📞 +49 7024 977 8996 ✉️ info@magility.com

 CYBER SICHERHEIT? –  „EFFEKTIVE CYBERSECURITY“

 CYBER SICHERHEIT? – „EFFEKTIVE CYBERSECURITY“

Unser Magility CEO, Dr. Michael Müller, hat mit seinem Vortrag “Cyber Security – Bedrohung oder Business?” bei der Informationsveranstaltung “Effektive Cybersecurity – Im Gespräch mit Experten”,  gemeinsam mit den beiden anderen Referenten, Herrn Christoph Nold von der IHK-Bezirkskammer Esslingen-Nürtingen und Marc Schwarz von der smartSEC GmbH aus Wernau, die Teilnehmer wachgerüttelt. Auch Dino Munk, Geschäftsführer der Cyber Security GmbH war vor Ort, um den Teilnehmern in anschließenden Gesprächen Rede und Antwort zur Cyber Sicherheit in Unternehmen zu stehen. 

Die Veranstaltung wurde von Frau Dr. Natalie Pfau-Weller, Mitglied der CDU-Fraktion im baden-württembergischen Landtag, organisiert; Veranstaltungsort war das  Kompetenzzentrum der Firma Heinrich Feeß GmbH & Co. KG in Kirchheim unter Teck. Frau Dr. Pfau-Weller eröffnete die Veranstaltung und betonte, dass das Thema Cybersicherheit angesichts der vermehrten Cyberangriffe sowohl in der CDU als auch im Landtag zunehmend an Bedeutung gewinne.

Cyber Angriff auf die IHK und die “Lessons learned”

Den Anfang machte Christoph Nold von der IHK Bezirkskammer, der von dem Hackerangriff auf die IHK im Jahr 2022 berichtete und auch seine “Lessons learned” mit den Teilnehmern teilte. 

Die IHK-Gesellschaft für Informationsverarbeitung (IHK-GfI) hatte am 3. August 2022 ein auffälliges Verhalten in ihren IT-Systemen festgestellt und reagierte sofort. Experten des IHK Cyber Emergency Response Teams (IHK-CERT) der IHK-GfI untersuchten den Vorfall gemeinsam mit externen IT-Sicherheitsexperten. Aus Sicherheitsgründen wurde kurzfristig entschieden, die Verbindung aller Industrie- und Handelskammern zum Internet zu trennen, um den Angreifern den Zugriff auf die Systeme zu verwehren und weitere Angriffe zu unterbinden, insbesondere den Diebstahl oder die Verschlüsselung von Daten. Zwar hatte dies  zur Folge, dass die IHK-Website offline ging und die Mitarbeitenden weder telefonisch noch per E-Mail erreichbar waren.  Die Industrie- und Handelskammer Bodensee-Oberschwaben  konnte aber dank diesem entschlossenen Handeln größeren Schaden an ihren IT-Systemen verhindern. 

Die Ergebnisse der IT-Forensik zeigten, dass der Angriff von langer Hand vorbereitet wurde und die eingesetzten Manipulationswerkzeuge der Hacker hochentwickelt waren. Die Hacker nutzten eine Software-Sicherheitslücke eines Wissensmanagementsystems, das bei der IHK im Einsatz war:  Durch einen unvorsichtigen Mitarbeiter, der das identische Passwort des Wissensmanagementsystems für den Login in das interne Netzwerk benutzte, konnten die Hacker den Hauptadmin des IHK Netzwerks übernehmen und die Cyber Sicherheit der IHK war stark gefährdet.

Cybersicherheit gefährdet durch Unachtsamkeit der Mitarbeiter?

An diesem Beispiel wird schnell deutlich:  Als Einfallstor der Hacker dient oft die Unachtsamkeit eines Mitarbeiters. Daher sollte das Risikobewusstsein  der Mitarbeiter bei jeder Cyber Sicherheits-Maßnahme im Mittelpunkt stehen. 

Hacks aus der Region

Für Nold ist klar: Es ist nicht die Frage, ob ein Unternehmen, eine öffentliche oder lokale Verwaltung gehackt wird, es ist nur die Frage, wann das passiert. Der Referent  führte Beispiele aus dem Landkreis Esslingen an:

  • Hack auf Metabo: Die Angreifer drangen in die IT-Systeme des Unternehmens ein und stahlen Daten, darunter Kundendaten, Geschäftsgeheimnisse und geistiges Eigentum. Der Angriff führte zu erheblichen Produktionsausfällen und Umsatzeinbußen für Metabo. Auch nicht zu vernachlässigen ist der Reputationsschaden, der durch einen solchen Angriff entsteht. Es kann lange dauern, bis ein gehacktes Unternehmen in der Öffentlichkeit wieder das Image eines zuverlässigen Unternehmens erlangt. 
  • Hackerangriff auf die Messe Stuttgart: Am 3. September 2019 wurde die Messe Stuttgart Opfer eines Hackerangriffs. Wieder verschafften sich die  Angreifer Zugang zu den  IT-Systemen und erbeuteten sensible Daten.  Der Angriff führte zu erheblichen Betriebsstörungen und Umsatzeinbußen für die Messe. Die Messe musste ihre IT-Systeme ausschalten , um die Verbreitung der Ransomware zu verhindern. Auch Aussteller waren betroffen. Der Angriff beschädigte das Image der Messe als zuverlässiger Veranstaltungsort, und als Folge mussten einige Veranstaltungen  abgesagt werden. 
  • Schwerer Hackerangriff auf die Pilz GmbH: Am 13. Oktober 2019 wurde der schwäbische Automatisierungs- und Sicherheitsspezialist Pilz GmbH & Co. KG Opfer eines schweren Hackerangriffs. Die Angreifer raubten aus den  IT-Systemen des Unternehmens in erheblichem Umfang vertrauliche Daten. Der Angriff führte zu erheblichen Produktionsausfällen und Umsatzeinbußen in Millionenhöhe. Der Hackerangriff auf Pilz hat gezeigt, dass auch Unternehmen mit einem starken Fokus auf IT-Sicherheit nicht vor Cyberangriffen gefeit sind. Unternehmen sollten ihre IT-Sicherheitssysteme ständig auf dem neuesten Stand halten und sich regelmäßig auf Cyberangriffe vorbereiten, um das Risiko eines erfolgreichen Angriffs zu verringern.
  • Hackerangriff auf die Eberspächer Group: Am 24. Oktober 2021 wurde die Eberspächer Gruppe Opfer  eines gezielten Hackerangriffs, der Teile ihrer IT-Infrastruktur beeinträchtigte. Das Unternehmen reagierte umgehend auf verdächtige Aktivitäten, schaltete Netzwerke und Server ab und erstattete Anzeige. Der Angriff betraf Server weltweit und verschlüsselte einen Teil der Daten mithilfe von Ransomware. Trotz der Herausforderungen, darunter die weltweit unzureichende Verfügbarkeit von Elektronik-Bauteilen, hat Eberspächer den Fokus auf die Kundenzufriedenheit gelegt und die Lieferfähigkeit aufrechterhalten. Die Wiederinbetriebnahme der IT-Infrastruktur erfolgte schrittweise nach gründlicher Prüfung und Datensäuberung, wobei Teile des Netzwerks sicherer wiederhergestellt wurden, als sie es zuvor waren. 

Christoph Nold verwies weiter auf Untersuchungen von Statista, aus denen klar hervorgeht, dass sich die Schadenssummen, die durch Cyber Angriffe derzeit entstehen auf Rekordniveau befinden, trotz der Stagnation der Fallzahlen von Cyberangriffen.

Nold erwähnte auch ein Ergebnis aus der letzten DIHK-Umfrage zum Thema Digitalisierung:  In kleineren Unternehmen existieren meist  keine Notfallpläne für den Fall eines Cyberangriffs. Das sieht Christoph  Nold sehr kritisch,  denn gerade für die kleinen Unternehmen kann ein solcher Angriff das Aus bedeuten. Große Unternehmen sorgen meist vor, so gut sie es können.  

Die Lessons Learned bei der IHK 

Nach dem Cyberangriff auf die IHK wurden entscheidende Schritte unternommen, um mit der Situation umzugehen:

  • Isolierung der Systeme: Um den Angriff einzudämmen und Schäden zu begrenzen, wurden alle Software-Systeme vorübergehend heruntergefahren.
  • Hinzuziehen externer Experten: Externe Dienstleister, Forensik-Experten und das Landeskriminalamt (LKA) wurden in den Prozess einbezogen, um den Vorfall zu analysieren und die Täter zu identifizieren.
  • Wiederherstellung der Kommunikation: Da die Telefonie ebenfalls von internetgestützten Systemen abhing und durch das Herunterfahren beeinträchtigt wurde, mussten alternative Kommunikationswege schnell aufgebaut werden, um die interne und externe Kommunikation wiederherzustellen.
  • Wiederherstellung der Arbeitsfähigkeit: Die Arbeitsfähigkeit des Unternehmens war beeinträchtigt, daher war es entscheidend, die betroffenen Prozesse und Dienstleistungen rasch wiederherzustellen.
  • Prüfung von Schadsoftware und Neuaufbau der IT-Infrastruktur: Um zukünftige Angriffe zu verhindern, wurden die IT-Systeme auf Schadsoftware überprüft und gegebenenfalls gesäubert. Zusätzlich wurde die IT-Infrastruktur neu aufgebaut und verstärkt, um zukünftige Sicherheitsrisiken zu minimieren.

