Neue Einfallstore

Laut Bundeskriminalamt (BKA) sind im Jahr 2020 die Straftaten unter Nutzung des Internets im Vergleich zum Vorjahr um 8,7 Prozent gestiegen. Cybercrime im engeren Sinne nahm demnach um 7,9 Prozent zu. Gleichzeitig, so heißt es im BKA-Bundeslagebild 2020 "Cybercrime", habe die zunehmende Professionalisierung der Täter die Bedrohungslage in Deutschland weiter verschärft. Und besonders gefährdet sind Unternehmen, vor allem die großen: Laut BKA wurde jedes vierte bis fünfte große Unternehmen ab 500 Beschäftigte Opfer eines "Ransomware"-Angriffs. Schadsoftware verhindert dabei den Zugriff auf Daten, wobei die Täter meist ein Lösegeld für die Aufhebung der Verschlüsselung fordern. Christian Pahlke, Head of Software & Systems Quality bei der TÜV SÜD Division Mobility, bestätigt diese Trends für die Fahrzeugindustrie: "Jede Datenschnittstelle ist ein potenzieller Einstiegspunkt und bedeutet eine erweiterte Angriffsfläche - und durch die Zunahme an vernetzten und autonomen Systemen wächst das Risiko." Die Angriffe sind besonders dann kritisch, wenn sie sicherheitsrelevante Schnittstellen, etwa zur Bremsanlage, betreffen. Fahrzeughersteller werden so ebenfalls zu Opfern, wenn Hacker, die Wege zu derartigen Schnittstellen gefunden haben, sie damit erpressen. Gefahren eindämmen Um die Auswirkungen von Cyber-Bedrohungen in den Griff zu bekommen, wurde im Juni 2020 die Regulation UNECE R155 verabschiedet: Demnach müssen Hersteller und Zulieferer ein normgerecht aufgebautes Cyber Security Management System einführen. Wichtig: Die gesamte Lieferkette soll einbezogen werden. Seit Januar 2021 gilt die R155, ab Juli 2022 sind die Vorgaben verpflichtend für alle neuen Fahrzeugtypen. Zwei Jahre später, ab Juli 2024, gelten sie dann für alle Neufahrzeuge in der EU. Parallel wurde auch die Regulierung R156 verabschiedet, gemäß der ein zertifiziertes Software Update Management System aufgebaut und betrieben werden muss. Das bedeutet, dass Hersteller, die ein neues Fahrzeug zulassen wollen, gegenüber den Genehmigungsbehörden nachweisen müssen, dass alle Komponenten - inklusive der Teile von Zulieferern - konform sind mit den UNECE-Regelungen. Und diese Verpflichtung gilt über die gesamte Lebensdauer eines Fahrzeugs, das heißt, sie betrifft auch das Aftersales-Geschäft. "Es muss sichergestellt sein, dass bei Updates oder nötigen Änderungen die Konformität erhalten bleibt", konkretisiert Pahlke. Neben dieser rechtlichen Vorschrift sind laut Pahlke aber auch drei weitere Punkte wichtig für Fahrzeughersteller - vorneweg: Security by Design. "Cybersecurity muss von Anfang an bei der Entwicklung von Fahrzeugen mitgedacht werden." Außerdem braucht es laut dem Experten eine gelebte Sicherheitskultur: "Die Mitarbeiter müssen wissen, was Bedrohungen sind, wie diese funktionieren und wie man ihnen entgegenwirken kann." Und schließlich ist Cybersecurity das Gegenteil einer statischen Maßnahme, die man abhakt und dann als erledigt betrachten kann. "Die Bedrohungen ändern sich ständig, Cybersecurity ist daher ein kontinuierlicher Prozess", betont Pahlke. Die Verantwortung dafür, dass die Kommunikations- und Konnektivitätssysteme alle Sicherheitsregularien erfüllen, liegt also beim Hersteller - auch bei Updates für das Fahrzeug. Sobald aber Aufbauhersteller (Lieferanten für Transportunternehmer und Speditionen) sicherheitsrelevante Nachrüstungen mit eigenen Lösungen vornehmen, sind auch sie verantwortlich. Genau, wie auch sie dann Opfer von erpresserischen Cyberkriminellen werden können. Awareness schaffen "Oft erfolgt der Einstieg der Cyberkriminellen über Kommunikationsschnittstellen der Fahrzeuge", berichtet der Maschinenbauer, der seit Anfang 2020 bei TÜV SÜD arbeitet und zuvor bereits im Motorsport, bei VW, Audi und Mercedes-Benz Consulting tätig war. "Aber auch der Nutzer selbst ist ein großes Risiko dafür, dass Türen ungewollt geöffnet werden, wenn er Sicherheitsrichtlinien nicht beachtet - sichere Passwörter verwenden, Updates installieren et cetera." Daher müsse eine Sicherheitskultur auch in jedem Transportunternehmen verankert werden: "Awareness", auf Neudeutsch. Mit Blick in die Zukunft kann es sich Pahlke durchaus vorstellen, dass ein eigener IT-Experte im Transportunternehmen Realität werden könnte, wenn große Flotten erst einmal mit stark vernetzten Lösungen ausgestattet sind oder gar komplett autonom fahren. Für diese IT-Experten aus der Praxis wäre dann auch eines der Trainings relevant, die TÜV SÜD anbietet. "Unser Ziel ist es, als Dienstleister das gesamte Spektrum im Bereich Cybersecurity abzudecken - von Verständnis und Interpretation der zugrundeliegenden Regularien bis zur Fahrzeughomologation", berichtet Pahlke. "Daher bieten wir Services für jede Zielgruppe entlang der Lieferkette, also für Zulieferer, OEMs, Aufbauhersteller, Vertreter des Aftersales." Das erforderliche Basiswissen zur Abwehr von Cyberrisiken vermittelt TÜV SÜD zudem in Seminaren. Sie richten sich an alle Personen, die im Umfeld Automotive Cybersecurity, -Management, -Engineering und -Audits tätig sind. Außerdem unterstützt TÜV SÜD Unternehmen durch eine Konformitätsbewertung dabei, die Regularien einzuhalten. Nach einem Audit werden die aufgesetzten Prozesse zertifiziert. "Schließlich bieten wir auch Hilfe bei der Typzulassung an, etwa durch die Prüfung der Cybersicherheitszertifikate, die für die Prüfung durch das KBA nötig sind", ergänzt Pahlke. Weitere Informationen unter: www.tuvsud.com/akademie/automotive-cyber-security und www.tuvsud.com/cybersecurity TÜV SÜD Ansprechpartner TÜV SÜD Division MobilityChristian PahlkeHead of Software & Systems QualityE-Mail: christian.pahlke@tuvsud.com

EU-Parlament billigt gemeinsame Verfolgung von Verkehrssündern

Partnerschaft mit Metro: Lieferdienst Flaschenpost stellt auf Zentrallager um

EU-Parlament: Bessere Arbeitsbedingungen für Lieferdienste und Co

Klimaschutz-Reform vor dem Bundesverfassungsgericht: CDU will Verabschiedung stoppen

KEP-Branche befragt Zusteller: Arbeitsbedingungen unter der Lupe

Alle Schlagzeilen

Neue Einfallstore

WEITERLESEN

NEWSLETTER