von Nada Welker | Okt. 31, 2023 | Automotive Cyber Security, IoT Cyber Security
Unser Magility CEO, Dr. Michael Müller, hat mit seinem Vortrag “Cyber Security – Bedrohung oder Business?” bei der Informationsveranstaltung “Effektive Cybersecurity – Im Gespräch mit Experten”, gemeinsam mit den beiden anderen Referenten, Herrn Christoph Nold von der IHK-Bezirkskammer Esslingen-Nürtingen und Marc Schwarz von der smartSEC GmbH aus Wernau, die Teilnehmer wachgerüttelt. Auch Dino Munk, Geschäftsführer der Cyber Security GmbH war vor Ort, um den Teilnehmern in anschließenden Gesprächen Rede und Antwort zur Cyber Sicherheit in Unternehmen zu stehen.
Die Veranstaltung wurde von Frau Dr. Natalie Pfau-Weller, Mitglied der CDU-Fraktion im baden-württembergischen Landtag, organisiert; Veranstaltungsort war das Kompetenzzentrum der Firma Heinrich Feeß GmbH & Co. KG in Kirchheim unter Teck. Frau Dr. Pfau-Weller eröffnete die Veranstaltung und betonte, dass das Thema Cybersicherheit angesichts der vermehrten Cyberangriffe sowohl in der CDU als auch im Landtag zunehmend an Bedeutung gewinne.
Cyber Angriff auf die IHK und die “Lessons learned”
Den Anfang machte Christoph Nold von der IHK Bezirkskammer, der von dem Hackerangriff auf die IHK im Jahr 2022 berichtete und auch seine “Lessons learned” mit den Teilnehmern teilte.
Die IHK-Gesellschaft für Informationsverarbeitung (IHK-GfI) hatte am 3. August 2022 ein auffälliges Verhalten in ihren IT-Systemen festgestellt und reagierte sofort. Experten des IHK Cyber Emergency Response Teams (IHK-CERT) der IHK-GfI untersuchten den Vorfall gemeinsam mit externen IT-Sicherheitsexperten. Aus Sicherheitsgründen wurde kurzfristig entschieden, die Verbindung aller Industrie- und Handelskammern zum Internet zu trennen, um den Angreifern den Zugriff auf die Systeme zu verwehren und weitere Angriffe zu unterbinden, insbesondere den Diebstahl oder die Verschlüsselung von Daten. Zwar hatte dies zur Folge, dass die IHK-Website offline ging und die Mitarbeitenden weder telefonisch noch per E-Mail erreichbar waren. Die Industrie- und Handelskammer Bodensee-Oberschwaben konnte aber dank diesem entschlossenen Handeln größeren Schaden an ihren IT-Systemen verhindern.
Die Ergebnisse der IT-Forensik zeigten, dass der Angriff von langer Hand vorbereitet wurde und die eingesetzten Manipulationswerkzeuge der Hacker hochentwickelt waren. Die Hacker nutzten eine Software-Sicherheitslücke eines Wissensmanagementsystems, das bei der IHK im Einsatz war: Durch einen unvorsichtigen Mitarbeiter, der das identische Passwort des Wissensmanagementsystems für den Login in das interne Netzwerk benutzte, konnten die Hacker den Hauptadmin des IHK Netzwerks übernehmen und die Cyber Sicherheit der IHK war stark gefährdet.
Cybersicherheit gefährdet durch Unachtsamkeit der Mitarbeiter?
An diesem Beispiel wird schnell deutlich: Als Einfallstor der Hacker dient oft die Unachtsamkeit eines Mitarbeiters. Daher sollte das Risikobewusstsein der Mitarbeiter bei jeder Cyber Sicherheits-Maßnahme im Mittelpunkt stehen.
Hacks aus der Region
Für Nold ist klar: Es ist nicht die Frage, ob ein Unternehmen, eine öffentliche oder lokale Verwaltung gehackt wird, es ist nur die Frage, wann das passiert. Der Referent führte Beispiele aus dem Landkreis Esslingen an:
- Hack auf Metabo: Die Angreifer drangen in die IT-Systeme des Unternehmens ein und stahlen Daten, darunter Kundendaten, Geschäftsgeheimnisse und geistiges Eigentum. Der Angriff führte zu erheblichen Produktionsausfällen und Umsatzeinbußen für Metabo. Auch nicht zu vernachlässigen ist der Reputationsschaden, der durch einen solchen Angriff entsteht. Es kann lange dauern, bis ein gehacktes Unternehmen in der Öffentlichkeit wieder das Image eines zuverlässigen Unternehmens erlangt.
- Hackerangriff auf die Messe Stuttgart: Am 3. September 2019 wurde die Messe Stuttgart Opfer eines Hackerangriffs. Wieder verschafften sich die Angreifer Zugang zu den IT-Systemen und erbeuteten sensible Daten. Der Angriff führte zu erheblichen Betriebsstörungen und Umsatzeinbußen für die Messe. Die Messe musste ihre IT-Systeme ausschalten , um die Verbreitung der Ransomware zu verhindern. Auch Aussteller waren betroffen. Der Angriff beschädigte das Image der Messe als zuverlässiger Veranstaltungsort, und als Folge mussten einige Veranstaltungen abgesagt werden.
- Schwerer Hackerangriff auf die Pilz GmbH: Am 13. Oktober 2019 wurde der schwäbische Automatisierungs- und Sicherheitsspezialist Pilz GmbH & Co. KG Opfer eines schweren Hackerangriffs. Die Angreifer raubten aus den IT-Systemen des Unternehmens in erheblichem Umfang vertrauliche Daten. Der Angriff führte zu erheblichen Produktionsausfällen und Umsatzeinbußen in Millionenhöhe. Der Hackerangriff auf Pilz hat gezeigt, dass auch Unternehmen mit einem starken Fokus auf IT-Sicherheit nicht vor Cyberangriffen gefeit sind. Unternehmen sollten ihre IT-Sicherheitssysteme ständig auf dem neuesten Stand halten und sich regelmäßig auf Cyberangriffe vorbereiten, um das Risiko eines erfolgreichen Angriffs zu verringern.
- Hackerangriff auf die Eberspächer Group: Am 24. Oktober 2021 wurde die Eberspächer Gruppe Opfer eines gezielten Hackerangriffs, der Teile ihrer IT-Infrastruktur beeinträchtigte. Das Unternehmen reagierte umgehend auf verdächtige Aktivitäten, schaltete Netzwerke und Server ab und erstattete Anzeige. Der Angriff betraf Server weltweit und verschlüsselte einen Teil der Daten mithilfe von Ransomware. Trotz der Herausforderungen, darunter die weltweit unzureichende Verfügbarkeit von Elektronik-Bauteilen, hat Eberspächer den Fokus auf die Kundenzufriedenheit gelegt und die Lieferfähigkeit aufrechterhalten. Die Wiederinbetriebnahme der IT-Infrastruktur erfolgte schrittweise nach gründlicher Prüfung und Datensäuberung, wobei Teile des Netzwerks sicherer wiederhergestellt wurden, als sie es zuvor waren.
Christoph Nold verwies weiter auf Untersuchungen von Statista, aus denen klar hervorgeht, dass sich die Schadenssummen, die durch Cyber Angriffe derzeit entstehen auf Rekordniveau befinden, trotz der Stagnation der Fallzahlen von Cyberangriffen.
Nold erwähnte auch ein Ergebnis aus der letzten DIHK-Umfrage zum Thema Digitalisierung: In kleineren Unternehmen existieren meist keine Notfallpläne für den Fall eines Cyberangriffs. Das sieht Christoph Nold sehr kritisch, denn gerade für die kleinen Unternehmen kann ein solcher Angriff das Aus bedeuten. Große Unternehmen sorgen meist vor, so gut sie es können.
Die Lessons Learned bei der IHK
Nach dem Cyberangriff auf die IHK wurden entscheidende Schritte unternommen, um mit der Situation umzugehen:
- Isolierung der Systeme: Um den Angriff einzudämmen und Schäden zu begrenzen, wurden alle Software-Systeme vorübergehend heruntergefahren.
- Hinzuziehen externer Experten: Externe Dienstleister, Forensik-Experten und das Landeskriminalamt (LKA) wurden in den Prozess einbezogen, um den Vorfall zu analysieren und die Täter zu identifizieren.
- Wiederherstellung der Kommunikation: Da die Telefonie ebenfalls von internetgestützten Systemen abhing und durch das Herunterfahren beeinträchtigt wurde, mussten alternative Kommunikationswege schnell aufgebaut werden, um die interne und externe Kommunikation wiederherzustellen.
- Wiederherstellung der Arbeitsfähigkeit: Die Arbeitsfähigkeit des Unternehmens war beeinträchtigt, daher war es entscheidend, die betroffenen Prozesse und Dienstleistungen rasch wiederherzustellen.
- Prüfung von Schadsoftware und Neuaufbau der IT-Infrastruktur: Um zukünftige Angriffe zu verhindern, wurden die IT-Systeme auf Schadsoftware überprüft und gegebenenfalls gesäubert. Zusätzlich wurde die IT-Infrastruktur neu aufgebaut und verstärkt, um zukünftige Sicherheitsrisiken zu minimieren.
Diese Maßnahmen verdeutlichen die Notwendigkeit der schnellen und koordinierten Reaktion auf Cyberangriffe, um Schäden zu begrenzen und die Sicherheit der betroffenen Organisation wiederherzustellen.
Was hat die IHK nach dem Angriff verändert?
Die IHK hat ihre Sicherheitsmaßnahmen verstärkt:
- Die IHK erlaubt nur noch den Einsatz von eigenen USB-Sticks. Fremde USB-Sticks sind nicht mehr zulässig.
- Die IHK lässt regelmäßig Phishing-Mails von externen Dienstleistern versenden, um die Aufmerksamkeit der Mitarbeiter zu testen. Die Ergebnisse der letzten Auswertung sind erschreckend: Von 500 Mitarbeitern klicken immer noch circa 50 auf die Phishing-Mails, obwohl die IHK bereits einen Cyber-Angriff auf die IT-Systeme erlitten hat. Hier sieht die IHK noch internen Handlungsbedarf.
- Um die Mitarbeiter und auch externe interessierte Unternehmen weiter zu sensibilisieren, bietet die IHK ein virtuelles IT-Sicherheitsfrühstück an. Das Sicherheitsfrühstück widmet sich in Form einer Webinarreihe den fortwährend wichtigen Themen der IT- und Cyber Sicherheit und bietet Unternehmen fundierte Einblicke in die Grundlagen der Cyber Sicherheit sowie wertvolle praktische Ratschläge mit dem Ziel, die digitale Sicherheit zu stärken und Herausforderungen bei der Umsetzung von Sicherheitsmaßnahmen zu meistern.
- Die IHK verweist ihre Mitarbeiter auf die Angebote des Landes Baden-Württemberg. Das Land Baden-Württemberg macht Angebote zur Förderung der Cyber Sicherheit in Unternehmen und Organisationen. Diese Angebote richten sich an Privatpersonen und Unternehmen aller Größenordnungen und Branchen. Die Angebote sollen die Menschen, Unternehmen und Organisationen dabei unterstützen, sich vor Cyberangriffen zu schützen.
Cyber Security Bedrohung oder Business?
Dr. Michael Müller übernahm nach einer kurzen, von Dr. Natalie Pfau-Weller moderierten Fragerunde das Wort und stieg mit der Frage ein, wer denn vom Cyberangriff auf die Deutsche Bundeswehr in den letzten Tagen mitbekommen habe.
Nachdem dies bei keinem Veranstaltungsteilnehmer der Fall war, erläuterte Dr. Müller, dass beim jüngsten Cyberangriff auf die Bundeswehr 2023 die IT-Systeme der Bundeswehr durch den Einsatz von Ransomware verschlüsselt wurden. Die Bundeswehr hat den Angriff abgewehrt und konnte die IT-Systeme wiederherstellen, und sie hat die Cyberangriffe als ernste Bedrohung für ihre Sicherheit und Handlungsfähigkeit eingestuft und eine Reihe von Maßnahmen ergriffen, um sich besser vor solchen Angriffen zu schützen. In den Massenmedien muss man nach diesen, eigentlich höchst wichtigen Informationen, ganz genau suchen. Auf den Titelseiten stehen Sie nicht!
Dr. Michael Müller und Cyber Sicherheit
Dr. Michael Müller ist geschäftsführender Gesellschafter und Gründer der Magility GmbH, einer Unternehmensberatung mit Sitz in Wendlingen am Neckar, im aufstrebenden Neckarspinnerei Quartier. Er hat über 30 Jahre Erfahrung in der Automobil- und Mobilitätsindustrie. Sein fachlicher Schwerpunkt ist das Design von digitalen und internationalen Geschäftsmodellen und deren operative Umsetzung. 2022 ging die Magility Cyber Security GmbH (MCS) als Ausgründung der Magility GmbH an den Start. Dr. Michael Müller hatte zuvor über die Magility GmbH schon jahrelang Cyber Security Projekte mit Fokus auf die Automobilindustrie betreut. Mit der MCS und dem Geschäftsführer und Mitgesellschafter Dino Munk ist dieses wichtige Thema von einem Magility-Geschäftsbereich in den Mittelpunkt einer ganzen Organisation gerückt. Die MCS ist heute Beratungspartner für die Umsetzung holistischer Cyber Security Strategien für die Gesamtorganisation von Unternehmen im Geltungsbereich der UNECE. Die Fachexperten für Automotive Cyber Security entwickeln für Unternehmen ein ganzheitliches und regelkonformes Cyber Security Management System entlang der gesamten Supply Chain. Dabei stellt die MCS mit Ihrem Cyber Security Ecosystem sicher, dass auch die angrenzenden Bereiche und Schnittstellen zu IT-Security, OT-Security und Privacy mit validiert und in der Cyber Sicherheits-Gesamtstrategie optimal neben der Produkt-Cyber Security integriert werden.
Die größten Cyberangriffe der letzten Jahre
Dr. Michael Müller zeigte die 9 größten Cyber Angriffe der letzten 3 Jahre auf und verdeutlichte, welche immensen Schäden den betroffenen Unternehmen nicht nur monetär durch diese Angriffe entstanden sind.