Diese Maßnahmen verdeutlichen die Notwendigkeit der schnellen und koordinierten Reaktion auf Cyberangriffe, um Schäden zu begrenzen und die Sicherheit der betroffenen Organisation wiederherzustellen.

Was hat die IHK nach dem Angriff verändert? 

Die IHK hat ihre Sicherheitsmaßnahmen verstärkt:

  • Die IHK erlaubt nur noch den Einsatz von eigenen USB-Sticks. Fremde USB-Sticks sind nicht mehr zulässig.
  • Die IHK lässt regelmäßig Phishing-Mails von externen Dienstleistern versenden, um die Aufmerksamkeit der Mitarbeiter zu testen. Die Ergebnisse der letzten Auswertung sind erschreckend: Von 500 Mitarbeitern klicken immer noch circa 50 auf die Phishing-Mails, obwohl die IHK bereits einen Cyber-Angriff auf die IT-Systeme erlitten hat. Hier sieht die IHK noch internen Handlungsbedarf. 
  • Um die Mitarbeiter und auch externe interessierte Unternehmen weiter zu sensibilisieren, bietet die IHK ein virtuelles IT-Sicherheitsfrühstück an. Das Sicherheitsfrühstück widmet sich in Form einer Webinarreihe den fortwährend wichtigen Themen der IT- und Cyber Sicherheit und bietet Unternehmen fundierte Einblicke in die Grundlagen der Cyber Sicherheit sowie wertvolle praktische Ratschläge mit dem Ziel, die digitale Sicherheit zu stärken und Herausforderungen bei der Umsetzung von Sicherheitsmaßnahmen zu meistern. 
  • Die IHK verweist ihre Mitarbeiter auf die Angebote des Landes Baden-Württemberg. Das Land Baden-Württemberg macht  Angebote zur Förderung der Cyber Sicherheit in Unternehmen und Organisationen. Diese Angebote richten sich an Privatpersonen und Unternehmen aller Größenordnungen und Branchen. Die Angebote sollen die Menschen, Unternehmen und Organisationen dabei unterstützen, sich vor Cyberangriffen zu schützen.

Cyber Security Bedrohung oder Business? 

Dr. Michael Müller übernahm nach einer kurzen, von Dr. Natalie Pfau-Weller moderierten Fragerunde das Wort und stieg mit der Frage ein, wer denn vom Cyberangriff auf die Deutsche Bundeswehr in den letzten Tagen mitbekommen habe. 

Nachdem dies bei keinem Veranstaltungsteilnehmer der Fall war, erläuterte Dr. Müller, dass beim jüngsten Cyberangriff auf die Bundeswehr 2023 die IT-Systeme der Bundeswehr durch den Einsatz von Ransomware verschlüsselt wurden. Die Bundeswehr hat den Angriff abgewehrt und konnte die IT-Systeme wiederherstellen, und sie hat die Cyberangriffe  als ernste Bedrohung für ihre Sicherheit und Handlungsfähigkeit eingestuft und eine Reihe von Maßnahmen ergriffen, um sich besser vor solchen Angriffen zu schützen. In den Massenmedien muss man nach diesen, eigentlich höchst wichtigen Informationen, ganz genau suchen. Auf den Titelseiten stehen Sie nicht!

Dr. Michael Müller und Cyber Sicherheit 

Dr. Michael Müller ist geschäftsführender Gesellschafter und Gründer der Magility GmbH, einer Unternehmensberatung mit Sitz in Wendlingen am Neckar, im aufstrebenden Neckarspinnerei Quartier. Er hat über 30 Jahre Erfahrung in der Automobil- und Mobilitätsindustrie. Sein fachlicher Schwerpunkt ist das Design von digitalen und internationalen Geschäftsmodellen und deren operative Umsetzung. 2022 ging  die Magility Cyber Security GmbH (MCS) als Ausgründung der Magility GmbH an den Start. Dr. Michael Müller hatte zuvor über die Magility GmbH schon jahrelang Cyber Security Projekte mit Fokus auf die Automobilindustrie betreut. Mit der MCS und dem Geschäftsführer und Mitgesellschafter Dino Munk ist dieses wichtige Thema von einem Magility-Geschäftsbereich in den Mittelpunkt einer ganzen Organisation gerückt. Die MCS ist heute Beratungspartner für die Umsetzung holistischer Cyber Security Strategien für die Gesamtorganisation von Unternehmen im Geltungsbereich der UNECE. Die Fachexperten für Automotive Cyber Security entwickeln für Unternehmen ein ganzheitliches und regelkonformes Cyber Security Management System entlang der gesamten Supply Chain. Dabei stellt die MCS mit Ihrem Cyber Security Ecosystem sicher, dass auch die angrenzenden Bereiche und Schnittstellen zu IT-Security, OT-Security und Privacy mit validiert und in der Cyber Sicherheits-Gesamtstrategie optimal neben der Produkt-Cyber Security integriert werden.

  • Effektive Cybersecurity
  • Von rechts nach links: Christoph Nold von der IHK-Bezirkskammer Esslingen-Nürtingen, Marc Schwarz von der smartSEC GmbH, Dr. Natalie Pfau-Weller, Mitglied der CDU-Fraktion im baden-württembergischen Landtag und Dr. Michael Müller, CEO Magility GmbH
  • Dr. Natalie Pfau-Weller und Dr. Michael Müller
  • Die Referenten tauschen sich aus
  • Netzwerkgespräche nach den Vorträgen
  • von rechts nach links: Dr. Michael Müller, CEO Magility GmbH, Dino Munk, CEO Magility Cyber Security GmbH, Nada Lea Welker, CMO Magility

Die größten Cyberangriffe der letzten Jahre

Dr. Michael Müller zeigte die 9 größten Cyber Angriffe der letzten 3 Jahre auf und verdeutlichte, welche immensen Schäden den betroffenen Unternehmen nicht nur monetär durch diese Angriffe entstanden sind.

Cyber Sicherheit

Auch fasste er die 9 größten Angriffe im militärischen Umfeld alleine aus dem Jahr 2023 zusammen

  • 2023-02-25: Cyberangriff auf die ukrainische Militärführung im Vorfeld des russischen Einmarsches. Der Angriff führte zu einem Ausfall der Kommunikation und des Informationsflusses in der ukrainischen Armee.
  • 2023-03-08: Cyberangriff auf das US-Verteidigungsministerium. Der Angriff führte zu einem Ausfall der Website des Ministeriums und zur Beschädigung von Daten.
  • 2023-04-20: Cyberangriff auf die NATO-Kommandozentrale in Brüssel. Der Angriff führte zu einem Ausfall der Kommunikationssysteme der Kommandozentrale.
  • 2023-05-20: Cyberangriff auf die chinesische Marine. Der Angriff führte zu einem Ausfall der Navigationssysteme der Marine.
  • 2023-06-20: Cyberangriff auf die israelische Luftwaffe. Der Angriff führte zu einem Ausfall der Flugabwehrsysteme der Luftwaffe.
  • 2023-07-20: Cyberangriff auf die russische Armee. Der Angriff führte zu einem Ausfall der Radarsysteme der Armee.
  • 2023-08-20: Cyberangriff auf die britische Armee. Der Angriff führte zu einem Ausfall der Kommunikationssysteme der Armee.
  • 2023-09-20: Cyberangriff auf die französische Armee. Der Angriff führte zu einem Ausfall der Waffensysteme der Armee.
  • 2023-10-20: Cyberangriff auf die deutsche Armee. Der Angriff führte zu einem Ausfall der Logistiksysteme der Armee

Er machte dadurch für alle Teilnehmer deutlich sichtbar, um welche Tragweite es sich bei Angriffen von Cyber-Kriminellen handelt und wie wichtig das Thema der Cyber Security Vorsorge ist. Weiter führt Dr. Müller aus, wie die Unternehmen in den meisten Fällen von den Cyber-Kriminellen attackiert werden. Cyber Sicherheit

 

Auf Platz 1 der Sicherheitsvorfälle bei der privaten Internetnutzung in Europa liegt der Empfang betrügerischer Nachrichten („Phishing“). Cyber-Kriminelle versuchen immer mehr Menschen zu manipulieren und auf diese Weise Schadsoftware zu installieren oder an sensible Daten heranzukommen. Diese als Social-Engineering bezeichneten Angriffe dienen oft als Grundlage für weitere Attacken. Mit dem sogenannten Phishing wird versucht, an vertrauliche Daten wie Kennwörter und persönliche Informationen zu gelangen.

