EFS Consulting
16.12.2024

Automotive Cybersecurity: Die Zukunft der Sicherheit im Straßenverkehr

Der digitale Wandel revolutioniert die Automobilindustrie. Durch die zunehmende Vernetzung und den vermehrten Einsatz von elektrischen und elektronischen Fahrzeugkomponenten gibt es mittlerweile immer mehr Möglichkeiten, Cyberangriffe bei Fahrzeugen erfolgreich durchzuführen. Neben den Vorteilen in der Konnektivität oder dem autonomen Fahren, wird es künftig umso entscheidender, Hackern & Co die Grenzen aufzuzeigen. Im Gegensatz zu anderen elektronischen Geräten wie Smartphone oder Laptop kann ein Kompromittieren der Fahrzeugsysteme lebensbedrohliche Folgen haben. Es gilt daher, effektive Sicherheitsmaßnahmen zu entwickeln, um die Gefahren durch Cyberangriffe zu minimieren und den Schutz der Verkehrsteilnehmenden zu gewährleisten.

Die Automobilindustrie im Wandel: Eine neue Bedrohungslandschaft 

Die Automobilindustrie befindet sich in einer tiefgreifenden Entwicklung, die nicht nur technologische Innovationen vorantreibt, sondern auch eine neue Bedrohungslandschaft mit sich bringt, die sowohl Hersteller als auch Verbraucher:innen vor bislang unbekannte Herausforderungen stellt. 

Von der Mechanik zur digitalen Welt 

Die Entwicklung vom ersten dampfgetriebenen Automobil bis hin zum vernetzten Elektroauto zeigt einen enormen Wandel. Galt das Fahrzeug früher als rein mechanisches Fortbewegungsmittel, so hat es sich heute zu einem hochkomplexen und vernetzten technologischen Gesamtsystem entwickelt.  

Diese „Connected Cars“ sind mit zahlreichen Embedded Systems und elektronischen Steuergeräten (ECUs) ausgestattet und nutzen unter anderem drahtlose Verbindungen wie Wi-Fi und Bluetooth, um Daten mit anderen Fahrzeugen oder der Umgebung auszutauschen (V2X-Kommunikation). Besonders im Hinblick auf das autonome Fahren ist diese Vernetzung essenziell, um sichere und effiziente Mobilität sicherzustellen. 

Diese Technologien verbessern das Fahrerlebnis, erhöhen jedoch auch das Risiko von Cyberangriffen. Jedes elektronische System hat das Potenzial, als Schwachstelle identifiziert und somit Ziel von Hacking oder Malware zu werden. Mit der fortschreitenden Digitalisierung und Cloud-Anbindung werden Autos zunehmend anfälliger für Cyberkriminalität. 

Mögliche Angriffspunkte im Fahrzeug 

Vernetzte Fahrzeuge bieten eine Vielzahl von potenziellen Angriffspunkten für Cyberkriminelle, die schwerwiegende Folgen mit sich bringen können. Ein Hauptziel sind drahtlose Schnittstellen wie Wi-Fi, Bluetooth und schlüssellose Zugangssysteme. Angreifende könnten diese nutzen, um sich unbefugten Zugang zum Fahrzeug zu verschaffen, es zu entriegeln oder sogar zu starten.  Neben den drahtlosen Schnittstellen gibt es weitere Angriffswege, die Cyberkriminelle nutzen könnten, um die Sicherheit vernetzter Fahrzeuge zu gefährden. Diese lassen sich in physische und remote Angriffe unterteilen. 

Physische Angriffe 

Ein weiteres Risiko stellen die Steuergeräte (ECUs) dar, die verschiedene Fahrzeugfunktionen wie Bremsen und Motorsteuerung kontrollieren. Physische Angriffe beinhalten Manipulationen dieser Steuergeräte durch direkten Zugriff auf das Fahrzeug, etwa über den OBD-Port oder den CAN-Bus. Durch Manipulation dieser Systeme könnten Hacker die Kontrolle über kritische Fahrfunktionen übernehmen und so das Leben der Insassen und anderer Verkehrsteilnehmenden gefährden. Als Beispiel für einen physischen Angriff kann man den Diebstahl eines Toyota SUV’s erwähnen. Hier haben Diebe auf den Systembus (Controller Area Network Bus) des Fahrzeugs zugegriffen, indem sie die Verkabelung eines Scheinwerfers manipulierten. Auf diesem Weg konnten sie gefälschte Nachrichten einspeisen, die sowohl die Wegfahrsperre deaktivierten als auch das Fahrzeug entriegelten. 

