Gesellschaft Technologie Cybersicherheitsbedrohungen in der Automobilindustrie und Risikominderung 15. Januar 2021 Im Grunde sind Connected Cars Rechenzentnern auf Rädern, mit mehreren Prozessoren und Einheiten, die mit verschiedenen Cloud-Diensten vernetzt sind. Diese komplexe Infrastruktur gilt es zu schützen, um Cyberangriffen auf die Software und das Backend des Fahrzeugs standzuhalten. In diesem Artikel werde ich auf einige der häufigsten Cyber-Bedrohungen in der Automobilindustrie eingehen und darauf, wie Sie die Risken für Ihre Connected-Car-Services verringern. Vernetzte Fahrzeugnetzwerke müssen verschlüsselt werden Ein vernetztes Fahrzeug verwendet verschiedene Arten von Netzwerken, darunter das On-Board-Diagnosesystem (OBD) und das Controller Area Network (CAN). Letztere waren früher besonders verwundbar, da ihre Netzwerke häufig unverschlüsselt waren. Immer mehr Fahrzeughersteller nutzen jedoch Onboard-Ethernet – eine gängige Netzwerktechnologie, die einfacher zu schützen ist. Über ein unverschlüsseltes, vernetztes Bordnetz ließe sich zum Beispiel das Sicherheitszertifikat eines Fahrzeuges stehlen oder missbrauchen. Dieses Zertifikat könnten Hacker dann nutzen, um das Fahrzeug zu simulieren und sich gegenüber den Systemen, mit denen es kommuniziert, als das Fahrzeug auszugeben. Auf diese Weise können Kriminelle wertvolle Informationen über Fahrer:innen, das Fahrzeug, den Ladestatus und vieles mehr abfangen. Da immer mehr Connected Cars auf den Straßen unterwegs sind, ist zu erwarten, dass auch die Anzahl der von ihnen genutzten vernetzten Systeme wächst. Vernetzte Fahrzeugsoftware kann von Malware und Ransomware angegriffen werden Connected Cars sind auf Telefone, Apps, Schlüsselkarten usw. angewiesen. Eine schädliche App kann ein Telefon infizieren und die Infektion auf das Fahrzeug übertragen, wenn die Onboard-Systeme nicht ausreichend isoliert und geschützt sind. Die Sensoren oder das Betriebssystem eines Fahrzeugs können gehackt und so manipuliert werden, dass eine bösartige Software sie für harmlos hält. Zukünftig besteht auch die Gefahr, dass Ransomware gegen ungeschützte Fahrzeuge eingesetzt wird. In diesem Szenario könnte die Flotte eines bestimmten Herstellers gehackt und quasi in Geiselhaft genommen werden. Die Backend-Lösung muss auch einem Cyberangriff standhalten, damit keine Fahrzeuge (oder Flotten) auf diese Weise gehackt werden können. Infrastrukturzertifikate mit Public Keys verbessern die Cybersicherheit in der Automobilindustrie Die Vehicle-to-Vehicle-Kommunikation (V2V) und die Vehicle-to-Everything-Technologie (V2X) ermöglichen Fahrzeugen, nicht nur mit ihrem Backend zu kommunizieren, sondern auch mit anderen Fahrzeugen und der Verkehrsinfrastruktur – wie Mautstationen, Ampeln oder Straßenschildern. Dies erhöht die Anforderungen an die Cybersicherheit von Connected Cars, da sie Daten stets auf sichere Art und Weise senden und empfangen müssen. Es ist daher entscheidend, dass den Kommunikationspartnern des Fahrzeugs jederzeit vertraut werden kann. Public Key Infrastructure (PKI) ist eine Netzwerktechnologie, die Zertifikate zur Authentifizierung verwendet. Diese Zertifikate ermöglichen die sichere Identifizierung und Kommunikation zwischen Geräten. Für Connected Cars bedeutet dies, dass verschiedene Teile des vernetzten Ökosystems durch Verschlüsselung und Signierung von Nachrichten authentifiziert werden können. In Europa hat das Europäische Institut für Telekommunikationsnormen (ETSI) bereits im Rahmen von C-ITS (Cooperative Intelligent Transport Systems) Standards für PKI entwickelt. Stellen Sie sicher, dass Ihre vernetzten Fahrzeugdienste mit integrierter Cybersicherheit ausgestattet sind Bei WirelessCar arbeiten wir mit – und empfehlen – Security by Design. Für Fahrzeughersteller bedeutet dies, dass Cloud-Dienste, Backend-Lösungen und andere digitale Infrastrukturen von Anfang an sicher sein müssen. Ihre Cybersicherheit nachzurüsten, wenn der Schaden bereits entstanden ist, ist sehr ineffizient und kostspielig. Durch den Einsatz von PKI stellen Sie sicher, dass niemand Ihre Daten manipulieren kann – zu keinem Zeitpunkt des Prozesses. Das