Cyber Sicherheit

Wenn erst einmal der Diebstahl von vertraulichen Zugangsdaten gelungen ist, wird das gesamte System weiter infiltriert und gegebenenfalls zusätzliche Backdoors zum Klau sensibler Daten eingebaut. 

Bereits im Jahr 2019 erhielten rund ein Viertel der Befragten in Europa Phishing-Mails und 12 Prozent wurden zu betrügerischen Websites (Phishing-Domains) umgeleitet.

End-to-End Sicherheit als kritischer Erfolgsfaktor 

Dr. Michael Müller klärte weiter auf, dass durch die moderne Konnektivität End-to-End Sicherheit zum kritischen Erfolgsfaktor für Unternehmen wird. Durch die stetig steigende Vernetzung von Fahrzeugen, Häusern (Smart Homes und Smart Cities) sowie medizinischen Geräten spielt Cyber Sicherheit nicht mehr nur in der IT-Landschaft der Unternehmen eine bedeutende Rolle. Durch vernetzte Geräte entsteht eine ganz neue Dimension möglicher Auswirkungen von Cyber-Angriffen. Die Produkt Cyber Security über den gesamten Lebenszyklus der Produkte wird immer relevanter. Die Szenarien eines gehackten Herzschrittmachers kann sich jeder selbst ausmalen.

Grundsätzlich muss Cyber Sicherheit deshalb auf unterschiedlichen Ebenen verankert werden:

Cyber Sicherheit

End-to-End Security entlang des Lebenszyklus und der Value Chain

Auch das vernetzte Gesamtfahrzeugsystem setzt End-to-End Security vorraus. Nicht nur das Fahrzeug, sondern auch sämtliche Verbindungen nach außen und innen müssen geschützt sein und das über den gesamten Lebenszyklus des Fahrzeugs. Flottenmanagement und OTA (Over the Air) Software Updates werden zum kritischen Erfolgsfaktor.

Cyber Security kann nicht mehr als Einzelmaßnahme betrachtet werden, sie ist heute schon eine neue interdisziplinäre Unternehmens-Systemfunktion, so Dr. Michael Müller. 

Das Cyber Sicherheit Management Systeme für Unternehmen

Die Magility Cyber Security (MCS) setzt genau hier an und fokussiert sich nun umso stärker auf die Unterstützung von Unternehmen und deren Lieferanten beim Umgang mit den neuen Bedrohungen. Hierzu empfiehlt die MCS unter anderem die Anwendung eines Cyber Security Management Tools bzw. Systems (CSMS) zur nachhaltigen Sensibilisierung und Bekämpfung von Cyber Risiken, hier dargestellt als CSMS Regelkreis:

Cyber Security Management System

Potentielle Cyber Crime Ziele der Zukunft

Zum krönenden Abschluss seines lebhaften  Vortrags gab Dr. Müller noch einen Ausblick auf die potentiellen Cyber-Crime Ziele der Zukunft

  • Kybernetische Organismen (sog. „Cyborgs“) und eingebettete Brain Machine Interfaces (BMI)
  • Bionische Systeme (Schwachstellen bionischer Technologien, bionische Digital-/ Cyber-Sicherheit, Biometrie)
  • Biometrische Authentifizierungsgefahren (Biometrics z.B. Fingerabdruckscans, Fotos, Irisscans, Stimmerkennung, Gesichtserkennung, EEG, EKG etc.)
  • Behaviormetrics Analysen (Gehen, Schreiben etc.)
  • Vernetzte implantierbare medizinische Geräte (IMDs) wie Herzschrittmacher, Insulinpumpen etc.
  • Vernetzte Therapiegeräte (MRT, Röntgen, Anästhesiegeräte, Infusionspumpen etc.)
  • Genetische Privacy – digital gespeicherte Genanalysen von DNA; Bio Hacking (potentielle Gefahr: Biokriminalität und Bio Terrorismus, Identitätsdiebstahl, Klonen etc.)
  • Augmented und Virtual Reality Anwendungen (Verbrechen gegen persönliche Avatare, Gaming, Teledildonics etc.) Stichwort Metaversum

Einblicke in die Praxis eines IT-Notfallmanagers

Nach dem sehr anschaulichen Vortrag von Dr. Michael Müller übernahm Marc Schwarz von der SmartSec als Dritter und letzter Redner des Abends das Wort. Er gab den Teilnehmern Einblicke in seine Praxis als IT-Notfallmanager, Tipps für eine pragmatische Vorbereitung auf den Ernstfall und stand, wie die anderen Vortragenden, anschließend für Fragen zur Verfügung. Er begann mit einer Anekdote seines Tages. Sogar  an diesem Tag hat er einen Anruf über sein Notfalltelefon bekommen. Ein Mittelstandsunternehmen mit 80-100 Mitarbeitern wurde tagesaktuell Opfer eines Cyberangriffs. Alle Unternehmensdaten wurden von den Cyber-Angreifern voll verschlüsselt. Es herrscht völliges Chaos, nicht einmal mehr auf die Backups des Unternehmens kann zugegriffen werden. Die Botschaft von Marc schwarz war ganz klar:

“Es gibt es nicht mehr, das es einen nicht trifft. Das Hackerbusiness ist einfach viel zu lukrativ. Jeder kann Opfer werden!”, so Marc Schwarz.

Die Hacker haben Zeit

In der Regel bemerken die Opfer einen Cyberangriff im Durchschnitt nach 200 Tagen. Die Täter haben also genügend Zeit, so lange ins System vorzudringen, bis sie auch Zugriff auf die Backups haben. Dann folgt die Verschlüsselung der Daten. Die Opfer haben dann oftmals gar keinen Zugriff mehr auf Ihre Daten – es war leicht für alle Zuhörer, sich auszumalen, was das bedeutet. Es folgen Erpresserschreiben, die professionell verfasst sind, mit herunterlaufender Uhr und beigefügtem “Kundenservice” mit verschiedenen Funktionen zum Bezahlen und Beschreibungen zum von den Hackern erwünschten Vorgehen. Der “Kundenservice” der Hacker ist laut Marc Schwarz oft besser als der vieler Serviceanbieter.

Die Chaosphase im Unternehmen

Es folgt bei den meisten Unternehmen die Chaosphase. Wer jetzt keinen präventiv verfassten Notfallplan aus der Tasche ziehen kann hat ein gewaltiges Problem. Marc Schwarz machte den Teilnehmern durch den persönlichen Einblick sehr anschaulich deutlich, dass ein Notfallplan mit Prozessbeschreibungen im Ernstfall für ein Unternehmenüberlebenswichtig sein kann! Schwarz weiß es aus Erfahrung: Es gibt einen typischen Verlauf der Krise. “Vorbereitung lohnt und Vorbereitung hilft”, ist sich Schwarz ganz sicher. Da die IT-Notfälle meistens nach einem ähnlichen Schema ablaufen, kann man sich auch gut darauf vorbereiten. Er fasste zusammen: Ein kritischer Hackerangriff scheitert meistens nicht an der IT, sondern am Management. Das Management wisse oft nicht, was zu tun ist.

Handlungsempfehlungen für den Ernstfalls

Marc Schwarz teilt seine Handlungsempfehlungen mit den Teilnehmern:

  • Aufbau eines Notfallstabs – Rollen zuteilen, die im Ernstfall durchzusetzen sind. Alle organisatorischen Themen beachten! 
  • Alarmierungsprozess festlegen – Wer darf den Stecker ziehen, 4-Augen Prinzip? Wie läuft der Prozess ab? 
  • Geschäftsprozesse priorisieren – Was hat Priorität, welche Geschäftsbereiche haben Vorrang? Die genaue Festlegung ist notwendig, sonst gibt es im Ernstfall zu viele Diskussionen. Der Prozess muss für alle Beteiligten klar und nachvollziehbar und im Vorhinein kommuniziert sein.
  • Was muss nach dem Angriff unbedingt schnell wieder laufen? Prios festlegen! Top 10 formulieren. Wenn keine Prio-Liste existiert, wird es zu emotionalen Diskussionen im Ernstfall kommen. 
  • Kritische IT-Systeme ableiten – Zu jedem Geschäftsprozess der Top 10 muss heruntergebrochen werden, was dazu an Hardware benötigt wird. Diese Hardware sollte als Notfall-Hardware an einem bestimmten Platz deponiert und für die Verantwortlichen leicht zugänglich sein. 
  • Wiederanlauf definieren – Auch für die Weiterführung der Geschäfte müssten Prozesse im Voraus festgelegt werden, so dass jeder weiß, was und wie es zu tun ist.
  • Durchführen von Notfallübungen – Zu guter Letzt sollten regelmäßig Notfallübungen im Unternehmen stattfinden, denn wenn ein Szenario einmal durchgespielt wurde, kommt es im Ernstfall nicht zum totalen Chaos. Jeder weiß dann, wie die Abläufe und die Prozesse im Ernstfall zu sein haben.

