Cyberkriminalität im Automobilsektor ist auch 2022 ein hochaktuelles Thema. Obwohl moderne Fahrzeuge nach wie vor der Beförderung von Personen und Gegenständen dienen, hat sich die Technik im Hintergrund revolutioniert. Was da täglich millionenfach über die Straßen rollt, könnte man getrost als ziemlich eigenständig arbeitende, mobile Großrechner bezeichnen, die im Hintergrund ein reges Eigenleben führen, während die Person am Steuer denkt, sie hätte selbst alles im Griff. Studien zeigen, dass die Hälfte der Fahrzeuge in der EU bereits 2025 über Konnektivität verfügt, 2030 liegt dieser Anteil bereits bei 78%. In den USA sind die prognostizierten Zahlen für den Anteil von Connected Cars noch höher: 72% in 2025, und sogar 96% bis 2030.

cyberkriminalität

Das Internet of Things macht Fahrzeuge durch Cyberkriminelle angreifbar

Software Defined Products sowie autonome und smarte Technologien in Fahrzeugen wie Telematics, V2X Kommunikation und Infotainment stellen für Hacker geradezu Aufforderungen zum Angriff dar, und sie erfordern ein umfassendes Cyber Security Management System (CSMS), wie es die EU vorsieht. Seit Juli 2022 ist die neue Verordnung zur Cybersicherheit für alle neuen Fahrzeugtypen in der Europäischen Union verbindlich. Ab Mitte 2024 soll die Anwendung eines zertifizierten CSMS für jeden Fahrzeugtyp zum Zeitpunkt der Typgenehmigung verbindlich vorgeschrieben sein. 

Und das ist bitter notwendig, denn die 4G- und 5G-Konnektivität ermöglichen bereits mit wenig Grundwissen den Zugriff auf vernetzte Autos aus der Ferne. Man braucht dazu lediglich ein paar Informationen aus dem Darknet, wo man auch die entsprechende Software für Hackerangriffe kaufen kann, und manipuliert eine Spielekonsole, wie es Hacker in Großbritannien vormachten. Mindestens fünf Autos im Wert von insgesamt 210.000 Euro, erbeutet mit dem Game Boy, sind eine große Verlockung. Das digitale Sicherheitsverständnis steckt für die vernetzten Ökosysteme leider oft immer noch in den Kinderschuhen.  Unser Interview mit unserem CEO, Dr. Michael Müller zu Cyber Security Management Systemen klärt auf und beantwortet wichtige Fragen zu CSMS und den neuen Regularien der UNECE  (Wirtschaftskommission für Europa) für die Automobilindustrie.

Europas größter Autohändler gehackt

In der Schweiz setzten Hacker Anfang des Jahres Europas größten Autohändler außer Gefecht. Die Emil Frey Gruppe musste zusehen, wie ihre Website, der Online-Service und die Telefonanlage zusammenbrachen. Ein Umsatz von rund zehn Milliarden Euro und eine Betriebsgröße von 22.000 Mitarbeitern erschienen den Cyber-Kriminellen ein lohnender Anreiz, den mit dem Digital Automotive Award ausgezeichneten Familienbetrieb ins Visier zu nehmen. Mit dem Slogan „Wir kaufen Ihr Auto“ wollte die Frey Gruppe bis 2025 einen Marktanteil beim Onlinehandel von 20 Prozent am Gesamtabsatz erzielen. Der deutsche Markt sollte dabei die Vorreiterrolle übernehmen. Auf solch ambitionierte Vorhaben wartet die kriminelle Cyberszene geradezu. Zerstören ist ihr Hauptanliegen, und dabei finanziell mitzunehmen, was geht, ihr oberstes Ziel.

Der jährliche Schaden durch Cyberkriminalität ist für die deutsche Wirtschaft immens

Wie der IT-Branchenverband Bitkom in jüngster Zeit errechnete, entsteht allein der deutschen Wirtschaft jährlich ein Schaden in Höhe von 223 Milliarden Euro oder anders ausgedrückt: sechs Prozent des deutschen Bruttoinlandsprodukts im Jahr 2021. Laut einer Studie des Verbands sind neun von zehn Unternehmen sowie Behörden und Banken von Datendiebstahl, Spionage und Sabotage betroffen; alleine in Deutschland wurden knapp die Hälfte der Unternehmen im Jahr 2022 mindestens ein Mal Opfer eines Cyberangriffs.