Auch fasste er die 9 größten Angriffe im militärischen Umfeld alleine aus dem Jahr 2023 zusammen
- 2023-02-25: Cyberangriff auf die ukrainische Militärführung im Vorfeld des russischen Einmarsches. Der Angriff führte zu einem Ausfall der Kommunikation und des Informationsflusses in der ukrainischen Armee.
- 2023-03-08: Cyberangriff auf das US-Verteidigungsministerium. Der Angriff führte zu einem Ausfall der Website des Ministeriums und zur Beschädigung von Daten.
- 2023-04-20: Cyberangriff auf die NATO-Kommandozentrale in Brüssel. Der Angriff führte zu einem Ausfall der Kommunikationssysteme der Kommandozentrale.
- 2023-05-20: Cyberangriff auf die chinesische Marine. Der Angriff führte zu einem Ausfall der Navigationssysteme der Marine.
- 2023-06-20: Cyberangriff auf die israelische Luftwaffe. Der Angriff führte zu einem Ausfall der Flugabwehrsysteme der Luftwaffe.
- 2023-07-20: Cyberangriff auf die russische Armee. Der Angriff führte zu einem Ausfall der Radarsysteme der Armee.
- 2023-08-20: Cyberangriff auf die britische Armee. Der Angriff führte zu einem Ausfall der Kommunikationssysteme der Armee.
- 2023-09-20: Cyberangriff auf die französische Armee. Der Angriff führte zu einem Ausfall der Waffensysteme der Armee.
- 2023-10-20: Cyberangriff auf die deutsche Armee. Der Angriff führte zu einem Ausfall der Logistiksysteme der Armee
Er machte dadurch für alle Teilnehmer deutlich sichtbar, um welche Tragweite es sich bei Angriffen von Cyber-Kriminellen handelt und wie wichtig das Thema der Cyber Security Vorsorge ist. Weiter führt Dr. Müller aus, wie die Unternehmen in den meisten Fällen von den Cyber-Kriminellen attackiert werden. 
Auf Platz 1 der Sicherheitsvorfälle bei der privaten Internetnutzung in Europa liegt der Empfang betrügerischer Nachrichten („Phishing“). Cyber-Kriminelle versuchen immer mehr Menschen zu manipulieren und auf diese Weise Schadsoftware zu installieren oder an sensible Daten heranzukommen. Diese als Social-Engineering bezeichneten Angriffe dienen oft als Grundlage für weitere Attacken. Mit dem sogenannten Phishing wird versucht, an vertrauliche Daten wie Kennwörter und persönliche Informationen zu gelangen.