Marc Schwarz zog sein Fazit: Wie die Chaosphase angegangen wird, ist absolut entscheidend. Die Vorbereitung auf einen Cyber-Angriff ist das A&O. Und: Beim zweiten Mal ist alles leichter! 

Frau Dr. Pfau-Weller übernahm und moderierte die Fragen der Teilnehmer, bei denen die Referenten noch ein paar Anekdoten aus ihrem Arbeitsalltag und interessante Informationen teilten, die jeden einzelnen Teilnehmer ganz sicher nachhaltig zum Denken anregen. 

Nach diesem Abend ist sich jeder Teilnehmer sicher, dass es heute keine IT- bzw. Cyber-Sicherheit mehr gibt. Die Frage dabei ist nur, wie wir damit umgehen und wie wir uns und unsere Unternehmen aufstellen, um im Ernstfall nicht im Chaos unterzugehen. 

Die Cyber Security Experten der Magility Cyber Security GmbH helfen gerne dabei! Kontaktieren Sie uns gleich hier zu einem ersten Beratungsgespräch.

Cyberkriminalität – was ist die richtige Strategie?

Cyberkriminalität – was ist die richtige Strategie?

Cyberkriminalität im Automobilsektor ist auch 2022 ein hochaktuelles Thema. Obwohl moderne Fahrzeuge nach wie vor der Beförderung von Personen und Gegenständen dienen, hat sich die Technik im Hintergrund revolutioniert. Was da täglich millionenfach über die Straßen rollt, könnte man getrost als ziemlich eigenständig arbeitende, mobile Großrechner bezeichnen, die im Hintergrund ein reges Eigenleben führen, während die Person am Steuer denkt, sie hätte selbst alles im Griff. Studien zeigen, dass die Hälfte der Fahrzeuge in der EU bereits 2025 über Konnektivität verfügt, 2030 liegt dieser Anteil bereits bei 78%. In den USA sind die prognostizierten Zahlen für den Anteil von Connected Cars noch höher: 72% in 2025, und sogar 96% bis 2030. Was ist nun die richtige Strategie gegen Cyberkriminalität im Automobilsektor?

cyberkriminalität

Das Internet of Things macht Fahrzeuge durch Cyberkriminelle angreifbar

Software Defined Products sowie autonome und smarte Technologien in Fahrzeugen wie Telematics, V2X Kommunikation und Infotainment stellen für Hacker geradezu Aufforderungen zum Angriff dar, und sie erfordern ein umfassendes Cyber Security Management System (CSMS), wie es die EU vorsieht. Seit Juli 2022 ist die neue Verordnung zur Cybersicherheit für alle neuen Fahrzeugtypen in der Europäischen Union verbindlich. Ab Mitte 2024 soll die Anwendung eines zertifizierten CSMS für jeden Fahrzeugtyp zum Zeitpunkt der Typgenehmigung verbindlich vorgeschrieben sein. 

Und das ist bitter notwendig, denn die 4G- und 5G-Konnektivität ermöglichen bereits mit wenig Grundwissen den Zugriff auf vernetzte Autos aus der Ferne. Man braucht dazu lediglich ein paar Informationen aus dem Darknet, wo man auch die entsprechende Software für Hackerangriffe kaufen kann, und manipuliert eine Spielekonsole, wie es Hacker in Großbritannien vormachten. Mindestens fünf Autos im Wert von insgesamt 210.000 Euro, erbeutet mit dem Game Boy, sind eine große Verlockung. Das digitale Sicherheitsverständnis steckt für die vernetzten Ökosysteme leider oft immer noch in den Kinderschuhen.  Unser Interview mit unserem CEO, Dr. Michael Müller zu Cyber Security Management Systemen klärt auf und beantwortet wichtige Fragen zu CSMS und den neuen Regularien der UNECE  (Wirtschaftskommission für Europa) für die Automobilindustrie.

Europas größter Autohändler gehackt

In der Schweiz setzten Hacker Anfang des Jahres Europas größten Autohändler außer Gefecht. Die Emil Frey Gruppe musste zusehen, wie ihre Website, der Online-Service und die Telefonanlage zusammenbrachen. Ein Umsatz von rund zehn Milliarden Euro und eine Betriebsgröße von 22.000 Mitarbeitern erschienen den Cyber-Kriminellen ein lohnender Anreiz, den mit dem Digital Automotive Award ausgezeichneten Familienbetrieb ins Visier zu nehmen. Mit dem Slogan „Wir kaufen Ihr Auto“ wollte die Frey Gruppe bis 2025 einen Marktanteil beim Onlinehandel von 20 Prozent am Gesamtabsatz erzielen. Der deutsche Markt sollte dabei die Vorreiterrolle übernehmen. Auf solch ambitionierte Vorhaben wartet die kriminelle Cyberszene geradezu. Zerstören ist ihr Hauptanliegen, und dabei finanziell mitzunehmen, was geht, ihr oberstes Ziel.

Der jährliche Schaden durch Cyberkriminalität ist für die deutsche Wirtschaft immens

Wie der IT-Branchenverband Bitkom in jüngster Zeit errechnete, entsteht allein der deutschen Wirtschaft jährlich ein Schaden in Höhe von 223 Milliarden Euro oder anders ausgedrückt: sechs Prozent des deutschen Bruttoinlandsprodukts im Jahr 2021. Laut einer Studie des Verbands sind neun von zehn Unternehmen sowie Behörden und Banken von Datendiebstahl, Spionage und Sabotage betroffen; alleine in Deutschland wurden knapp die Hälfte der Unternehmen im Jahr 2022 mindestens ein Mal Opfer eines Cyberangriffs.

 

[infobox headline=“Das Wichtigste in Kürze“]

  • Cyberkriminalität betrifft alle Industrien; verstärkt jedoch solche mit IoT-Bezug
  • Bis 2030 sollen 96% aller Fahrzeuge in den USA mit Konnektivität ausgestattet sein
  • Für alle Fahrzeugtypen soll ab Mitte 2024 ein zertifiziertes Cyber Security Management System (CSMS) für den Umgang mit Cyberrisiken verbindlich vorgeschrieben sein
  • Cyberkriminalität findet im gesamten Automobil-Ökosystem statt und beschert der deutschen Wirtschaft jährlich einen Schaden in Höhe von 223 Milliarden Euro
  • Ein professionelles CSMS bildet die Grundlage für automobile Cyber Security

[/infobox]

Unternehmen sollen kein Lösegeld zahlen

Dabei spielt Erpressung über den Einsatz sogenannter Ransomware eine tragende Rolle. Und laut einer aktuellen Studie des Sicherheitsdienstleisters Sophos spielen 42 Prozent der betroffenen Unternehmen mit. 253.160 Euro beträgt das durchschnittlich in einem Erpressungsfall bezahlte Lösegeld. Die Möglichkeit, sich gegen Lösegeldforderungen zu versichern, trägt sicher mit zu schnellerem Nachgeben bei. Obendrein ist das Ganze auch noch steuerlich absetzbar. Doch was Unternehmern notgedrungen eine schnelle Lösung scheint, wird vom Bundeskriminalamt (BKA) abgelehnt. 

Organisierte Cyberkriminalität wird zum geostrategischen Risiko

Das BKA rät ausdrücklich, Lösegeld nicht zu bezahlen und verweist darauf, dass betroffene Dateien und Programme von den Erpressern trotz Zahlung oft nicht entschlüsselt und wieder freigegeben würden. Deshalb haben sich nun 22 IT-Experten in einem Appell an die Bundespolitik gewandt. Sie sehen hinter der Ransomware das hochgradig organisierte Verbrechen und bezeichnen die Lösegeldforderungen via Malware als geostrategisches Risiko, dessen Wurzeln man im Keim ersticken müsse. Die Forderung der IT-Spezialisten lautet: keine Versicherung mehr gegen Cyber-Angriffe, keine steuerliche Abschreibungsmöglichkeit und vor allem kein Eingehen auf die Forderung von Lösegeld.

Magility Cyber Security und Cyberkriminalität

Spätestens seit der Verabschiedung der UNECE sind CSMS unternehmenskritisch – ohne CSMS keine Fahrzeugzulassung und ohne Zulassungen stehen die OEM im Regen. Wir von Magility haben das Problem der Cyberkriminalität im Automobilbereich schon lange im Fokus. Schon vor Jahren haben wir ein Cyber Security Management System (CSMS) für die Automobilindustrie entwickelt, welches fortlaufend aktualisiert wird und alle UN-Regularien (UNECE WP.29) und Standards wie ISO/SAE 21434 und ISO/AWI 24089 integriert.