Backend muss das Fahrzeug mit Zertifikaten ausstatten, die zur Verschlüsselung von Daten verwendet und zur Authentifizierung signiert werden können. Als Eigentümer dieser Daten müssen die Fahrzeughersteller in der Lage sein, sie umfassend zu schützen. Selbstverständlich müssen auch Dritte diese Daten schützen können, wenn sie in ihren Connected-Car-Services verwendet werden. Updates über Funk und die Erkennung von Cyberangriffen sind entscheidend für die Cybersicherheit in der Automobilindustrie Die Fahrzeuge von heute und morgen sollten viele Jahre halten. Das bedeutet, dass sich ihre Kommunikationskanäle und digitalen Ökosysteme im Laufe der Zeit weiterentwickeln werden. Daher müssen sie fortlaufend gepflegt und aktualisiert werden. Updates per Funk stellen dies unterbrechungsfrei sicher – ohne Wartung in einem Servicecenter. Kommuniziert ein vernetztes Fahrzeug oder eine Flotte auf ungewöhnliche Weise, muss dies sofort erkannt und zuverlässig gemeldet werden. Der Hinweis, dass jemand versucht, sich in ein Fahrzeug zu hacken, sollte vorzugsweise aus mehreren Quellen stammen. Das Netzwerk, die Backend-Server und das Fahrzeug selbst können Daten senden, die Betreiber und Dienstleister auf mögliche Cybersicherheitsbedrohungen aufmerksam machen. Ein Vehicle Security Operations Center (VSOC) kann diese Daten empfangen und darauf reagieren, rund um die Uhr. Zum Zeitpunkt der Verfassung dieses Blogposts ist WirelessCar dabei, zusammen mit einem Kunden ein VSOC zu erstellen. Wir werden sehr bald auf dieses Thema zurückkommen. So engagiert sich WirelessCar für Cybersicherheit in der Automobilindustrie WirelessCar durchläuft derzeit den Zertifizierungsprozess nach ISO/IEC 27001 und wir arbeiten nach dem Standard NIST SP 800-53. Sicherheit ist ein Eckpfeiler unserer gesamten Arbeitsweise. Ähnlich sind Security by Design und Defense in Depth Schlüsselkonzepte für die Services, die wir entwickeln und anbieten. 2020 begannen wir mit der Organisation unserer WirelessCar Quality & Cybersecurity Fridays – einer von mehreren internen Initiativen, die sich der Cybersicherheit im Automobilbereich widmet. Diese Freitagsveranstaltungen behandeln verschiedene Cybersecurity-Aspekte, einschließlich des Wissenstransfers über Cybersicherheit in der Automobilindustrie in unserem gesamten Unternehmen. Wir würdigen die Cybersicherheit und das Vertrauen, das OEMs in uns setzen Unsere Kunden vertrauen uns viele sehr wichtige Daten über ihre Fahrzeuge, Kundschaft und Zukunftsplanung an. WirelessCar wäre nicht in der Lage, hochwertige Dienstleistungen auf der Grundlage dieser Daten zu erbringen, wenn wir sie nicht mit größter Sorgfalt behandeln würden. Wir kennen den Wert und damit die Bedeutung einer professionellen, sicheren Datenisolation zu jeder Zeit. Wir sind stolz darauf, ein vertrauenswürdiger Partner und Dienstleister für Fahrzeughersteller auf der ganzen Welt zu sein. Mit diesem Vertrauen geht die Verantwortung einher, die Integrität Ihrer Daten stets aufrechtzuerhalten. Ihre Daten sind bei uns sicher, und wir werden sie nicht mit anderen OEMs teilen. Es ist ein Mythos, dass sich ein Fahrzeug einfach hacken lässt. Dennoch müssen alle Fahrzeughersteller darauf vorbereitet sein. Es wird immer wichtiger, Ihre Connected Cars und die zugehörigen Services und Systeme zu schützen. Dafür ist eine Überprüfung der ausgetauschten Daten unabdingbar. Dies gilt nicht zuletzt für UNECE WP.29. Diese Cyber-Regulierung der Vereinten Nationen wird in den kommenden Jahren voraussichtlich einen großen, positiven Einfluss auf die Cybersicherheit in der Automobilindustrie haben. WirelessCar arbeitet bereits in Einklang mit diesem Regelwerk; mehr darüber können Sie in einem kommenden Artikel hier auf unserem Blog lesen. Ich hoffe, Ihnen hat dieser Artikel über Cybersicherheit in der Automobilindustrie gefallen. Wenn Sie Fragen haben, senden Sie mir eine E-Mail an Anders Bolinder. Schauen Sie sich auch verwandte Artikel auf unserem Blog an: Warum OEMs Callcenter-Services für Connected Cars anbieten sollten, Erweitern Sie Ihr Serviceportfolio durch Ihre bestehende Connected-Car-Cloud und vieles mehr. Anders Bolinder Kontakt