Das Wichtigste in Kürze

  • Cyberkriminalität betrifft alle Industrien; verstärkt jedoch solche mit IoT-Bezug
  • Bis 2030 sollen 96% aller Fahrzeuge in den USA mit Konnektivität ausgestattet sein
  • Für alle Fahrzeugtypen soll ab Mitte 2024 ein zertifiziertes Cyber Security Management System (CSMS) für den Umgang mit Cyberrisiken verbindlich vorgeschrieben sein
  • Cyberkriminalität findet im gesamten Automobil-Ökosystem statt und beschert der deutschen Wirtschaft jährlich einen Schaden in Höhe von 223 Milliarden Euro
  • Ein professionelles CSMS bildet die Grundlage für automobile Cyber Security

Unternehmen sollen kein Lösegeld zahlen

Dabei spielt Erpressung über den Einsatz sogenannter Ransomware eine tragende Rolle. Und laut einer aktuellen Studie des Sicherheitsdienstleisters Sophos spielen 42 Prozent der betroffenen Unternehmen mit. 253.160 Euro beträgt das durchschnittlich in einem Erpressungsfall bezahlte Lösegeld. Die Möglichkeit, sich gegen Lösegeldforderungen zu versichern, trägt sicher mit zu schnellerem Nachgeben bei. Obendrein ist das Ganze auch noch steuerlich absetzbar. Doch was Unternehmern notgedrungen eine schnelle Lösung scheint, wird vom Bundeskriminalamt (BKA) abgelehnt. 

Organisierte Cyberkriminalität wird zum geostrategischen Risiko

Das BKA rät ausdrücklich, Lösegeld nicht zu bezahlen und verweist darauf, dass betroffene Dateien und Programme von den Erpressern trotz Zahlung oft nicht entschlüsselt und wieder freigegeben würden. Deshalb haben sich nun 22 IT-Experten in einem Appell an die Bundespolitik gewandt. Sie sehen hinter der Ransomware das hochgradig organisierte Verbrechen und bezeichnen die Lösegeldforderungen via Malware als geostrategisches Risiko, dessen Wurzeln man im Keim ersticken müsse. Die Forderung der IT-Spezialisten lautet: keine Versicherung mehr gegen Cyber-Angriffe, keine steuerliche Abschreibungsmöglichkeit und vor allem kein Eingehen auf die Forderung von Lösegeld.

Magility Cyber Security und Cyberkriminalität

Spätestens seit der Verabschiedung der UNECE sind CSMS unternehmenskritisch – ohne CSMS keine Fahrzeugzulassung und ohne Zulassungen stehen die OEM im Regen. Wir von Magility haben das Problem der Cyberkriminalität im Automobilbereich schon lange im Fokus. Schon vor Jahren haben wir ein Cyber Security Management System (CSMS) für die Automobilindustrie entwickelt, welches fortlaufend aktualisiert wird und alle UN-Regularien (UNECE WP.29) und Standards wie ISO/SAE 21434 und ISO/AWI 24089 integriert.

Ein CSMS bildet die Grundlage für automobile Cyber Security und basiert auf einem einheitlichen Standard. Cyber Security wird nunmehr nicht nur in der Projektebene sonder auf Organisationsebene verankert und definiert einen prozessualen Rahmen. So dass nicht nur Fahrzeuge vor Angriffen geschützt sind sondern das gesamte digitale Ökosystem der Unternehmen.

Erst kürzlich haben wir die Magility Cyber Security GmbH ausgegründet um diesem wichtigen Thema einen eigenen Raum zu geben. Die Magility Cyber Security GmbH (MCS) ist ab sofort Ihr kompetenter Partner für die ganzheitliche Umsetzung von CSMS und Software Update Management System (SUMS). Gerne beraten die Cyber Security Experten der MCS Ihr Unternehmen und begleiten Sie bei der Implementierung eines CSMS und bei Bedarf auch eine SUMS in Ihr Unternehmen über alle Prozessstufen entlang der Supply Chain und über den gesamten Lebenszyklus des Fahrzeugs. Für mehr Informationen kontaktieren Sie gerne unsere magility Cyber Security Experten.