Wenn erst einmal der Diebstahl von vertraulichen Zugangsdaten gelungen ist, wird das gesamte System weiter infiltriert und gegebenenfalls zusätzliche Backdoors zum Klau sensibler Daten eingebaut.
Bereits im Jahr 2019 erhielten rund ein Viertel der Befragten in Europa Phishing-Mails und 12 Prozent wurden zu betrügerischen Websites (Phishing-Domains) umgeleitet.
End-to-End Sicherheit als kritischer Erfolgsfaktor
Dr. Michael Müller klärte weiter auf, dass durch die moderne Konnektivität End-to-End Sicherheit zum kritischen Erfolgsfaktor für Unternehmen wird. Durch die stetig steigende Vernetzung von Fahrzeugen, Häusern (Smart Homes und Smart Cities) sowie medizinischen Geräten spielt Cyber Sicherheit nicht mehr nur in der IT-Landschaft der Unternehmen eine bedeutende Rolle. Durch vernetzte Geräte entsteht eine ganz neue Dimension möglicher Auswirkungen von Cyber-Angriffen. Die Produkt Cyber Security über den gesamten Lebenszyklus der Produkte wird immer relevanter. Die Szenarien eines gehackten Herzschrittmachers kann sich jeder selbst ausmalen.
Grundsätzlich muss Cyber Sicherheit deshalb auf unterschiedlichen Ebenen verankert werden:

End-to-End Security entlang des Lebenszyklus und der Value Chain
Auch das vernetzte Gesamtfahrzeugsystem setzt End-to-End Security vorraus. Nicht nur das Fahrzeug, sondern auch sämtliche Verbindungen nach außen und innen müssen geschützt sein und das über den gesamten Lebenszyklus des Fahrzeugs. Flottenmanagement und OTA (Over the Air) Software Updates werden zum kritischen Erfolgsfaktor.
Cyber Security kann nicht mehr als Einzelmaßnahme betrachtet werden, sie ist heute schon eine neue interdisziplinäre Unternehmens-Systemfunktion, so Dr. Michael Müller.
Das Cyber Sicherheit Management Systeme für Unternehmen
Die Magility Cyber Security (MCS) setzt genau hier an und fokussiert sich nun umso stärker auf die Unterstützung von Unternehmen und deren Lieferanten beim Umgang mit den neuen Bedrohungen. Hierzu empfiehlt die MCS unter anderem die Anwendung eines Cyber Security Management Tools bzw. Systems (CSMS) zur nachhaltigen Sensibilisierung und Bekämpfung von Cyber Risiken, hier dargestellt als CSMS Regelkreis:

Potentielle Cyber Crime Ziele der Zukunft
Zum krönenden Abschluss seines lebhaften Vortrags gab Dr. Müller noch einen Ausblick auf die potentiellen Cyber-Crime Ziele der Zukunft
- Kybernetische Organismen (sog. „Cyborgs“) und eingebettete Brain Machine Interfaces (BMI)
- Bionische Systeme (Schwachstellen bionischer Technologien, bionische Digital-/ Cyber-Sicherheit, Biometrie)
- Biometrische Authentifizierungsgefahren (Biometrics z.B. Fingerabdruckscans, Fotos, Irisscans, Stimmerkennung, Gesichtserkennung, EEG, EKG etc.)
- Behaviormetrics Analysen (Gehen, Schreiben etc.)
- Vernetzte implantierbare medizinische Geräte (IMDs) wie Herzschrittmacher, Insulinpumpen etc.
- Vernetzte Therapiegeräte (MRT, Röntgen, Anästhesiegeräte, Infusionspumpen etc.)
- Genetische Privacy – digital gespeicherte Genanalysen von DNA; Bio Hacking (potentielle Gefahr: Biokriminalität und Bio Terrorismus, Identitätsdiebstahl, Klonen etc.)
- Augmented und Virtual Reality Anwendungen (Verbrechen gegen persönliche Avatare, Gaming, Teledildonics etc.) Stichwort Metaversum
Einblicke in die Praxis eines IT-Notfallmanagers
Nach dem sehr anschaulichen Vortrag von Dr. Michael Müller übernahm Marc Schwarz von der SmartSec als Dritter und letzter Redner des Abends das Wort. Er gab den Teilnehmern Einblicke in seine Praxis als IT-Notfallmanager, Tipps für eine pragmatische Vorbereitung auf den Ernstfall und stand, wie die anderen Vortragenden, anschließend für Fragen zur Verfügung. Er begann mit einer Anekdote seines Tages. Sogar an diesem Tag hat er einen Anruf über sein Notfalltelefon bekommen. Ein Mittelstandsunternehmen mit 80-100 Mitarbeitern wurde tagesaktuell Opfer eines Cyberangriffs. Alle Unternehmensdaten wurden von den Cyber-Angreifern voll verschlüsselt. Es herrscht völliges Chaos, nicht einmal mehr auf die Backups des Unternehmens kann zugegriffen werden. Die Botschaft von Marc schwarz war ganz klar:
“Es gibt es nicht mehr, das es einen nicht trifft. Das Hackerbusiness ist einfach viel zu lukrativ. Jeder kann Opfer werden!”, so Marc Schwarz.
Die Hacker haben Zeit
In der Regel bemerken die Opfer einen Cyberangriff im Durchschnitt nach 200 Tagen. Die Täter haben also genügend Zeit, so lange ins System vorzudringen, bis sie auch Zugriff auf die Backups haben. Dann folgt die Verschlüsselung der Daten. Die Opfer haben dann oftmals gar keinen Zugriff mehr auf Ihre Daten – es war leicht für alle Zuhörer, sich auszumalen, was das bedeutet. Es folgen Erpresserschreiben, die professionell verfasst sind, mit herunterlaufender Uhr und beigefügtem “Kundenservice” mit verschiedenen Funktionen zum Bezahlen und Beschreibungen zum von den Hackern erwünschten Vorgehen. Der “Kundenservice” der Hacker ist laut Marc Schwarz oft besser als der vieler Serviceanbieter.
Die Chaosphase im Unternehmen
Es folgt bei den meisten Unternehmen die Chaosphase. Wer jetzt keinen präventiv verfassten Notfallplan aus der Tasche ziehen kann hat ein gewaltiges Problem. Marc Schwarz machte den Teilnehmern durch den persönlichen Einblick sehr anschaulich deutlich, dass ein Notfallplan mit Prozessbeschreibungen im Ernstfall für ein Unternehmenüberlebenswichtig sein kann! Schwarz weiß es aus Erfahrung: Es gibt einen typischen Verlauf der Krise. “Vorbereitung lohnt und Vorbereitung hilft”, ist sich Schwarz ganz sicher. Da die IT-Notfälle meistens nach einem ähnlichen Schema ablaufen, kann man sich auch gut darauf vorbereiten. Er fasste zusammen: Ein kritischer Hackerangriff scheitert meistens nicht an der IT, sondern am Management. Das Management wisse oft nicht, was zu tun ist.
Handlungsempfehlungen für den Ernstfalls
Marc Schwarz teilt seine Handlungsempfehlungen mit den Teilnehmern:
- Aufbau eines Notfallstabs – Rollen zuteilen, die im Ernstfall durchzusetzen sind. Alle organisatorischen Themen beachten!
- Alarmierungsprozess festlegen – Wer darf den Stecker ziehen, 4-Augen Prinzip? Wie läuft der Prozess ab?
- Geschäftsprozesse priorisieren – Was hat Priorität, welche Geschäftsbereiche haben Vorrang? Die genaue Festlegung ist notwendig, sonst gibt es im Ernstfall zu viele Diskussionen. Der Prozess muss für alle Beteiligten klar und nachvollziehbar und im Vorhinein kommuniziert sein.
- Was muss nach dem Angriff unbedingt schnell wieder laufen? Prios festlegen! Top 10 formulieren. Wenn keine Prio-Liste existiert, wird es zu emotionalen Diskussionen im Ernstfall kommen.
- Kritische IT-Systeme ableiten – Zu jedem Geschäftsprozess der Top 10 muss heruntergebrochen werden, was dazu an Hardware benötigt wird. Diese Hardware sollte als Notfall-Hardware an einem bestimmten Platz deponiert und für die Verantwortlichen leicht zugänglich sein.
- Wiederanlauf definieren – Auch für die Weiterführung der Geschäfte müssten Prozesse im Voraus festgelegt werden, so dass jeder weiß, was und wie es zu tun ist.
- Durchführen von Notfallübungen – Zu guter Letzt sollten regelmäßig Notfallübungen im Unternehmen stattfinden, denn wenn ein Szenario einmal durchgespielt wurde, kommt es im Ernstfall nicht zum totalen Chaos. Jeder weiß dann, wie die Abläufe und die Prozesse im Ernstfall zu sein haben.
Marc Schwarz zog sein Fazit: Wie die Chaosphase angegangen wird, ist absolut entscheidend. Die Vorbereitung auf einen Cyber-Angriff ist das A&O. Und: Beim zweiten Mal ist alles leichter!
Frau Dr. Pfau-Weller übernahm und moderierte die Fragen der Teilnehmer, bei denen die Referenten noch ein paar Anekdoten aus ihrem Arbeitsalltag und interessante Informationen teilten, die jeden einzelnen Teilnehmer ganz sicher nachhaltig zum Denken anregen.
Nach diesem Abend ist sich jeder Teilnehmer sicher, dass es heute keine IT- bzw. Cyber-Sicherheit mehr gibt. Die Frage dabei ist nur, wie wir damit umgehen und wie wir uns und unsere Unternehmen aufstellen, um im Ernstfall nicht im Chaos unterzugehen.
Die Cyber Security Experten der Magility Cyber Security GmbH helfen gerne dabei! Kontaktieren Sie uns gleich hier zu einem ersten Beratungsgespräch.
von Nada Welker | Okt. 5, 2022 | Automotive Cyber Security, Automotive, Cyber Security Management Systeme, Technologien für neue Märkte
Cyberkriminalität im Automobilsektor ist auch 2022 ein hochaktuelles Thema. Obwohl moderne Fahrzeuge nach wie vor der Beförderung von Personen und Gegenständen dienen, hat sich die Technik im Hintergrund revolutioniert. Was da täglich millionenfach über die Straßen rollt, könnte man getrost als ziemlich eigenständig arbeitende, mobile Großrechner bezeichnen, die im Hintergrund ein reges Eigenleben führen, während die Person am Steuer denkt, sie hätte selbst alles im Griff. Studien zeigen, dass die Hälfte der Fahrzeuge in der EU bereits 2025 über Konnektivität verfügt, 2030 liegt dieser Anteil bereits bei 78%. In den USA sind die prognostizierten Zahlen für den Anteil von Connected Cars noch höher: 72% in 2025, und sogar 96% bis 2030. Was ist nun die richtige Strategie gegen Cyberkriminalität im Automobilsektor?

