Mehr als 60 Prozent der Automobilhersteller und -zulieferer sind in den vergangenen zwölf Monaten von Cyber-Angriffen betroffen gewesen. Damit zähle die Branche „zur traurigen Gruppe der Spitzenreiter“ betont Joachim Mohs, Partner im Bereich Cyber Security bei PwC Deutschland. In jedem dritten Fall hätten die Hacker versucht, Lösegeld zu erpressen. Für die gesamte deutsche Wirtschaft beziffert der Verband Bitkom die Schäden durch Sabotage, Datendiebstahl und Spionage auf rund 100 Milliarden Euro pro Jahr – fast doppelt so viel wie vor zwei Jahren.
Darauf müsse die Branche reagieren. „Nach unserer Ansicht braucht die Automobilindustrie eine Qualitätsoffensive im Hinblick auf Cyber-Sicherheit. Also einen anerkannten Maßstab für Cyber-Sicherheit vergleichbar mit dem Spaltmaß im Karosseriebau, und zwar nicht nur für einzelne Komponenten oder Funktionen, sondern entlang der gesamten Wertschöpfungskette“, fordert Joachim Mohs. Zur Steuerung der Cyber-Sicherheit bräuchten die Unternehmen „aussagekräftige Kennzahlen“.
Mit Sicherheitszertifizierungen gehe die Branche bereits in die richtige Richtung. Es zeige sich, „dass Unternehmen, die eine Sicherheits-Zertifizierung vorweisen können resilienter, also weniger oft von Cyber-Vorfällen betroffen sind, als Unternehmen ohne eine solche Zertifizierung“. Ein Beispiel dafür ist der VDA-Standard Tisax, eine von der Norm ISO/IEC 27001 abgeleitete und speziell für die Erfordernisse der Automobilbranche abgewandelte Zertifizierung. „Aber auch hier muss nachgesteuert werden. Noch bildet das Zertifikat keine Sicherheit der Produktionsanlagen oder von – vernetzten – Fahrzeugen ab“, so Mohs.
Dass Cybersicherheit über die gesamte Wertschöpfungskette hinweg gedacht wird, sieht auch Jens Krickhahn als wichtigen Aspekt. Denn „oft versuchen Angreifer, bei einem Zulieferer oder Dienstleister einzudringen und dann über deren Kundenschnittstellen das eigentliche Zielunternehmen zu attackieren. Daher sollten die Hersteller die IT-Sicherheit ihrer Lieferanten bei Audits prüfen“, empfiehlt der Practice Leader Cyber beim Allianz-Industrieversicherer AGCS. Er sieht bei den Automobilherstellern und großen Tier-1-Zulieferern meist State-of-the-art-Technik bei der Cybersicherheit und im Vergleich zu anderen Branchen sehr gut aufgestellt. Doch kleinere Zulieferer sind oft nicht so gut gesichert, sodass Hacker versuchen, auf diesem Umweg anzugreifen.
Dabei sieht Krickhahn Zertifizierungen allerdings nur als einen Teil der Lösung an. Denn so schnell, wie sich die Angriffsflächen, die die Unternehmen bieten und die Angriffsmethoden der Hacker ändern, lassen sich Standards nicht anpassen und umsetzen. Die Unternehmen müssten sich praktisch täglich an eine neue Lage anpassen, so Krickhahn. Eine weitere Schwäche sieht er bei den beteiligten Menschen. Mit immer ausgefeilteren Methoden gelingt es Angreifern, auch gut geschulte Mitarbeiter auszutricksen – wie etwa bei der Kombination der beiden Schadprogramme Emotet und Ryuk, erläutert Krickhahn.