Ein CSMS bildet die Grundlage für automobile Cyber Security und basiert auf einem einheitlichen Standard. Cyber Security wird nunmehr nicht nur in der Projektebene sonder auf Organisationsebene verankert und definiert einen prozessualen Rahmen. So dass nicht nur Fahrzeuge vor Angriffen geschützt sind sondern das gesamte digitale Ökosystem der Unternehmen.

Erst kürzlich haben wir die Magility Cyber Security GmbH ausgegründet um diesem wichtigen Thema einen eigenen Raum zu geben. Die Magility Cyber Security GmbH (MCS) ist ab sofort Ihr kompetenter Partner für die ganzheitliche Umsetzung von CSMS und Software Update Management System (SUMS). Gerne beraten die Cyber Security Experten der MCS Ihr Unternehmen und begleiten Sie bei der Implementierung eines CSMS und bei Bedarf auch eine SUMS in Ihr Unternehmen über alle Prozessstufen entlang der Supply Chain und über den gesamten Lebenszyklus des Fahrzeugs. Für mehr Informationen kontaktieren Sie gerne unsere magility Cyber Security Experten.

 

Auf dem Weg zum Software-defined Car

Auf dem Weg zum Software-defined Car

Auf dem 26. internationalen Automobil-Elektronik Kongress 2022 in Ludwigsburg, dem Top-Branchenevent für Elektronik-Experten und -Entscheider der Automobilbranche, stand der Weg zum Software-defined Car im Mittelpunkt. Was braucht es in der Automobilindustrie, um das Software-defined Car sicher, effizient und nachhaltig weiterzuentwickeln? Was sind die derzeitigen Pain Points der Automobilbranche bei dieser vielschichtigen Herausforderung? Welche Rolle spielen Regulierungen? Braucht es länderübergreifende Standards, um zum Ziel zu kommen? Und welche Rolle spielen Consumer Experiences? Wie begegnen die einzelnen Player aus der Automobilindustrie den aktuellen Herausforderungen, und warum sind Open Source Ansätze und Kooperationen jetzt ganz besonders wichtig? Viele Fragen, aber auch kontroverse Diskussionen, die den traditionsreichen Kongress im Forum am Schlosspark prägten. Trotz vieler Antworten, blieb  manch eine Frage auch unbeantwortet. Das Fazit: Es gibt noch viel zu tun!

Das Software-defined Car

Bisher war und ist die Software zu großen Teilen immer noch im Fahrzeug sehr eng mit dem Hardwaremodul oder dem elektronischen Steuergerät (ECU) verbunden, das eine ganz bestimmte Funktionalität im Fahrzeug übernimmt. Die Software entwickelte sich beim „traditionellen Automobil“ während der Lebensdauer eines Fahrzeugs kaum weiter und notwendige Aktualisierungen erforderten einen Besuch in der Werkstatt. Beim Software-defined Car werden die Funktionen durch die Software und nicht mehr durch die spezifischen Hardwaremodule definiert, ähnlich wie bei Anwendungen, die wir auf unseren Smartphones oder Computern ausführen. Dadurch können die Funktionen während der gesamten Lebensdauer des Fahrzeugs weiterentwickelt und verbessert und neue Funktionen und Features im Rahmen der Hardwaregrenzen ggf. sogar hinzugefügt werden. Beim Software-defined Vehicle werden nach Bedarf neue Features und Dienste oder Apps individuell oder auch zeitlich limitiert im Fahrzeug freigeschalten. Dadurch entstehen vielfache Möglichkeiten für neue Geschäftsmodelle, und Software-as-a-Service wird für die Automobilnutzer greifbar. Der Wert eines Fahrzeugs kann durch nachträglich eingebrachte Features während des Lebenszyklus so sogar gesteigert werden. Die Ausrichtung der Hersteller auf die Nutzerexperience wird zu einem erfolgsentscheidenden Faktor. Daten können Over-the-Air (OTA) übertragen werden, das Fahrzeug kann mit der Infrastruktur kommunizieren, Daten sammeln und in die Cloud senden sowie Daten empfangen. Mobilitätsdienstleistungen, automatisiertes Fahren und die Weiterentwicklung von E-Mobilität werden durch Software erst ermöglicht. Das Auto entwickelt sich also weiter zu einem softwarezentrierten elektronischen Device auf Rädern. Mit der ursprünglichen  Funktionsweise eines Automobils hat das nicht mehr viel zu tun. Die Automobilindustrie steckt noch immer mitten in der Transformation und muss sich in noch größerem Ausmaß für Marktteilnehmer aus und Kooperationen mit der Software- und Kommunikationsbranche öffnen.

Die wichtigsten Themen und Statements der Vortragenden

Nach der Eröffnung durch Alfred Vollmer, Chefredakteur der “Automobil-Elektronik” und Initiator des Automobil-Elektronik Kongresses, übernahm Ricky Hudi, Congress Chairman, die Moderation und übergab an den ersten Vortragenden des Tages, den Porsche-Chef Oliver Blume, der über die Zukunftsvision von Porsche sprach und dabei an die Emotionen der Zuhörerschaft appellierte. Dabei war für ihn beim Thema Software-defined car der Einsatz eines offenen Betriebssystems, das mit KI arbeitet und es dem Fahrzeug ermöglicht, sich mit verschiedenen Ökosystemen auf der ganzen Welt zu verbinden, besonders wichtig. Auch stand er klar für die Anerkennung des Faktors Mensch und hob hervor, wie wichtig es ist, die Mitarbeiter in der Transformation mitzunehmen und in den Mittelpunkt von Erfolgskonzepten zu stellen. Denn ohne motivierte Mitarbeiter, die die Vision und die Markenwerte des Unternehmens mittragen und die notwendigen Schritte auf dem Weg zum Software-defined Vehicle verstehen und verinnerlichen, sei die Transformation nicht zu meistern. 

Die zukünftige Strategie bei Mercedes-Benz stand im Fokus der Keynote von Magnus Österberg, Software-Chef beim Stuttgarter Autobauer. Dabei wurde ganz klar: Mercedes-Benz beansprucht Marktführerschaft im Luxus-Segment. Das neue Betriebssystem MB.OS (soll 2024 in Serie gehen) und das Software-Entwicklungszentrum in Sindelfingen spielt für die Umsetzung der ambitionierten Ziele dabei eine entscheidende Rolle. Österberg zeigte sich aber auch kritisch: “Wir sind führend im Bereich der Elektrotechnik, aber bis zur Marktführerschaft im Bereich der Software ist es noch ein weiter Weg”. 

Der größte Automobilzulieferer weltweit habe die Transformation vom reinen Hardware- hin zu einem Softwareunternehmen geschafft, sagte Mathias Pillin (President Cross Domain Computing Solutions bei Bosch). Heute sei jedoch die größte Herausforderung eines Tier-1 dem OEM klar zu machen, dass nicht nur Hardware, sondern auch Software einen eigenständigen Wert hat. Erst die Software ermögliche es, Daten aus einem vernetzten Fahrzeug in der Menge und Qualität zu verarbeiten, dass individuelle Dienste und Funktionen bereitgestellt werden können.

Dipti Vachani, SVP Automotive und IoT bei arm, sieht ein Zusammenspiel von Hard- und Software: Software-defined Cars brauchen spezifische Rechenpower und auf den Workload des Autos abgestimmte Hardware. Dafür muss die Software-Entwicklung heute schon sehr früh in den Entwicklungsprozess des Fahrzeugs eingebunden und unterschiedlichen Ansprüchen an Leistung und Kompatibilität gerecht werden. Diese Vereinbarkeit über das gesamte Fahrzeug hinweg, ist und bleibt eine große Herausforderung für Hersteller. Für sie steht die ineinandergreifende Weiterentwicklung von Hard- und Software an erster Stelle. 

Podiumsdiskussion “Semiconductors: The Base of the Software-defined Car” 

Moderiert von Alfred Vollmer (Automobil-Elektronik) diskutierten Jens Fabrowsky (Bosch), Calista Redmond (RISC-V International), Dipti Vachani (arm), Lars Reger (NXP) sowie Magnus Östberg (Mercedes-Benz), über die Stellung von Halbleitern im Automotive-Bereich. Zu den Berichten und Gerüchten, dass die OEMs jetzt ihre eigenen Chips bauen, äußerte sich Lars Rieger von NXP: „Lassen Sie uns ein wenig mit den Mythen aufräumen. Tesla bezieht 99 % seiner Chips von Unternehmen wie uns. Sie haben lediglich einen KI-Beschleuniger entwickelt.” Und über die Halbleiterknappheit kommentierte er: “98 % aller Halbleiter für die Automobilindustrie werden in den nächsten 15 Jahren über 20 nm liegen.” Dipti Vachani von ARM betonte, dass Innovationen durch Corona nicht nachgelassen haben und die Branche in Bewegung sei wie niemals zuvor. Magnus Östberg sprach sich dafür aus, das die Branche professioneller werden sollte beim Umgang mit Risiken. Dass Skalierung in den Fokus rücken muss, darüber waren sich alle Podiumsteilnehmer gleichermaßen klar.