Das Internet of Things macht Fahrzeuge durch Cyberkriminelle angreifbar
Software Defined Products sowie autonome und smarte Technologien in Fahrzeugen wie Telematics, V2X Kommunikation und Infotainment stellen für Hacker geradezu Aufforderungen zum Angriff dar, und sie erfordern ein umfassendes Cyber Security Management System (CSMS), wie es die EU vorsieht. Seit Juli 2022 ist die neue Verordnung zur Cybersicherheit für alle neuen Fahrzeugtypen in der Europäischen Union verbindlich. Ab Mitte 2024 soll die Anwendung eines zertifizierten CSMS für jeden Fahrzeugtyp zum Zeitpunkt der Typgenehmigung verbindlich vorgeschrieben sein.
Und das ist bitter notwendig, denn die 4G- und 5G-Konnektivität ermöglichen bereits mit wenig Grundwissen den Zugriff auf vernetzte Autos aus der Ferne. Man braucht dazu lediglich ein paar Informationen aus dem Darknet, wo man auch die entsprechende Software für Hackerangriffe kaufen kann, und manipuliert eine Spielekonsole, wie es Hacker in Großbritannien vormachten. Mindestens fünf Autos im Wert von insgesamt 210.000 Euro, erbeutet mit dem Game Boy, sind eine große Verlockung. Das digitale Sicherheitsverständnis steckt für die vernetzten Ökosysteme leider oft immer noch in den Kinderschuhen. Unser Interview mit unserem CEO, Dr. Michael Müller zu Cyber Security Management Systemen klärt auf und beantwortet wichtige Fragen zu CSMS und den neuen Regularien der UNECE (Wirtschaftskommission für Europa) für die Automobilindustrie.
Europas größter Autohändler gehackt
In der Schweiz setzten Hacker Anfang des Jahres Europas größten Autohändler außer Gefecht. Die Emil Frey Gruppe musste zusehen, wie ihre Website, der Online-Service und die Telefonanlage zusammenbrachen. Ein Umsatz von rund zehn Milliarden Euro und eine Betriebsgröße von 22.000 Mitarbeitern erschienen den Cyber-Kriminellen ein lohnender Anreiz, den mit dem Digital Automotive Award ausgezeichneten Familienbetrieb ins Visier zu nehmen. Mit dem Slogan „Wir kaufen Ihr Auto“ wollte die Frey Gruppe bis 2025 einen Marktanteil beim Onlinehandel von 20 Prozent am Gesamtabsatz erzielen. Der deutsche Markt sollte dabei die Vorreiterrolle übernehmen. Auf solch ambitionierte Vorhaben wartet die kriminelle Cyberszene geradezu. Zerstören ist ihr Hauptanliegen, und dabei finanziell mitzunehmen, was geht, ihr oberstes Ziel.
Der jährliche Schaden durch Cyberkriminalität ist für die deutsche Wirtschaft immens
Wie der IT-Branchenverband Bitkom in jüngster Zeit errechnete, entsteht allein der deutschen Wirtschaft jährlich ein Schaden in Höhe von 223 Milliarden Euro oder anders ausgedrückt: sechs Prozent des deutschen Bruttoinlandsprodukts im Jahr 2021. Laut einer Studie des Verbands sind neun von zehn Unternehmen sowie Behörden und Banken von Datendiebstahl, Spionage und Sabotage betroffen; alleine in Deutschland wurden knapp die Hälfte der Unternehmen im Jahr 2022 mindestens ein Mal Opfer eines Cyberangriffs.
[infobox headline=“Das Wichtigste in Kürze“]
- Cyberkriminalität betrifft alle Industrien; verstärkt jedoch solche mit IoT-Bezug
- Bis 2030 sollen 96% aller Fahrzeuge in den USA mit Konnektivität ausgestattet sein
- Für alle Fahrzeugtypen soll ab Mitte 2024 ein zertifiziertes Cyber Security Management System (CSMS) für den Umgang mit Cyberrisiken verbindlich vorgeschrieben sein
- Cyberkriminalität findet im gesamten Automobil-Ökosystem statt und beschert der deutschen Wirtschaft jährlich einen Schaden in Höhe von 223 Milliarden Euro
- Ein professionelles CSMS bildet die Grundlage für automobile Cyber Security
[/infobox]
Unternehmen sollen kein Lösegeld zahlen
Dabei spielt Erpressung über den Einsatz sogenannter Ransomware eine tragende Rolle. Und laut einer aktuellen Studie des Sicherheitsdienstleisters Sophos spielen 42 Prozent der betroffenen Unternehmen mit. 253.160 Euro beträgt das durchschnittlich in einem Erpressungsfall bezahlte Lösegeld. Die Möglichkeit, sich gegen Lösegeldforderungen zu versichern, trägt sicher mit zu schnellerem Nachgeben bei. Obendrein ist das Ganze auch noch steuerlich absetzbar. Doch was Unternehmern notgedrungen eine schnelle Lösung scheint, wird vom Bundeskriminalamt (BKA) abgelehnt.
Organisierte Cyberkriminalität wird zum geostrategischen Risiko
Das BKA rät ausdrücklich, Lösegeld nicht zu bezahlen und verweist darauf, dass betroffene Dateien und Programme von den Erpressern trotz Zahlung oft nicht entschlüsselt und wieder freigegeben würden. Deshalb haben sich nun 22 IT-Experten in einem Appell an die Bundespolitik gewandt. Sie sehen hinter der Ransomware das hochgradig organisierte Verbrechen und bezeichnen die Lösegeldforderungen via Malware als geostrategisches Risiko, dessen Wurzeln man im Keim ersticken müsse. Die Forderung der IT-Spezialisten lautet: keine Versicherung mehr gegen Cyber-Angriffe, keine steuerliche Abschreibungsmöglichkeit und vor allem kein Eingehen auf die Forderung von Lösegeld.
Magility Cyber Security und Cyberkriminalität
Spätestens seit der Verabschiedung der UNECE sind CSMS unternehmenskritisch – ohne CSMS keine Fahrzeugzulassung und ohne Zulassungen stehen die OEM im Regen. Wir von Magility haben das Problem der Cyberkriminalität im Automobilbereich schon lange im Fokus. Schon vor Jahren haben wir ein Cyber Security Management System (CSMS) für die Automobilindustrie entwickelt, welches fortlaufend aktualisiert wird und alle UN-Regularien (UNECE WP.29) und Standards wie ISO/SAE 21434 und ISO/AWI 24089 integriert.
Ein CSMS bildet die Grundlage für automobile Cyber Security und basiert auf einem einheitlichen Standard. Cyber Security wird nunmehr nicht nur in der Projektebene sonder auf Organisationsebene verankert und definiert einen prozessualen Rahmen. So dass nicht nur Fahrzeuge vor Angriffen geschützt sind sondern das gesamte digitale Ökosystem der Unternehmen.
Erst kürzlich haben wir die Magility Cyber Security GmbH ausgegründet um diesem wichtigen Thema einen eigenen Raum zu geben. Die Magility Cyber Security GmbH (MCS) ist ab sofort Ihr kompetenter Partner für die ganzheitliche Umsetzung von CSMS und Software Update Management System (SUMS). Gerne beraten die Cyber Security Experten der MCS Ihr Unternehmen und begleiten Sie bei der Implementierung eines CSMS und bei Bedarf auch eine SUMS in Ihr Unternehmen über alle Prozessstufen entlang der Supply Chain und über den gesamten Lebenszyklus des Fahrzeugs. Für mehr Informationen kontaktieren Sie gerne unsere magility Cyber Security Experten.
von Julia Riemer | Mai 18, 2022 | Automotive, Automotive Cyber Security, Cyber Security Management Systeme, Future Economy, High Tech Trends, Internet of Things, IoT Cyber Security, Marktentwicklung & Trends, Smart Cities, Technologien für neue Märkte
Software Defined Products beschreiben eine neue Art von Produkten, bei der die Software und nicht die Hardware im Mittelpunkt steht und die zur Bereitstellung vielfältigster Lösungen verwendet wird.
Die Charakteristika von Software Defined Products
Software Defined Products lassen sich anhand der folgenden Charakteristika beschreiben:
- Produktnutzen wird programmierbar: Weite Teile des Funktions- und Nutzenspektrums eines Produktes erschließen sich nur noch digital und werden über Apps oder digitale Displays gesteuert.
- Produkt-Release = Software-Update: Neue Features werden als Software-Update eingespielt und bereitgestellt. Der Kunde muss dafür nicht mehr auf die neue Geräte- bzw. Hardwaregeneration warten.
- Differenzierung über Software-Funktionen und Usability: Die Hardware- und Material-Eigenschaften von Produkten treten sukzessive in den Hintergrund. Ein wesentlicher Teil des Produktnutzens ergibt sich zukünftig aus den software-basierten Funktionalitäten, der Sensorik und der Vernetzung der Geräte zu einer ganzheitlichen IoT-Lösung.
Demzufolge wird die Software-Entwicklung ein zentraler Aspekt des Product-Lifecycles. Denn vom Prototyping bis in die Produktivphase hinein ist die Software die wesentliche Stellgröße, welche die Produktentwicklung maßgeblich beeinflusst.
Potential, Komplexität und Kosten
Im Eifer des Gefechts um Digitalisierung, Analytik und Cloud kann man leicht die Fortschritte übersehen, die derzeit in den Bereichen Infrastruktur und Betrieb von statten gehen. Die gesamte Betriebsumgebung – Server, Speicher und Netzwerk – kann heute virtualisiert und automatisiert werden. Das Rechenzentrum der Zukunft bietet das Potenzial, nicht nur Kosten zu senken, sondern auch die Geschwindigkeit drastisch zu erhöhen sowie die Komplexität der Bereitstellung, Implementierung und Wartung von Technologien zu reduzieren. “Software Defined Everything” kann Infrastrukturinvestitionen wesentlich kostengünstiger möglich machen und so zu einem Wettbewerbsvorteil werden.
Herausforderung an die Mobility Industrie – Aufbau einer ganzheitlichen Software-Systemkompetenz
Der softwaregesteuerte Wandel vollzieht sich in allen Branchen. Auch die Automobilindustrie ist seit Jahren mitten drin im Strukturwandel: Vernetzte Dienste gibt es schon seit Jahrzehnten, Autos enthalten bereits bis zu 100 elektronische Steuergeräte, die von Millionen von Codezeilen unterstützt werden, und es werden fortschrittliche KI-Algorithmen für das autonome Fahren entwickelt. Das Hard- und Software-Engineering für Automobilsysteme verändert sich grundlegend und umfasst moderne eingebettete und Cloud-Technologien, verteiltes Computing, Echtzeitsysteme und verteilte Sicherheitssysteme.
Automobilhersteller und Software-Systemkompetenz
Dennoch sind die meisten Automobilhersteller derzeit nicht in der Lage, softwaredefinierte Traumautos zu bauen. Einige Unternehmen haben gar den Strukturwandel nicht überlebt, und es ist sicherlich ein Fehler, Schlüsselindikatoren für potenzielle groß angelegte Umwälzungen außer Acht zu lassen. Besonders ist auf Akteure anderer Industrien, wie z.B. der Telekommunikationsindustrie, zu achten. Diese drängen oftmals mit überlegener Technologie in den Markt der Automobilindustrie. Die hard- und softwareintensiven Systeme in modernen Autos bieten viele neue Möglichkeiten, aber sie erfordern auch eine sorgfältige Konzeption, Implementierung, Überprüfung und Validierung, bevor sie für die Nutzer freigegeben werden können. Um die schnell wachsende Komplexität zu beherrschen, braucht die Software für die Automobilindustrie eine klare Architektur. Natürlich muss die Architektur auch die Anforderungen an SW/HW-Qualität, funktionale Sicherheit und Cybersicherheit erfüllen.
Zwei zusammenlaufende Trends
Trotz pandemiebedingter Verzögerungen müssen die Akteure der Automobilindustrie auf den Übergang zu Produkten setzen, deren Eigenschaften ganz wesentlich von der implementierten Software bestimmt werden, ja, sie müssen diesen Übergang jetzt beschleunigen. Es gibt Anzeichen dafür, dass sich der Automobilabsatz erholen wird. Und es liegt nahe, dass die Pandemie eine Kundschaft fördert, die aus Sicherheitsgründen zum Autobesitz tendiert und zudem an softwarebasierte Funktionen gewöhnt ist – zwei Trends, die zusammenlaufen werden, wobei die Autokäufer Fahrzeuge bevorzugen, welche dieselben softwarebasierten Optionen enthalten, auf die sie sich zu Hause, bei der Arbeit und in der Freizeit schon verlassen. Um sich auf diese Nachfrage vorzubereiten, müssen die Autohersteller Software in den Mittelpunkt ihrer Aktivitäten und Produkte stellen – mithilfe einer ganzheitlichen Software-Systemkompetenz. Agile Servicebereitstellungsmodelle, die DevOps, Microservices und Cloud-Lösungen kombinieren, werden funktionale Veränderungen ermöglichen, die weit über den traditionellen V-Entwicklungsansatz hinausgehen. Das softwaredefinierte Auto kombiniert verschiedene Arten von Hard- und Software-Architekturen und die HW/SW-Designer und -Architekten müssen mit einer Reihe von Paradigmen und bewährten Praktiken aus verschiedenen Hard- und Software-Disziplinen vertraut sein.
Big Data Services, Autonomes Fahren, Smart City und Smart Grids
Eine Smart City definiert sich wesentlich über Informations- und Kommunikationstechnologien (IKT). Es geht dabei darum den wachsenden Herausforderungen der Urbanisierung zu begegnen. Ein großer Teil dieses IKT-Rahmens ist ein intelligentes Netz von miteinander verbundenen Objekten und Maschinen, das Daten mithilfe von Drahtlostechnologie und Cloudanwendungen überträgt.
Cloud-basierte IoT-Anwendungen
Cloud-basierte IoT-Anwendungen empfangen, analysieren und verwalten Daten in Echtzeit, um Kommunen, Unternehmen und Bürgern zu helfen, bessere Entscheidungen zu treffen, die die Lebensqualität verbessern können.
Smart City Ökosysteme
Die Bürgerinnen und Bürger interagieren auf verschiedene Weise mit Smart-City-Ökosystemen, indem sie Smartphones und mobile Geräte sowie vernetzte Autos und Häuser nutzen. Die Verknüpfung von Geräten und Daten mit der physischen Infrastruktur und den Diensten einer Stadt kann Kosten senken und die Nachhaltigkeit verbessern. So können beispielsweise Gemeinden mit Hilfe des IoT die Energieverteilung verbessern, die Müllabfuhr rationalisieren, Verkehrsstaus verringern und die Luftqualität verbessern.
Beispiele des Automotive-Bereichs in einer Smart City:
- Autonomes Fahren: Fortbewegung mithilfe von Fahrzeugen, mobilen Robotern und fahrerlosen Transportsystemen, die sich weitgehend autonom verhalten.
- Intelligente Stromnetze (Smart Grids) kombinieren Erzeugung, Speicherung und Verbrauch. Eine zentrale Steuerung stimmt sie optimal aufeinander ab und gleicht somit Leistungsschwankungen – insbesondere durch fluktuierende erneuerbare Energien – im Netz aus.
- Smarte Verkehrssteuerung: Vernetzte Ampeln empfangen Daten von Sensoren und Autos und passen die Ampelschaltung und den Zeitplan an das Verkehrsaufkommen in Echtzeit an, um Staus auf den Straßen zu verringern.
- Vernetzte Autos können mit Parkuhren und Ladestationen für Elektrofahrzeuge (EV) kommunizieren und die Fahrer zum nächsten freien Parkplatz leiten.
- Intelligente Mülltonnen senden automatisch Daten an die Entsorgungsunternehmen und planen die Abholung nach Bedarf und nicht nach einem im Voraus festgelegten Zeitplan.
- Smarte Administration: Und das Smartphone der Bürgerinnen und Bürger wird zum mobilen Führerschein und Personalausweis mit digitalem Ausweis, was den Zugang zur Stadt und zu den Dienstleistungen der Kommunalverwaltung beschleunigt und vereinfacht.
Zusammen optimieren diese Smart-City-Technologien die Infrastruktur, die Mobilität, die öffentlichen Dienstleistungen und die Versorgungseinrichtungen. Der Automotive Bereich wird durch umfassende Flotten- und Fahrzeugfunktionen profitieren.
Software-Qualität (ASPICE), funktionale Sicherheit, TISAX und Cyber Security
In der Telekommunikation wurden in den 90er und frühen 2000er Jahren schon Cybersecurity-Vorschriften eingeführt, im medizinischen Bereich sogar noch früher. Und obwohl schon seit vielen Jahren auch die Internetfähigkeit von Fahrzeugen technisch realisiert ist und Software-Updates vieler auf dem Markt befindlicher Fahrzeuge schon Over the Air (OTA), also drahtlos laufen, hat die Automobilindustrie in den letzten 40 Jahren die Cybersicherheit nicht besonders priorisiert, so dass die Branche im Vergleich zu vielen anderen Sektoren heute einen Rückstand aufweist. Dies ist umso bedrohlicher als die Funktionsfähigkeit von Fahrzeugen heute auf Millionen von Codezeilen basiert, und Kommunikationsbusse wie z.B. CAN, LIN oder auch Ethernet beliebte Einfallstore für Hacker-Angriffe geworden sind.
Cyber Security als erfolgskritischer Faktor
Cyber Security ist also zum erfolgskritischen Faktor geworden und muss Teil der Unternehmens-Gesamtsystemfunktion werden. Alle Cyber-Sicherheits-Aspekte müssen über die gesamte Wertschöpfungskette mitgedacht werden. Andernfalls bestünde die ständige Gefahr, dass ein Dritter die Kontrolle über das Auto übernimmt, während es gefahren wird.
Die wichtigsten Regularien im Überblick
Seit 2020 gibt es nun auch verpflichtende Regularien zu Cyber Security und Software-Updates für die Automobilindustrie und ihre Akteure. So ist zum Beispiel ein ganzheitliches Cyber Security Management System (CSMS) sowie ein Software Update Management System (SUMS) für Fahrzeughersteller und deren Typgenehmigung verpflichtend geworden. Wir haben schon mehrfach darüber berichtet. Auch die ISO/DIS 24089 und ISO/SAE 21434 sind hinzugekommen sowie die Norm ISO/TR 4804:2020 Straßenfahrzeuge – Sicherheit und Cybersicherheit für automatisierte Fahrsysteme – Entwurf, Überprüfung und Validierung und die TISAX® (Trusted Information Security Assessment Exchange)-Norm des VDA. TISAX® fokussiert auf die Bedürfnisse der Automobilindustrie: Mit einer Zertifizierung für die Automobilzulieferer soll die Informationssicherheit in der Automobilindustrie sichergestellt werden. Der Verband der Automobilindustrie (VDA) hat im vergangenen Februar den Leitfaden Automotive SPICE for Cybersecurity herausgegeben. Automotive Spice oder ASPICE steht für Automotive Software Process Improvement and Capability Determination und soll unter anderem die Leistung und Qualität der Software Entwicklungsprozesse der OEMs und deren Zulieferern in der Automobilindustrie bewerten.
All diese neuen Regularien dienen nun als Grundlage für jedes Unternehmen, das mit OEMs zusammenarbeitet, sowie für die Automobilhersteller selbst.
Wir betrachten alle Ebenen: Flotte (Lifecycle), System (Fahrzeug), Subsystem und Komponenten
Die (Weiter-)Entwicklung von Fahrzeugsoftware bietet eine Vielzahl von Möglichkeiten für Ihr Unternehmen:
- Erfüllung dynamischer Erwartungen der Kunden
- Bereitstellung neuer Funktionalitäten
- Sicherstellung der Verkehrssicherheit durch qualitativ hochwertige Software
- Erfüllung von Qualitätsanforderungen durch entsprechende Tests
- Vorausschauende Diagnose und Flottenmanagement sowie Telematik
- Sicherer Zugriff auf Fahrzeugdaten von jedem Ort aus
- Ermöglichung von Firmware-Updates over the Air
- Software für die Fahrzeugverfolgung
- Entwicklung von Software für die Fahrzeugnavigation, die den Bedürfnissen der Fahrer von Elektrofahrzeugen gerecht wird
Automotive Software Engineering ist Bindeglied zwischen Backend Softwareanwendungen und den Hardwarekomponenten eines Fahrzeugs.
Die Notwendigkeit von Over-the-Air (OTA)-Software-Updates
Der Markt für Over-the-Air (OTA)-Software-Updates in der Automobilindustrie hat sich im letzten Jahr stark verändert. Die großen Automobilhersteller drängen darauf, den Einsatz von OTA-Updates in der Breite auszurollen und für vernetzte Fahrzeuge einzusetzen. Neue Vorschriften sowohl für OTA-Updates als auch für die Cybersicherheit sind erst kürzlich verabschiedet worden (wir haben darüber berichtet) und weitere werden mit dem Fortschritt der Technik erforderlich sein.
- Es gibt Vorschriften, die die Verpflichtungen von OEMs und Zulieferern bei der Aktualisierung von Software zur Erfüllung gesetzlicher Anforderungen festlegen.
- Die technischen Vorraussetzungen für OTA-Updates und das Know-how sind bereits verfügbar.
- Automobilhersteller werden in Zukunft nicht nur Software-Updates sondern auch weitere Features Over the Air in die Fahrzeuge „einspielen“. Die OTA-Übertragung muss also für die Automobilhersteller funktionieren und wird zu einem erforderlichen Unterscheidungsmerkmal im Wettbewerb. Hier liegt großes Potenzial für neue Einnahmequellen.
- Autokäufer erwarten verlässliche und bequeme OTA-Update-Funktionalität.
- Die Nutzung der OTA-Übertragung für zusätzliche Funktionen in vernetzten Fahrzeugen nimmt stark zu. Nahezu jede Cloud-Plattform kann um weitere Anwendungen ergänzt werden, die dann OTA zum und ggf. wieder vom Auto „fließen“.
OTA-Übertragungen sind auf einem schnellen Wachstumspfad. Dieser Trend schafft einen starken Markt für „OTA-Clients“ und einen noch größeren Markt für „Cloud-OTA-Dienste“.
magility und Software Defined Products
Software Defined Products stehen mehr und mehr im Mittelpunkt aller Industrien und insbesondere auch der Automobilindustrie und ihrer Zulieferer. Ganz unabhängig von ihrer Größe wird diese Entwicklung tiefgreifende Auswirkungen auf die Unternehmen haben. Neue Strategien sind gefragt, um die Überlebensfähigkeit in den immer komplexeren Märkten zu sichern. Wir bei magility begleiten Unternehmen dabei, die Unternehmensstrategie unter Beachtung aller, durch das IoT neu einwirkenden, Faktoren zu überprüfen, anzupassen und Maßnahmen für die Strategieumsetzung zu identifizieren und zu implementieren. Dazu gehört auch die Integration neuer Leistungssegmente und ggf. ganzer neuer Geschäftsbereiche. Dabei kooperieren wir mit dem International Institute of Information Technology in Bangalore, Indien. Dr. Roland Haas ist Professor am IIITB und unser Spezialist für Software Defined Products, OTA-Funktionen und Software-Systemkompetenz für die Automobilindustrie. Kontaktieren Sie uns jetzt – Wir beantworten gerne ihre Fragen.
Folgen Sie uns für weitere News auch auf LinkedIn. Wir freuen uns auf Sie!
von Julia Riemer | Mai 6, 2022 | Cyber Security Management Systeme, Aktuelles von Magility, Automotive, Automotive Cyber Security, Future Economy, IoT Cyber Security, Know-how und Inspiration, Marktentwicklung & Trends, New Mobility, Strategie im Wandel
In den nächsten Jahren werden viele Länder die Regelungen R155 für Cybersicherheit und R156 für Software-Updates der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) einführen. Die neuen Vorschriften befassen sich mit dem wachsenden Risiko, das sich aus der zunehmenden Konnektivität und der digitalisierten Fahrzeugumgebung ergibt – eine große Herausforderung für Fahrzeughersteller und ihre Zulieferer. Dieser Artikel befasst sich vorrangig mit der Regelung UN-R 156 für Software-Updates sowie der Einrichtung eines Software Update Management Systems (SUMS).
UNECE-Regelung 156 – SUMS
UN-R156 schafft den Rahmen für die Typgenehmigung von Software-Updates für Fahrzeuge und für die Einrichtung eines Software Update Management Systems (SUMS). Mit einem SUMS wird sichergestellt, dass die in der UNECE Regelung 156 beschriebenen Anforderungen für die Bereitstellung von Software-Aktualisierungen eingehalten werden. Ein SUMS legt die hierfür notwendigen organisatorischen Prozesse und Verfahrensweisen fest und basiert auf dem gleichen Modell wie ein Cyber Security Management System (CSMS). Es ist die zentrale Kontrolleinheit für Software-Updates. Das Ziel dabei ist, alle Arten von Aktivitäten und Prozessen, die für die Updates unerlässlich sind, zu entwickeln, zu kontrollieren und kontinuierlich zu verbessern. Um als OEMs eine Zertifizierung für die Typgenehmigung zu erhalten, müssen alle vorgeschriebenen Typgenehmigungsparameter mit einbezogen werden. In der UNECE Verordnung 156 sind diese Parameter wie Sicherheit, Konnektivität, Informationsaustausch, Diebstahl und Umwelt in einer Checkliste für die OEMS aufgelistet. Die Erfüllung dieser Parameter ist ausschlaggebend für die Typgenehmigung. Durch die Implementierung eines SUMS können OEMs und Zulieferer sicherstellen, dass sie die Regulierung für die Auslieferung von Software-Aktualisierungen einhalten.
Die wichtigsten Inhalte aus der UN-R156
- Gemäß Absatz 2.3 der UN-R156 beschreibt der Begriff „Software-Update“ ein Paket, das zur Aktualisierung der Software auf eine neue Version einschließlich einer Änderung der Konfigurationsparameter verwendet wird.
- Gemäß Absatz 2.5 der UN-R156 ist SUMS ein systematischer Ansatz, der organisatorische Prozesse und Verfahren zur Erfüllung der Anforderungen für die Lieferung von Software-Updates gemäß UN-R156 definiert. Dabei geht UN-R156 insbesondere auf Over the Air (OTA)-Updates ein. Gemäß Absatz 2.9. der UN-R156 bedeutet ein OTA-Update jede Methode der drahtlosen Datenübertragung anstelle eines Kabels oder einer anderen lokalen Verbindung.
- Nach Absatz 6 der UN-R156 muss ein Erstausrüster für sein SUMS ein sogenanntes Übereinstimmungszertifikat von einer zuständigen Typgenehmigungsbehörde einholen. Ein Übereinstimmungszertifikat ist in der Regel bis zu drei Jahre ab dem Datum der Auslieferung gültig. Die Erstausrüster müssen rechtzeitig vor Ablauf der Gültigkeitsdauer eine neue oder eine Verlängerung der bestehenden Übereinstimmungsbescheinigung beantragen. Eine gültige Übereinstimmungsbescheinigung für das SUMS ist die wichtigste Grundlage für eine gültige Typgenehmigung.
- UN-R155 und UN-R156 legen in erster Linie Typgenehmigungsanforderungen an Erstausrüster in ihrer typischen Rolle als Inhaber der Typgenehmigung für das gesamte Fahrzeug fest. Sie erwarten also, dass ein Erstausrüster ein ordnungsgemäßes CSMS und SUMS einführt und unterhält und auf seine jeweiligen typgenehmigten Fahrzeugtypen anwendet. Ordnungsgemäße Cybersicherheit und Software-Updates betreffen dagegen in der Regel auch Zulieferteile. Daher werden die meisten Zulieferer auch in die Überlegungen zur Cybersicherheit und Softwareaktualisierung einbezogen. Dementsprechend müssen Erstausrüster und Zulieferer bei der Gewährleistung der Cybersicherheit von Fahrzeugen und ihren Komponenten eng zusammenarbeiten.

