormer Image-Schaden für den Hersteller.

Die Aussichten für Auto-Hacker sind rosig: Strategy&, die globale Strategieberatung von PwC, prognostiziert das europäische Marktvolumen für fahrzeugbasierte Connected Services bis 2030 auf 16 Milliarden US-Dollar. Der Markt- und Werbeträger-Analyse 2021 des Allensbach-Instituts zufolge verfügten 2021 allein in Deutschland rund 3,5 Millionen Menschen über ein internetfähiges Fahrzeug – knapp eine Million mehr als im Vorjahr. Doch das digitale Sicherheitsverständnis für die vernetzten Ökosysteme steckt noch in den Kinderschuhen. Das führt zu kritischer neuer Angriffsfläche. Die Automobilindustrie und der Gesetzgeber haben bereits auf die neue Bedrohung reagiert – doch erst das jetzt geforderte CSMS macht proaktives Handeln unumgänglich.

Ein überfälliger Weckruf

Die Wirtschaftskommission für Europa (UNECE) begegnet diesen Entwicklungen mit der UNECE R 155. Künftig müssen Hersteller ihre Autos mit einem Cyber Security Management System (CSMS) schützen – ab Juli 2022 bei der Zulassung neuer Typen, ab 2024 für alle neuen vernetzten Fahrzeuge. CSMS sind die Grundlage für automobile Cybersicherheit und definieren einen einheitlichen Standard, um in der Automobilindustrie digitale Bedrohungen effektiver zu managen. Das verankert Cybersicherheit nicht mehr nur in einzelnen Features oder Domänen, sondern hebt sie von der Projekt-​ auf die Organisationsebene. CSMS definieren nicht spezifische Systeme oder Programme, sondern einen prozessualen Rahmen – so gewährleisten sie nicht nur den Schutz vor gefährlichen Eingriffen in das Fahrzeug, sondern auch die digitalen Ökosysteme der Hersteller insgesamt.

Mittelbar auch Zulieferer in der Pflicht

Ob Navigationsdienste, Streaming oder Fahrtenbücher: Autobesitzer nutzen an ihren Fahrzeugen mehr und mehr Funktionen über die Mobilität hinaus. Das schafft ein neues Erlebnis und eine neue Beziehung zum eigenen Fahrzeug – erfordert aber auch ein neues Denken der Hersteller. Mit den neuen Chancen und Werbeversprechen kommen neue Verpflichtungen – Cybersicherheit wird zum absoluten Muss. Pikant: UNECE R 155 rückt vor allen Hersteller in den Fokus und erwähnt Zulieferer nur am Rande. Doch OEMs müssen nachweisen, dass sie auch die Risiken aus der Kette der Zulieferer kontrollieren. Wie bei anderen Produkthaftungsrisiken werden Zulieferer also von den Herstellern in die Pflicht genommen, das CSMS der Hersteller zu unterstützen oder ihrerseits zu etablieren.

CSMS werden spätestens mit dem Beschluss der UNECE unternehmenskritisch – ohne CSMS keine Zulassung, ohne Zulassungen kein Geschäft –, doch die Branche tut sich noch schwer. In PwCs aktueller CSMS-Studie gaben zwar fast alle befragten Branchenvertreter an, ein festes CSMS zu nutzen – diese seien aber nur selten voll einsatzfähig. Damit sich das ändert, braucht es einen Sinneswandel: Security-by-Design ist nicht nur eine Zeit- und Geldfrage, sondern primär eine Kulturfrage. Damit Systeme von Grund auf sicher gestaltet und entwickelt werden, muss sich die Cybersicherheit von einem hinreichenden zu einem notwendigen Kennwert entwickeln, der auch in der Chefetage geschäftsstrategisch erkannt wird.

Sicherheit ist die Pflicht zur Kür der Innovation

Wenn Hersteller die Compliance als Teil der Business-Strategie sehen, können sie den Regularien gelassen entgegensehen. Sie schwimmen vor der Welle, wenn es um die Klärung noch offener Punkte der Richtlinie geht und können so auch ihren Vorsprung zur Konkurrenz ausbauen. Denn reibungslose und sichere Erfahrungen werden im Wandel der Automobilindustrie zum immer wichtigeren Faktor für den Kauf. Und nicht zuletzt schaffen Anbieter so ein geregeltes Rahmenwerk für die weitere Transformation – etwa für weniger Hindernisse auf dem Weg zum autonomen Fahren.

Externe Dienstleister als Turbo für die Umsetzung          

Was also bremst die Branche aus? In der PwC-Studie legen die Befragten dar, dass neben Fachkräftemangel und Zeitdruck durch die engen Fristen auch unklare Anforderungen und zu wenig Bewusstsein im Management die Umsetzung empfindlich verzögern. Bei den meisten dieser Hürden ist externe Unterstützung ein entscheidender Schlüssel: Spezialisierte Anbieter verfügen über erforderliche Fachkräfte sowie übergreifendes Branchenwissen und können OEMs und Zulieferer vom Anforderungskatalog über die Implementierung bis zur Abnahme unterstützen. Eine Prüfung durch externe Auditoren macht potenzielle Sicherheitslücken zuverlässig sichtbar, um das CSMS weiter zu verbessern. Gleichzeitig werden Zertifizierungen immer wichtiger, um überhaupt einen Zugang zu dem immer stärker regulierten Markt zu erhalten.

UNECE R 155 ist ein Ruck für eine ganze Branche. Was für Hersteller und Zulieferer große Herausforderungen bedeutet, ist für die Endkunden vor allen Dingen eine Chance auf die Sicherheit, Resilienz und Reifung eines neuen Mobilitätsverständnisses. Für den Wandel kommt es nicht nur auf einen starken Motor und eine klare Ideallinie an – es braucht eben auch Traktionskontrolle, Sicherheitsgurt und ABS, um sicher und für alle Risiken gewappnet ans Ziel zu kommen. Genau das ist die Rolle einer belastbaren Sicherheitskultur.