Remote Angriffe 

Applikationen, die mit dem Auto verbunden sind, stellen ebenfalls ein potenzielles Sicherheitsrisiko dar. Besonders gefährlich wird es bei Remote Angriffen auf Schwachstellen wie ungeschützten API-Endpunkten, die zum Beispiel in Apps vorkommen, mit denen das Fahrzeug entriegelt werden kann. Solche Lücken ermöglichen es Hackern, die Software zu manipulieren. Dadurch sind Angreifende in der Lage, das Fahrzeug zu lokalisieren, darauf zuzugreifen oder persönliche Daten der Nutzer:innen zu stehlen.  

Kernkomponenten der Automotive Cybersecurity 

Ziel der Automotive Cybersecurity ist es im Allgemeinen, das vernetzte Fahrzeug und dessen Fahrzeugdaten zu schützen. Hierfür ist es notwendig, alle relevanten Bereiche eines Fahrzeugs zu betrachten, von Embedded Systems bis hin zur Cloud-Anbindung.  

Im Fokus steht dabei zum einen Sicherheit der internen Datenkanäle: ECUs (Electronic Control Units), der CAN-Bus und weitere Komponenten müssen vor unbefugtem Zugriff, Malware und Hacking geschützt werden. Dies umfasst auch die Absicherung des OBD-Ports, der ein potenzielles Einfallstor für Angreifer darstellt. 

Zum anderen müssen externe Schnittstellen abgesichert werden. Hierbei unterscheidet man zwischen direkterundindirekter Kommunikation. Die direkte Kommunikation umfasst beispielsweise die Verbindung mit dem Smartphone via API oder die Vehicle-zu-X-Kommunikation (V2X), auch bekannt als Car2x. V2X ermöglicht den Austausch von Informationen zwischen Fahrzeugen und ihrer Umgebung, birgt aber auch Sicherheitsrisiken. Indirekte Verbindungen hingegen entstehen durch die Nutzung von Cloud-Diensten, etwa für Over-the-Air-Updates (OTA) oder intelligentes Laden. Hierbei ist die Absicherung der Datenübertragung und der Cloud-Infrastruktur von entscheidender Bedeutung. 

Neben technischen Schutzmaßnahmen wie Verschlüsselung, Firewalls und Intrusion Detection Systems (IDS) spielt auch der Faktor Mensch eine wichtige Rolle. Social Engineering beschreibt Angriffsmethoden, die auf die größte Schwachstelle eines jeden Sicherheitssystems abzielen: den Menschen mit all seinen Eigenheiten und Schwächen. Kriminelle Social Engineers nutzen das Bedürfnis nach menschlicher Interaktion aus und manipulieren ihre Opfer. Ihr Ziel ist es, das Opfer dazu zu bringen, die Sicherheitsmaßnahmen zu umgehen und geheime Informationen preiszugeben. Eine effektive Abwehr von Social Engineering erfordert daher nicht nur technische Schutzmaßnahmen, sondern auch eine umfassende Sensibilisierung und Schulung aller Mitarbeitenden. 

Schutzziel von Automotive Cybersecurity 

Automotive Cybersecurity umfasst daher weit mehr als nur technische Schutzmaßnahmen. Ganzheitliche Sicherheitskonzepte müssen die gesamte Wertschöpfungskette berücksichtigen, von der Entwicklung über die Produktion bis hin zum Betrieb eines Fahrzeugs. Neben der Prävention von Angriffen durch sichere Architekturen, Authentifizierung und Verschlüsselung, gewinnen die frühzeitige Erkennung von Anomalien und die effektive Reaktion auf Sicherheitsvorfälle an Bedeutung. Dabei gilt es, alle Schutzziele im Blick zu behalten: 

  • Vertraulichkeit: Schutz von sensiblen Fahrzeugdaten wie Standorte, Fahrprofile und persönliche Informationen 
  • Integrität: Sicherstellung, dass Fahrzeugfunktionen korrekt funktionieren und nicht manipuliert werden können 
  • Verfügbarkeit: Sicherstellung, dass Fahrzeugfunktionen jederzeit verfügbar sind und nicht durch Cyberangriffe beeinträchtigt werden 
  • Authentizität: Überprüfung der Identität von Benutzern, Fahrzeugen und anderen Systemen 