User Experience als zentrales Feature des Software-defined Car

Das Fahrzeug als ultimates mobile device: ein großer Themenschwerpunkt beim Fachkongress. Laut Stephan Durach, SVP Connected Company Development bei BMW, rücke die Hardware immer stärker in den Hintergrund, während eine intuitive, natürliche Interaktion im Auto immer wichtiger wird. Bei BMW wird diese in Form eines virtuellen Assistenten oder intelligenter Navigation umgesetzt. Spannend bliebe jedoch, was zum Beispiel mit Apple’s Car Play System passieren würde, sollte es zu Interessenkonflikten beim Thema Benutzeroberfläche kommen.

Beim Thema User Experience waren sich drei Redner im Kern sehr einig: Dirk Walliser, SVP Corporate Research & Development der ZF Group brachte es in seinem inhaltlich sehr interessanten Vortrag auf den Punkt. Das Software-defined Car ist viel mehr als nur Software. Es geht vielmehr um die User Experience. Was die Kostenstruktur anginge, sei jedoch noch immer nicht klar, wer die Kosten für zusätzliche Software-Funktionen zukünftig übernehme: Der OEM oder der Kunde?

Auch bei Harman International steht die Consumer Experience im Fokus. Für Christian Sobottka, President Automotive Division, haben Kunden beim Thema Software-defined Car zurecht den Anspruch, all das, was sie auf ihrem Smartphone verwenden, innerhalb kürzester Zeit zur Nutzung auch im Auto wiederzufinden. Und Riclef Schmidt-Clausen, SVP Domain Intelligent Cockpit & Body bei Cariad, stellte fest, dass die Smartphone-Hersteller eindeutig noch die Führung bei der User Experience inne haben. Dieses Level auch in der Automobilindustrie zu erreichen, sei eine große Herausforderung.

Kollaboration als Schlüssel zum Erfolg?

Darüber, wie man diese Herausforderung schnell lösen könne, referierte Christoph Hartung (ETAS) in seinem Vortrag, der auch recht provokative Statements enthielt: Es gäbe keine hierarchischere Industrie als die Automobilindustrie, und AUTOSAR (eine Initiative zur Schaffung einer offenen Softwarearchitektur für Steuergeräte) sei 2003 gegründet worden, weil die Branche damals “tief in der Sch***” steckte. Aktuell befänden wir uns wieder in einer ähnlichen Situation mit der Weiterentwicklung der Benutzeroberfläche im Software-defined Car, so Hartung – aber die Bereitschaft zur Zusammenarbeit sei in der Branche grundsätzlich da. Ähnlich, jedoch weniger provokativ, formulierte es Karsten Michels, Head of Productline bei Continental Automotive: „Zusammenarbeit ist der Schlüssel, wir sitzen alle im selben Boot.“

Calista Redmond, CEO von RISC-V International brachte das Thema Open Source Kooperationsmodell mit sehr viel Enthusiasmus auf die Bühne. RISC-V ist ein freier und offener ISA, der durch die Zusammenarbeit mit offenen Standards eine neue Ära der Prozessorinnovation ermöglichen soll. 

Weitere Vorträge von hochkarätigen Referenten zu spannenden Insights bereicherten den Kongress. 

Das Setting und die Stimmung

Bereits zum 26. Mal öffneten sich die Türen des Kongresses, der jedes Jahr zentraler Treffpunkt von knapp 600 Branchenexperten, vor allem aus dem Bereich Automotive Elektrik/Elektronik, ist. Das “Große Klassentreffen der Industrie”, wie der Kongress auch gerne genannt wird, findet im Forum am Schlosspark in Ludwigsburg statt. Zum ersten Mal wurde die Veranstaltung ausschließlich auf Englisch gehalten – ob dies zur Qualität des Kongresses beigetragen hat, hinterfragen wir bei magility kritisch. Auch unter den Teilnehmenden wurde Kritik laut, bei einem Anteil deutschsprachiger Besucher von sicherlich mindestens 90%, ginge doch sehr viel „lost in translation“. Die Besucher konnten vor den Vortragsräumen die begleitende Fachausstellung besuchen und sich über die neuesten Entwicklungen der Aussteller aus der Branche live informieren und Kontakte knüpfen. Beim kulinarischen Networking-Event am Abend in der benachbarten Reithalle war die Stimmung gelöst; viele sahen sich zum ersten Mal nach zwei Jahren Pandemie endlich auch einmal persönlich wieder. 

Aufgefallen ist uns in diesem Jahr die leicht steigende Anzahl von weiblichen Besucherinnen, sowohl auf als auch neben der Bühne. Mit einem Anteil von ca. 3% an der Gesamtbesucherzahl, ist allerdings noch reichlich Luft nach oben! 

Software-defined Car

Der Frauenanteil spiegelte sich deutlich beim Besuch der Damentoiletten. Fazit dazu: Auf diesem Kongress müssen die Männer anstehen 😉

magility Insights

Wir von magility haben auf dem Kongress viele Geschäftspartner getroffen, interessante Gespräche geführt und haben uns gefreut, wieder persönlich Netzwerkarbeit betreiben zu dürfen. Der Kongress war wie immer reibungslos organisiert. Thematisch ging es mehr um das „im Fahrzeug“ und weniger um die Vernetzung und die Infrastruktur, die beim Software-defined Car für uns bei magility eine ebenso wichtige Rolle spielt. Das Thema Flotte kam uns eindeutig zu kurz und die Thematik der Vortragenden hat sich zu der Zeit vor Corona nur minimal verändert. Kooperationen sind wichtig, darüber waren sich fast alle Teilnehmenden einig. Das war auch schon vor Corona so. Kooperationen vorgestellt wurden in diesem Jahr dennoch wenige, was ein ungewollter Nebeneffekt der Corona-Pandemie mit ihren Kontakteinschränkungen sein mag. 

Für uns war der Vortrag von Huawei sehr beeindruckend, in dem dargelegt wurde, was dort in den letzten 3 Jahren alles schon umgesetzt und erreicht wurde. Huawei hat erst im letzten Jahr sein erstes Elektroauto Seres Huawei Smart Selection SF5 vorgestellt und der Speed mit dem Huawei bei der Weiterentwicklung intelligenter Automotive Lösungen unterwegs ist, sollte alle anderen Marktteilnehmer aufrütteln. Die deutschen Unternehmen sprachen in den Vorträgen noch mehr davon, was umgesetzt werden sollte. 

Der Weg zum Software-defined Car stellt für die deutsche Automobilindustrie ohne Zweifel eine der zentralen Herausforderungen dar, die mit Verve und unverzüglich angegangen werden muss. Wir haben hier in der Metropolregion Stuttgart die besten Voraussetzungen, die Mobilität der Zukunft auf Grundlage solider Basis mitzugestalten, wenn wir offen auf die neuen Marktteilnehmer zugehen, Kooperationen als Chance begreifen und zumindest in Teilen auf einheitliche Softwareentwicklung setzen. 

Es muss nicht jeder seine eigene Suppe kochen. Zusammen haben wir hier aber die Chance, aus der Suppe ein *****Sterne-Menü zu kreieren! Let´s do great things together! Wir von magility helfen gerne dabei!

 

Connected Car Services auf der Überholspur

Connected Car Services auf der Überholspur

Car-to-X-Kommunikation zielt auf die Sicherheit im Straßenverkehr ab. Vernetzte Fahrzeuge tauschen in Bruchteilen von Sekunden wichtige Informationen aus. Dadurch werden Zusammenstöße vermieden. Bei der Kommunikation zwischen Fahrzeug, Verkehrszeichen und Ampelanlagen (Car-to-X Technologie) können eventuelle Unaufmerksamkeiten des Fahrers oder der Fahrerin unschädlich gemacht werden. Doch die Akzeptanz unter den Kunden ist nicht uneingeschränkt. Kritiker sehen angesichts der Car-to-X-Kommunikation die größere Sicherheit im Straßenverkehr erkauft durch den Verlust oder zumindest die Gefährdung der Datensicherheit. Auch der bislang überwiegende Einsatz in hochpreisigen Fahrzeugen erschwert der Car-to-X-Kommunikation den Zuspruch einer breiten Käuferschicht. 