Darüber hinaus – und möglicherweise noch mehr als bisher – werden die OEMs verpflichtet sein, ihre Fahrzeuge im Feld zu überwachen, potenzielle Cybersicherheits- oder Software-Risiken zu erkennen und – falls erforderlich – Software-Updates bereitzustellen, um diese Risiken rechtzeitig zu mindern, z. B. in Form von freiwilligen Servicemaßnahmen, einem Rückruf oder vergleichbaren Maßnahmen.
Vier Schlüsselaspekte zur Umsetzung der Anforderungen des Software Update Management Systems
Um die Anforderungen des Software Update Management Systems (SUMS) umzusetzen, sind die folgenden Aktivitäten unerlässlich:
- Es sollten Ziele und Vorgaben in der Governance geschaffen bzw. erweitert werden, um die Planung und den Betrieb eines Software Update Management Systems zu ermöglichen und durch Audits umsetzbar und überwachbar zu machen.
- Daraus sollten Prozesse für das Management des SUMS abgeleitet und etabliert werden. Zusätzlich zu den bereits erwähnten Themen Implementierung und Auditierung wird es wichtig, Prozesse für die Informationsverteilung und das Reporting innerhalb des Betriebsmodells zu etablieren. Ebenso bedeutsam ist es, die korrekte Ausführung des SUMS sicherzustellen und kontinuierliche Verbesserungen zu ermöglichen. Ein weiterer gewichtiger Aspekt ist auch, eine angemessene Rückverfolgbarkeit für die Prüfung und Genehmigung des Fahrzeugtyps sicherzustellen. Um dies alles sicherzustellen,müssen Risiken bei der Durchführung von Software-Updates sowie in der Organisation und Infrastruktur identifiziert und in das Risikomanagement einbezogen werden.
- Dies erfordert organisationsweite und projektspezifische Prozesse, Rollen, Verantwortlichkeiten, aber auch Werkzeuge und Technologien, die den Aufbau und die Durchführung des SUMS steuern und daraus Informationen für das Management, aber auch für die Behörden oder den technischen Dienst aufbereiten.
- Operativ beinhaltet SUMS auch die Berücksichtigung von Anforderungen an die Fahrzeugkonfiguration und deren Leistungsfähigkeit. In diesem Zusammenhang sollten die bestehenden Entwicklungs- und Einführungsprozesse überprüft werden, um insbesondere die Dokumentation und Nachvollziehbarkeit der Berücksichtigung von Fahrzeugkommunikationsprozessen, der Leistungsfähigkeit von Systemen und Komponenten, des Fahrzeugstatus, der Fehlervermeidung und der Fehlerkontrolle sicherzustellen.
Während diese Punkte vor der Umsetzung der Vorschriften für die reine Funktionalität der Fahrzeuge unverzichtbar waren, muss nun der Bedeutung einer guten Dokumentation und der Überprüfbarkeit durch die Behörden oder technischen Dienste höchste Aufmerksamkeit geschenkt werden.
Hierfür sind eine gute Planung, Durchführung und Dokumentation der Kommunikation mit den Fahrzeugnutzern sowie die Validierung und Verifizierung von Software-Updates besonders wichtig.
Hohe Relevanz der Bewertung von Software-Updates für Kraftfahrzeuge
Ohne die Implementierung, den Betrieb und die Wartung eines Software Update Management Systems können Hersteller keine Typgenehmigung für Software-Update-fähige Fahrzeuge erhalten und diese nicht auf europäischen Märkten verkaufen. Hersteller und Zulieferer müssen daher den Nachweis erbringen, dass die von den UN-Regulierungen formulierten Anforderungen an das Fahrzeug und die Komponenten umgesetzt werden.
Eine effiziente und systematische Bewertung durch einen unabhängigen Dritten ist notwendig, um den Grad der Konformität eines Herstellers mit der UN-Regelung 156 und der Norm ISO 24089 zu ermitteln.
Magility kann ihrem Unternehmen dabei helfen, diese Vorschriften umzusetzen. Basierend auf unserer Erfahrung bieten wir allen unseren Kunden eine regulierungsorientierte und wertorientierte Beratung. Wir freuen uns auf Ihre Kontaktaufnahme. Oder folgen Sie uns auf LinkedIn, um keine News zu verpassen.
von Julia Riemer | März 17, 2022 | Technologien für neue Märkte, Aktuelles von Magility, Automotive Cyber Security, Cyber Security Management Systeme, Future Economy, Internet of Things, New Mobility, News from Magility, Strategie im Wandel, WP.29
Alle vernetzten Geräte, auch Fahrzeuge, sind Sicherheitsbedrohungen ausgesetzt und müssen vor vielen Arten von Malware geschützt werden. Cyber Security Management Systeme (CSMS), die auf die aktuellen Herausforderungen ausgerichtet sind, können hierfür eine sinnvolle organisatorische und prozessuale Unterstützung der technischen Cyber Security Lösungen darstellen. Dieses und weitere Themen werden wir in diesem Artikel näher behandeln und unseren CSMS Regelkreis erläutern.
Es ist noch nicht lange her, dass Cyber Security für Fahrzeuge für Erstausrüster und Zulieferer keine hohe Priorität hatte. Da die Automobilindustrie jedoch weiterhin einen digitalen Wandel durchläuft, der durch die Verbreitung des ‘Software defined Vehicles’ und die Entwicklung neuer Mobilitätskonzepte vorangetrieben wird, ist Cyber Security zu einem kritischen Thema der Hard- und Software Wertschöpfungskette geworden und wird heute ernster denn je wahrgenommen. Neue und künftige elektronische Architekturen für Kraftfahrzeuge, die auf weniger und größeren Steuergeräten, den sogenannten Domain Controllern, basieren, werden dazu beitragen, die derzeit komplexen Strukturen zu vereinfachen. Aufgrund der zunehmenden Konnektivität mit mobilen Geräten, Wi-Fi-Netzwerken, Cloud-Plattformen, Smart Cities und weiteren Edge-Devices wird jedoch ein Großteil der aktuellen Komplexität weiter bestehen bleiben. Die folgende Tabelle fasst beispielhaft zusammen, welche Systeme innerhalb der Fahrzeugelektronik durch Cyber Security geschützt werden müssen:

[Quelle: Automotive cyber security, 2021, Vivek Beriwat]
In der Summe muss allerdings die komplette End-to-End Lösung gesichert werden. Diese umfasst neben dem Fahrzeug auch das Backend, die Mobile Devices und die jeweiligen Telekommunikationsverbindungen. Weiterhin muss der Cyber Security Schutz über den kompletten Lebenszyklus (ca. 30 Jahre pro Fahrzeugbaureihe) in der Fahrzeugflotte eines Herstellers aufrecht erhalten werden. Hierdurch ergeben sich Anforderungen an die Updatefähigkeit der eingesetzten Software. Zudem muss auch die komplette Hard- und Software Value Chain gegen Cyber Security Risiken gewappnet werden.
Die Bedeutung von CSMS
Angriffe auf die Lieferkette sind schon seit vielen Jahren ein Sicherheitsproblem, aber seit 2020 finden geplant organisierte Angriffe auf B2B Firmen in größerer Zahl statt. Möglicherweise haben sich die Angreifer aufgrund des robusteren Sicherheitsschutzes, den die B2C Unternehmen eingeführt haben, auf die Zulieferer verlagert und es dadurch geschafft, erhebliche Auswirkungen in Form von Systemausfällen, finanziellen Verlusten und Rufschädigung zu verursachen, um nur einige der Schäden zu nennen.
Die verheerenden Folgen von Angriffen auf die SW-Lieferkette wurden durch den SolarWinds-Hack in vollem Umfang sichtbar. Der SolarWinds-Hack gilt als eine der größten Attacken auf die SW-Lieferkette in den letzten Jahren, insbesondere wenn man die betroffenen Einrichtungen berücksichtigt, zu denen Regierungsorganisationen und große Unternehmen gehören. Der Angriff fand in den Medien große Beachtung und führte zu politischen Initiativen auf der ganzen Welt. Erst kürzlich, im Juli 2021, wurde der Angriff auf Kaseya bekannt und machte deutlich, dass Attacken auf die SW-Lieferkette, die Anbieter von verwalteten Diensten betreffen, mehr Aufmerksamkeit erfordern. Leider sind diese beiden Beispiele keine Einzelfälle, vielmehr hat die Zahl der Angriffe auf die SW-Lieferkette auch im laufenden Jahr stetig zugenommen. Dieser Trend unterstreicht die Notwendigkeit für die politischen Entscheidungsträger und die Sicherheitsgemeinschaft, neue Schutzmaßnahmen zu entwickeln und einzuführen, um potenziellen Angriffen auch auf die Lieferkette in Zukunft zu begegnen und ihre Auswirkungen abzumildern.
Cyber Security in der Automobilbranche
Cyber Security ist ein relativ neuer Bereich für die Automobilindustrie, der jedoch aufgrund der rasanten Verbreitung vernetzter Fahrzeuge stetig an Bedeutung gewinnt. Zukünftig werden alle Neufahrzeuge konnektiv sein. Mehr vernetzte Fahrzeuge bedeuten höhere Risiken, da die Konnektivität neue Herausforderungen mit sich bringt, die nicht ignoriert werden können. Automotive Cyber Angriffe führen innerhalb der Automotive Industrie zu einer Vielzahl von Unternehmensrisiken:

[Quelle: Magility GmbH, Management von Cyber Security Bedrohungen und Risiken in der Automotive Industrie]
Vernetzte Autos brauchen deshalb einen Cyber Security Schutz. Dazu gehören eingebettete Software Programme zum Schutz vor Cyberangriffen auf Einzelfahrzeuge, die bereits beim Verkauf zur Verfügung stehen, aber auch cloudbasierte Cyber-Schutzdienste für die Fahrzeugflotte, die während der Nutzungsphase gezielt aktiv werden können. Diese Trends haben zu einem wachsenden Bedarf an Software- und Hardware-Cybersicherheitsprodukten und cloud-zentrierten Diensten geführt, die zu einem kritischen Kernprodukt und einem wichtigen Thema der Wertschöpfungskette für OEMs und deren Zulieferer geworden sind.
Deshalb haben die Gesetzgeber reagiert und ab 2022 müssen Automobilhersteller für die Typzulassung nachweisen, dass sie ihre Fahrzeuge und Flotten vor Cyberangriffen schützen können und fähig sind Cybersicherheit prozessual und organisatorisch zu managen. Aktuell gibt es bereits nationale und internationale Aktivitäten zur Standardisierung von Cyber Security Management Systemen und deren Auditierung. Wer sich mit diesen Herausforderungen beschäftigen muss, darf sich mit verschiedenen Regelungen und Standards befassen.
Beispielhaft wurden unten die formalen Regelkreise für den UNECE Raum aufgezeigt:

[Quelle: Quality Institute/VDA, UNECE standards and rules]
Magility’s Cyber Security Management System (CSMS)
Automotive Cyber Security entwickelt sich daher zu einer neuen interdisziplinären Unternehmenssystemfunktion. Magility setzt genau hier an und fokussiert sich nun umso stärker auf die Unterstützung von Automobilunternehmen und deren Lieferanten beim Umgang mit neuen Bedrohungen. Hierzu empfehlen wir unter anderem die Anwendung eines CSMS Tools zur nachhaltigen Sensibilisierung und Bekämpfung von Cyber Risiken, hier dargestellt als CSMS Regelkreis:

[Quelle: Magility GmbH, Management von Cyber Security Bedrohungen und Risiken in der Automotive Industrie, Automotive Cyber Security Management System (CSMS)]
Cyber Security Vorgaben des Top Managements – Ziele und Verhaltensregeln für Cyber Security

Cyber Security Organisation – Definition der Rollen und Verantwortlichkeiten

Cyber Security Risikoabschätzung – Identifizierung und Bewertung von Cyber Risiken

Cyber Security Programm – Aufbau, Ausführung und Kontrolle der Cyber Security Policies

Cyber Security Qualifikation und Kommunikation – Steigerung des Cyber Security Bewusstseins

Cyber Security Implementierung – Nachhaltiger Schutz des Unternehmens und der Unternehmenskunden

Cyber Security Effektivitätsmonitoring – Beurteilung der Wirksamkeit der Cyber Security Maßnahmen

Cyber Security Audit – Definition der Rollen und Verantwortlichkeiten für das Effektivitätsmonitoring von CSMS

Wie sich gezeigt hat, empfehlen wir, dass CSMS-Aktivitäten jetzt verstärkt ausgebaut werden müssen. Magility empfiehlt Firmen die Einführung des oben dargestellten CSMS Regelkreises, um als Organisation agil auf neue potentielle Bedrohungen reagieren zu können, die Awareness aller Mitarbeitenden für das Thema Cyber Security zu steigern und um einen kontinuierlichen Cyber Security Verbesserungsprozess für Neufahrzeuge und die Bestandsflotte zu gewährleisten.
Magility setzt stark auf den weiteren Ausbau der Cyber Security Fähigkeiten und CSMS Kompetenzen, um den Bedrohungen der Zukunft und Gegenwart zu begegnen. Für weitere Informationen zum CSMS Regelkreis oder eine persönliche Beratung stehen Ihnen unser Geschäftsführer Dr. Michael Müller (michael.mueller@magility.com) sowie unsere Cyber Security Beraterin Hanna Kahindi (hanna.kahindi@magility.com) gerne zur Verfügung.
Folgen Sie uns für neue Artikel und weitere News rund um das Thema Cyber Security gerne auf LinkedIn, oder kontaktieren Sie uns bei Fragen gerne ganz einfach direkt über unser Kontaktformular. Wir freuen uns!