  

Automotive Cybersecurity: Der rechtliche Rahmen  

Automotive Cybersecurity ist längst nicht mehr ein „nice to have“. Sie muss gewährleistet sein, um Angriffe auf Fahrzeuge zu verhindern und katastrophale Auswirkungen auf Menschenleben zu vermeiden. Die Betrachtung und Einhaltung der relevanten Kernkomponenten und Schutzziele in der Automotive Cybersecurity, obliegt nicht den OEMs allein. – Rechtliche Vorgaben haben die Cybersicherheit in der Automobilindustrie in den letzten Jahren maßgebend unterstützt und gefordert.  

Eine verpflichtende Umsetzung für Unternehmen, die Fahrzeuge in der Europäischen Union verkaufen möchten, stellt beispielsweise die UNECE-Regelung Nr. 155 dar. Diese Regelung, kombiniert mit dem ISO-Standard ISO 21434, bietet einen grundlegenden Ansatz zur Sicherstellung der Sicherheit elektronischer Systeme und Software in Fahrzeugen. Die Regelung legt Anforderungen an ein Cybersecurity Managementsystem (CSMS) für den Fahrzeugherstellungsprozess und die Fahrzeugtypgenehmigung fest, um die Sicherheit vernetzter Fahrzeuge zu verbessern und die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen. 

Eine regulatorische Tieferlegung auf die Thematik der Software-Updates und dem Software-Update-Managementsystem (SUMS) wurde ebenfalls von der UNECE veröffentlicht. Da diese Updates jedoch im Wesentlichen die Software des Fahrzeugs verändern und eine ganze Reihe potenzieller Risiken mit sich bringen, ist es von entscheidender Bedeutung, dass sie auf möglichst sichere Weise durchgeführt werden. Hier kommt die UNECE-Regelung Nr. 156 kombiniert mit dem ISO-Standard ISO 24089 ins Spiel, die einen notwendigen Rahmen für sichere Software-Updates schaffen. 

 

Was Unternehmen tun müssen: Leitfaden Automotive Cybersecurity 

1. Security by Design: Sicherheit von Anfang an 

Umfassende Cybersicherheit im Fahrzeugbereich entsteht nicht zufällig, sondern durch vorausschauende Planung. Dies erfordert einen ganzheitlichen Security-by-Design-Ansatz, der sich von der Konzeptphase über die Entwicklung und Produktion bis hin zum Betrieb und der Stilllegung erstreckt. Dieser Ansatz muss sowohl die Fahrzeugsysteme und -komponenten als auch die Backend-Systeme miteinbeziehen. 

2. Ganzheitliches Risikomanagement über den gesamten Lebenszyklus 

Um das Unternehmen, aber vor allem auch die Fahrzeuge zu schützen, muss man zuerst alle entsprechenden elektronischen und elektrischen Komponenten, aber auch die Softwarefunktionen der Fahrzeuge und entlang der gesamten Wertschöpfungskette kennen. Erst dann ist man in der Lage ein zentrales Risikomanagement zu etablieren, indem sämtliche Risiken identifiziert, bewertet, priorisiert und behandelt werden. Das Risikomanagement ist dabei über den gesamten Produktlebenszyklus notwendig. – Die Verantwortung beginnt bereits in der Designphase der Produktentwicklung und endet erst mit dem „End of Life“ des Fahrzeugs. 

3. Mehrschichtige Sicherheitsmaßnahmen für umfassenden Schutz 

Neben einem sicheren Design sind konkrete Sicherheitsmaßnahmen unerlässlich, um den Risiken entgegenzuwirken. Dies umfasst die Berücksichtigung von funktionaler Sicherheit und Security-Anforderungen im Automotive Software Engineering. Konkret beinhaltet dies unter anderem mehrschichtige Sicherheitsmechanismen wie Authentifizierung, Autorisierung, Verschlüsselung, Firewalls und Intrusion Detection Systems (IDS). Wesentlich ist auch die Absicherung der Kommunikation zwischen Fahrzeugkomponenten, Backend-Systemen und externen Geräten. Regelmäßige Sicherheitsupdates können bekannte Schwachstellen schließen und erhöhen die Widerstandsfähigkeit gegenüber Cyberangriffen. 