Andererseits bescheren  Connected Car Services den Autokäufern längst überfällige Optionen. Sie sind künftig nicht mehr von einer vorgegebenen Konfiguration abhängig. Vielmehr können schon jetzt viele vernetzte Modelle jederzeit individuell und unkompliziert nachgerüstet, in ihren Features beliebig verändert und an persönliche Bedürfnisse angepasst werden. Ermöglicht wird dies durch die Vernetzung mit dem World Wide Web, wodurch das Connected Car zum Sender und Empfänger wird. 

Sonderwünsche „on demand“ dank Connected Car Services

Das klingt zunächst nicht ganz so neu, ist doch seit 1. April 2018 jeder neue, in der EU zugelassene PKW, mit dem automatischen Notrufsystem eCall ausgerüstet und damit ohnehin schon mit dem Netz verbunden. Umgekehrt empfangen eingebaute Navigationsgeräte längst via Satellit die benötigten GPS-Daten. Aber die neue Autogeneration verfügt beispielsweise beim Premium-OEM Audi über ein „On demand“-Angebot, das es in acht verschiedenen Modellreihen ermöglicht, über den gesamten Lebenszyklus eines Connected Car Services Sonderausstattungen nachzubuchen. Im günstigsten Fall sogar drahtlos „over the air“. Der Markt ist unter den Anbietern heiß umkämpft, denn die Kunden sind anspruchsvoll. Wer in eine digitale Welt mit den Annehmlichkeiten smarter Services hineingeboren ist, der erwartet auch von seinem Auto mehr als nur die Möglichkeit, schnell von A nach B zu gelangen. Dazu zählen auch Sicherheitsaspekte, wie zum Beispiel Anzeigen über den Fahrzeugstatus oder aggregierte Gefahrenmeldungen dank Car-to-X-Kommunikation.

Blechkisten werden mit Connected Car Services zu Kino und Club

Am leichtfüßigsten bewegt sich nach wie vor der amerikanische Newcomer Tesla  durch das noch weitest gehend unentdeckte Neuland der Connected Cars.  Der innovative Hersteller setzt seit bald 20 Jahren in der Entwicklung mehr auf IT-Spezialisten als auf klassische Ingenieure. Ganz selbstverständlich integriert Tesla neben Musik- auch Videostreamingdienste wie YouTube und Netflix in seinen vernetzten Fahrzeugen. Im Hinblick auf die Sicherheit, sollen die Videodienste bislang nur im geparkten Zustand abrufbar sein. Allerdings verwundert es wohl kaum, dass Tesla bereits weiterreichende Visionen in Bezug auf autonomes Fahren in Connected Cars und die entsprechenden Services entwickelt.  

Träume vom „In-Car-Gaming“ möchte auch Daimler wahr werden lassen. So präsentierte der Konzern zum Beispiel 2019 auf der  IAA in Frankfurt und auf dem Mobile World Congress in Barcelona ein CLA Coupèé, dessen Infotainment als Spielekonsole fungierte.

Vernetzung ermöglicht kontinuierliche Updates

In Deutschland arbeiten die Fahrzeugbauer unter Hochdruck am smarten Angebot im Connected Car und jagen sich gegenseitig die Trophäen ab. Mit Mercedes-Benz User Experience (MBUX) geht die zweite Generation vernetzter Fahrzeuge des Stuttgarter Konzerns an den Start. Die vernetzte neue S-Klasse erregt mit ihrem 12,8 Zoll großen Display in der Mittelkonsole beachtliche Aufmerksamkeit. Das Benutzerfeld erleichtert in Tablet-Erscheinung die Bedienung, während das Fahrerdisplay dank zweier Eye-Tracking-Kameras optional eine Tiefenwirkung im scheinbar dreidimensionalen Raum erzeugt. Sowohl das Fahrerdisplay als auch das gesamte Infotainmentsystem, können bei Bedarf Updates empfangen, ebenso einzelne  Licht- und Fahrassistenzsysteme. Und den Nutzern von Streamingdiensten wie Spotify, TIDAL oder Amazon Music bietet die neue S-Klasse den direkten Zugriff ohne Umweg übers angedockte Smartphone.  Damit schließen die Stuttgarter Autobauer an das bereits von BMW praktizierte „Connected Package Professional“ an, dessen Bestandteil unter anderem die Connected Music ist. Seit Anfang dieses Jahres hat auch BMW sein Angebot über Napster und Deezer um Spotify erweitert. 

Selbst in geparktem Zustand ist ein Fahrzeug jetzt von Nutzen

Connected Car Services bringen aber noch einen weiteren Vorteil. Durch das „In-Car-Delivery“ kann ein vernetztes Fahrzeug zum Beispiel Pakete und Postzustellungen aufnehmen. Der Kurier erhält einen einmaligen smarten Zugangscode zum Fahrzeug, legt die Lieferung darin ab und verriegelt es anschließend durch einen Remote-Befehl. Selbst das abgestellte Fahrzeug erfüllt jetzt also noch einen Zweck. 

Wir von magility beantworten gerne weitere Fragen zum Thema. Die Digitalisierung schreitet gerade jetzt in der Corona Krise mit großen Schritten voran und das Internet of Things (IoT) wird zum Enabler für neue innovative Geschäftsmodelle. Nicht nur in der Automobilindustrie, auch in anderen Branchen wird in Zukunft nahezu alles vernetzt und kommuniziert miteinander. Gerade jetzt ist es für Unternehmen wichtig intern die richtigen Weichen für diese vernetzte Zukunft zu stellen. Kontaktieren Sie uns, wir helfen gerne dabei!

Interview CSMS mit Dr. Michael Müller

Interview CSMS mit Dr. Michael Müller

Die Automobilindustrie befindet sich mitten im Paradigmenwechsel vom klassischen Einzelfahrzeug hin zur konnektiven und (teil-) autonomen Fahrzeugflotte. Durch den Einsatz von neuen Technologien sowie der Vernetzung von Fahrzeugen, Infrastruktur und Backends, sind in den letzten Jahren zahlreiche neue Angriffsflächen für Cyber Kriminalität entstanden. Die stetige Zunahme von Hackerangriffen zeigt, welch hohes Risiko nicht ausreichend geschützte Fahrzeuge für die Fahrer, Fahrzeughalter, Hersteller, Versicherungen und Verkehrsteilnehmer bergen. Schlagzeilen über spektakuläre Hacker-Angriffe zierten international viele Titelseiten und viele Stimmen sind laut geworden, die regulative Rahmenbedingungen für mehr Sicherheit über den gesamten Lebenszyklus eines Fahrzeuges forderten.

Jetzt ist es soweit, die UNECE setzt neue Standards in der Automobilindustrie und hat erst kürzlich die UN-Regelungen zu Cybersicherheit und für Cyber Security Management Systeme (CSMS) veröffentlicht.

Die EU plant, die Einhaltung der neuen Standards für neue Fahrzeugtypen im PKW und Nutzfahrzeugbereich  bereits ab Mitte 2022 einzufordern und in Folge auch auf die Bestands-Flotte auszudehnen. Wir haben mit unserem CEO, Dr. Michael Müller ein „Interview CSMS“ durchgeführt. Im Interview zu Cyber Security Management Systemen beantwortet Herr Dr. Michael Müller wichtige Fragen zu den neuen Regularien der UNECE für die Automobilindustrie.

Dr. Michael Müller, CEO magility

Q: Herr Dr. Müller, die Informationssicherheit von Fahrzeugen wird jetzt für die Typzulassung relevant. Ist das richtig? 

A: Ja, genau so ist es. Die Typgenehmigung von Fahrzeugen ist künftig verbindlich nur noch möglich, wenn der Hersteller ein zertifiziertes CSMS nachweisen kann und seine Fahrzeugflotte aktiv gegen Cyber-Bedrohungen schützt.“

Q: Welche Bedeutung hat das ganz allgemein für die Automobilindustrie? 

A: Diese neuen Regulierungen der UNECE WP.29 sind die ersten international verbindlichen Normen, die vorschreiben, wie den Cyber-Risiken über die gesamte automobile Wertschöpfungskette hinweg zu begegnen ist. Jetzt ist es nicht mehr reine Selbstverpflichtung den Cyber-Risiken zu begegnen sondern ein gesetzliches Erfordernis mit klaren Prüfungs- und Leistungsanforderungen. Die Automobilindustrie stellt das vor große Herausforderungen. Sämtliche Prozesse innerhalb des OEM und entlang seiner gesamten Supply Chain müssen nachweisbar an die durch WP.29 veröffentlichten gültigen Normen zu Cyber Sicherheit angepasst werden. Dazu gehört z.B. sicheres Lieferantenmanagement, sichere Beschaffungsprozesse, die Beschaffung von cyber-sicherer Software, ein ganzheitliches “End-to-End” Risikomanagement, die Absicherung sämtlicher Entwicklungs- und Produktionsprozesse bis hin zu sicheren After Sales-Prozessen sowie der cyber-sicheren Wartung der Fahrzeuge über den gesamten Lebenszyklus, welche die Bereitstellung von sicheren “Over-the Air”-Updates mit einschließt.“  

Sämtliche Akteure, die in der Automobilindustrie in die Supply Chain oder in den Aftermarket eines Fahrzeugs involviert sind, stehen jetzt vor der Aufgabe alle Prozesse in ihrem Unternehmen auf die Cyber Security-Vorgaben hin anzupassen. Die UNECE empfiehlt dabei den Unternehmen bei der Integration eines CSMS, die Orientierungung an der ISO/SAE 21434 (Road vehicles – Cybersecurity engineering) sowie der ISO/AWI 24089 (Road vehicles – Software update engineering), die sich momentan noch im Entwurfsstadium befinden aber in Ihrer Endfassung noch 2020 zu erwarten sind. Weitere bereits vorhandene Cyber Security Normen sind ebenfalls zu beachten. 

Das gesamte Ökosystem Fahrzeug mit jedem potentiellen Einfallstor muss also jetzt verbindlich abgesichert werden. Ein integriertes CSMS ermöglicht ein genormtes Monitoring sowie die Überprüfung ob die dazu notwendigen Anforderungen erfüllt sind. Wenn das CSMS den Anforderungen der UNECE nicht entspricht, wird es auch nicht zertifiziert, und dann gibt es auch keine Typzulassung mehr für den OEM. Das könnte ein ähnliches Desaster werden wie beim WLTP.“ 

Q: Wie können sich die OEMs jetzt sinnvoll vorbereiten?

A: „Durch die Entwicklungszeiten im Automobilbereich müssen sich die OEMs und auch die Zulieferer spätestens jetzt mit den Anforderungen an die Cyber Security ihrer Produkte intensiv befassen damit sie bis 2024 die Anforderungen für die Typprüfung erreichen. Die Unternehmen sollten dabei einen risikobasierten Ansatz, “End-to-End” verfolgen um ein angemessenes Schutzniveau ermitteln, erreichen und erhalten zu können. Und das nebenbei bemerkt nicht nur für den Fahrzeugtyp sondern auch für dessen externe Schnittstellen und die Subsysteme. Sowohl die Hersteller, als auch die Zulieferer haben jetzt die Aufgabe, sich selbst soweit zu ertüchtigen, dass sie auf Cyber-Attacken und Cyber Security-Schwachstellen, auch wenn sie nach Herstellung und Auslieferung der Fahrzeuge auftreten, umgehend reagieren können. 

Hierzu ist der Aufbau von Automotive Cyber Security Operation Center (ASOC) notwendig um die gesamte Fahrzeugflotte 24/7 weltweit zu überwachen. Der prozessuale und organisatorische Part von Automotive Cyber Security rückt dementsprechend mehr und mehr in den Fokus. Was den Unternehmen jetzt hilft, sind Cyber Security- Experten und Berater, die in der Lage sind, ein zum Unternehmen und zum Produktportfolio passendes ganzheitliches CSMS einzuführen. Wir bei magility unterstützen unsere Kunden bei der Entwicklung einer ganzheitlichen Cyber Security-Strategie und der dazugehörigen CSMS-Maßnahmenplanung. Natürlich begleiten wir auch bei der Umsetzung sowie Implementierung dieser Maßnahmen.“

Q: Welche Unternehmen sind außer den Fahrzeugherstellern von den neuen Regularien betroffen? 

A: „Es trifft nicht nur die OEM sondern auch Softwarefirmen und z.B. Zulieferer von Hardware, Sensoren und Systemarchitekturen. Wirklich jeder Akteur, der in den Lebenszyklus eines Fahrzeuges wie auch immer eingebunden ist, ist betroffen und muss jetzt handeln und seine Prozesse und Organisation anpassen.“

Q: Welche Maßnahmen schreiben die neuen Regularien noch vor? Können Sie uns die dringendsten nennen? 

A: „Den genauen Maßnahmenplan zu erläutern würde unsere Zeit sprengen. Alle Maßnahmen sind dringend und wichtig – wenn es um Cyber Security geht gibt es keine Kompromisse. Lässt man eine Maßnahme außen vor und in der Folge ist ein Einfallstor nicht abgesichert, kann es fatale Folgen haben. Jeder kennt die Horror-Szenarien, die sich dadurch ergeben können. Die Maßnahmenpläne können auf der Webseite der UNECE eingesehen werden und stehen jedem zur Verfügung. Auch auf unserer Webseite magility.com finden Sie weiterführende Informationen.“

Q: Wir haben gelernt: Die Integration eines ganzheitlichen CSMS ist ein entscheidender Faktor für die Typzulassung eines Fahrzeugs in der Zukunft. Wie ist ein solches CSMS aufgebaut? 

A: „Cyber Security Management System (CSMS)“ beschreibt einen systematischen risikobasierten Ansatz zur Definition der organisatorischen Prozesse, der Verantwortlichkeiten und der Steuerung, um Risiken im Zusammenhang mit Cyber-Bedrohungen für Fahrzeuge zu steuern und um vor Cyberattacken zu schützen. Ein CSMS umfasst auch die sichere Integration von Dienstleistern, Lieferanten und weiteren Dritten.“ 

Q: Sehen Sie durch die gesetzlich geforderten Neuerungen die Chance für positive gesamtwirtschaftliche Anreize, oder anders gefragt: Könnten die negativen Auswirkungen von Corona wenigstens zum Teil kompensiert werden indem durch UNECE WP.29 neue Beschäftigungsmöglichkeiten entstehen?

A: „Insbesondere aus dem IT-Sektor sind, induziert durch die neuen Anforderungen der UN zur Cybersicherheit und CSMS, technische Innovationen zu erwarten. Auch Nischenunternehmen und Startups könnten eine bedeutende Rolle einnehmen. Außerdem ergeben sich neue wirtschaftliche Möglichkeiten bei den Zulieferern. Das Erfordernis, Automotive Cyber Security abzusichern, wird zu bedeutenden Investitionen in den folgenden Jahren führen. Ich denke das wird sich im im Milliardenbereich abspielen. Die Antwort auf die Frage lautet also demzufolge JA!“

Q: Sie sind geschäftsführender Gesellschafter der magility GmbH, einem Beratungsunternehmen, welches sich seit vielen Jahren mit Automotive Cyber Security-Themen auseinandersetzt. Sie verfügen über ein großes Netzwerk in der Branche. Wie sehen Sie die Rolle von magility in diesem tiefgreifenden Neuerungs- Prozess? 

A: „Wir verstehen uns als Systemintegrator von CSMS für den deutschen und europäischen Markt. Durch unsere Partnerschaften mit dem unabhängigen Zertifizierungsdienstleister DEKRA, mit Technologieunternehmen wie Argus Cyber Security und mit High-Tech Startups und vor allem aufgrund unserer Erfahrung in der Automobilindustrie sehen wir uns bestens aufgestellt, um unsere Kunden in der Strategie und Maßnahmenplanung zu beraten, den Implementierungsprozess des CSMS im Unternehmen zu begleiten und bei der Umsetzung der Maßnahmen unterstützend zur Seite zu stehen.“ 

Q: Vielen Dank für die ausführlichen Antworten im „Interview CSMS“. Geben Sie uns zum Abschluss des Interviews noch einen persönliche Einschätzung Herr Dr. Müller? Wo geht die Reise der Automobilindustrie jetzt unter diesen neuen Rahmenbedingungen hin? 

A: „Die Automobilindustrie, die bisher sehr stark auf die Entwicklung, Produktion, Vertrieb und Wartung von Einzelfahrzeugen fokussiert war, wandelt sich zu einem Fahrzeug-Flottenbetreiber mit einem starken Fokus auf Software-Entwicklung. Die Automobilindustrie wird durch die vernetzte Fahrzeugflotte Teil der IoT-Industrie und befindet sich damit im Wettbewerb mit Google, Amazon, Baidu und weiteren Internetgrößen, was die Sache auch nicht einfacher macht. Gegenüber diesen neuen Wettbewerbern hat die Automobilindustrie, auch im Themenfeld Cyber Security einen massiven Aufholbedarf. Die Automobilindustrie wird zukünftig Teil der Mobility-Branche (TaaS und MaaS) und muss aufpassen nicht zum B2B Fahrzeuglieferant reduziert zu werden. Branchenübergreifende Geschäftsmodelle werden in der Zukunft ganz besonders wichtig.“ 

In einigen Wochen werden wir ein weiteres Interview durchführen. Hierzu sammeln wir Ihre dringende Fragen aus der Praxis zum Thema CSMS. Schicken Sie gerne Ihre Fragen direkt an Nada Lea Welker (CMO magility) nada.welker@magility.com