4. Kontinuierliches Monitoring für agile Sicherheit 

Cyberbedrohungen entwickeln sich ständig weiter. Darum ist eine kontinuierliche Verbesserung ein integraler Bestandteil eines ganzheitlichen Sicherheitskonzepts. Durch das permanente und regelmäßige Monitoring aller Fahrzeugsysteme und die Analyse von Sicherheitsvorfällen können Schwachstellen frühzeitig erkannt und Schutzmaßnahmen optimiert werden. Gleichzeitig muss die Cybersicherheits-Strategie flexibel genug sein, um auf neue Bedrohungen und Technologien reagieren zu können. 

5. Cybersecurity-Kultur: Der Mensch als Schlüsselfaktor 

All diese Sicherheitsmaßnahmen, Strukturen und theoretischen Prozesse allein sind nicht ausreichend für erfolgreiche Cybersicherheit innerhalb eines OEMs – sie schaffen lediglich das Fundament. Erst die Kompetenz und das Sicherheitsbewusstsein jedes einzelnen Mitarbeitenden erwecken die Cybersicherheit zum Leben. Fachspezifische Schulungen vermitteln das notwendige Wissen, um Bedrohungen zu erkennen und sich davor zu schützen. In den Alltag integrierte Awareness-Maßnahmen sensibilisieren für die Gefahren der digitalen Welt und schärfen den Blick für potenzielle Risiken. So wird jede:r Mitarbeitende zum Cybersecurity-Botschafter:in, der verantwortungsvoll mit sensiblen Daten umgeht und aktiv zum Schutz des OEMs beiträgt. 

 

Zertifizierung für Unternehmen: Richtige Vorbereitung für das Vehicle Cybersecurity-Audit 

Um die Automotive Cybersecurity umfassend und lückenlos sicherzustellen, wurde von ENX Association das maßgeschneiderte Auditprogramm ENX Vehicle Cybersecurity (VCS) vorgestellt. Das ENX VCS soll dabei sicherstellen, dass die gesamte Lieferkette der Automobilindustrie verankert ist und zielt dabei auf Zulieferer von hard- / softwarebasierten Komponenten/Systemen sowie auf Software- und ICT-Infrastruktur-Dienstleister. Analog zur UNECE Nr. 155 ist für die Zertifizierung ein an die ENX-Rahmenbedingungen angepasstes Cybersecurity Managementsystem (CSMS) erforderlich. 

Fazit 

Relevant ist die Automotive Cybersecurity für die gesamte Automobilindustrie inklusive Zulieferer und Dienstleister. Alle involvierten Parteien müssen eng zusammenarbeiten, um die Sicherheit vernetzter Fahrzeuge und aller Verkehrsteilnehmenden zu schützen. Dabei ist es unerlässlich, die gesamte Wertschöpfungskette und alle relevanten Normen und Standards zu berücksichtigen. Denn nur so kann das Vertrauen der Kund:innen in der digitalisierten und vernetzten Mobilität der Zukunft gewonnen und gestärkt werden. 

EFS Consulting unterstützt OEMs und Zulieferer umfassend bei der Umsetzung von Automotive Cybersecurity. Mit langjähriger Erfahrung in den Bereichen Informationssicherheit, Risikomanagement und Prozessoptimierung begleitet EFS Unternehmen auf ihrem Weg zu einem ganzheitlichen Sicherheitskonzept. Die Expertise diesbezüglich umfasst unter anderem: 

  • Erstellung von Sicherheitsrichtlinien, Durchführung von Risikoanalysen und Implementierung von Sicherheitsmaßnahmen in Bezug auf ISO 21434 und UNECE R155 
  • Integration von Sicherheitsaspekten in den gesamten Entwicklungsprozess von Fahrzeugen und Komponenten 
  • Schulung und Awareness-Maßnahmen für Cybersecurity-Risiken zum Schutz vor Cyberangriffen 
  • Auditvorbereitung und Begleitung des Zertifizierungsprozess 
Mehr über diese Business Area
Information Security

Insights

NIS-2-Richtlinie: Ein Meilenstein für die Cybersicherheit in Europa
Gesetzlicher Rahmen für autonomes Fahren
DSGVO einfach erklärt: Data Privacy, Cybersicherheit und Pflichten für Unternehmen