Neue Regelungen sollen ab kommendem Monat für mehr Sicherheit sorgen. Denn ab Juli 2022 wird in zunächst 56 Ländern schrittweise die sogenannte UNECE-Regelung Nr. 155 der Nachweis eines zertifizierten Cyber Security Management Systems von den Autoherstellern gefordert. Sie ist die Voraussetzung, um neue Fahrzeugtypen bei den jeweiligen Zulassungsbehörden registrieren zu können. Die 56 Ländern, die sich der Regelung unterworfen haben, sind dabei nur ein Anfang, denn auch in anderen Teilen der Welt werden ähnliche Regulierungen erwartet. Das UNECE World Forum for Harmonization of Vehicle Regulations hat Tatsachen geschaffen und 2020 neue UN-Regelwerke zu Cybersicherheit und Software-Updates von vernetzten Fahrzeugen verabschiedet. Ab Juli 2022 gelten diesen Vorschriften für alle neuen Fahrzeugtypen und zwei Jahre später für alle Neufahrzeuge. Betroffen sind nicht nur Pkw, sondern auch Kleintransporter, Lkws und Busse. „Aufgrund der neuen Regulierung muss daraus nun einen ganzheitlichen Ansatz geformt werden, welcher den kompletten Lebenszyklus eines Fahrzeuges umfasst“, erklärt Sebastian Rist, Projektleiter und Security Consultant bei Escrypt, einem Unternehmen, das sich auf Sicherheitslösungen spezialisiert hat.
Die Beraterfirma PwC hat bei in einer Umfrage in verschiedenen Ländern festgestellt, dass die Fortschritte bei der Umsetzung jedoch stark schwanken und sich der Stand der einzelnen Cyber Security Projekte bei den Herstellern deutlich unterscheidet. Dabei ist die Gefahr groß: 2015 schafften es zwei Hacker über eine Sicherheitslücke des Unterhaltungssystems des Wagens, das mit dem Internet verbunden ist, in das System eines Jeep Cherokee einzudringen und die Steuerung sowie die Bremsen fernzusteuern. Der Imageschaden für Fiat Chrysler war immens und 1,4 Millionen Fahrzeuge mussten in die Werkstätten zurückgerufen werden, um die Sicherheitslücke zu schließen.
„Im weiteren Sinne bildet ein CSMS die Grundlage für eine solide Cybersicherheit in modernen Fahrzeugen. Es gewährleistet nicht nur den Schutz der Verkehrsteilnehmer vor gefährlichen Eingriffen in die Steuersysteme, sondern reduziert auch das Risiko von Angriffen auf das digitale Ökosystem der herstellenden Unternehmen“, erklärt Joachim Mohs, Cyber-Security-Experte bei PwC. Obwohl die Cyber Security Projekte bei allen Marken vor Jahren initiiert wurden, werkeln viele Firmen noch in der Entwicklungsphase. Die Gründe für die zögerliche Umsetzung sind dabei vielfältig. Zum einen fehlen entsprechende Fachkräfte aus dem IT-Bereich, doch auch interne Prozesse, die entsprechenden Standards oder die Zuliefer- und Wertschöpfungsketten sorgen für eine verzögerte Umsetzung.
Nach Schätzungen der Beratungsfirma Capgemini sollen im kommenden Jahr allein auf den europäischen Straßen mehr als 110 Millionen vernetzte Fahrzeuge rollen. Die vernetzten Fahrzeuge sorgen auf der einen Seite für Sicherheit und lassen sich per Funk auffrischen (Over-the-air-Updates), doch jede Schnittstelle ist eben auch eine Pforte, die Hacker nutzen können, um auf das Gehirn des Fahrzeugs zuzugreifen. Immer mehr Fahrzeuge benötigen keinen realen Schlüssel mehr, sondern lassen sich mit dem Smartphone öffnen. „Der Schlüssel darf nicht kopierbar sein, und wir brauchen im Falle eines Totaldiebstahls einen transparenten Überblick, wer wann für welchen Schlüssel berechtigt wurde“, erklärt Jochen Haug, Schadenvorstand Allianz Versicherungs-AG. Nicht nur Hersteller wie Audi, Mercedes oder BMW bieten in ihren aktuellen Fahrzeugen längst einen sogenannten Digital Key an, mit dem Kunden ihr Fahrzeug bequem entriegeln und verriegeln können, indem sie ihr Smartphone einfach an den Griff der Fahrertür halten. Zudem lässt sich der Motor starten, wenn das Mobiltelefon in der drahtlosen Ladeschale liegt. Um ein Höchstmaß an Nutzerfreundlichkeit und Sicherheit zu gewährleisten, ist dieser digitale Schlüssel bei BMW beispielsweise auf dem Secure Element des Smartphones abgelegt.
Die Entwickler arbeiten mit Hochdruck an Sicherheitsschranken, doch erst innerhalb der Implementierung in die eigene Fahrzeugtechnik bemerkten viele Autobauer, wie kompliziert ein Cyber Security Management Systems überhaupt funktioniert. Eine bewährte Maßnahme und unerwünschte Eindringlinge fernzuhalten, ist, die Software des Wagens aktuell zu halten. Ähnlich wie das bei Betriebssystemen der Fall ist, müssen Sicherheitslücken möglichst schnell mit Updates behoben werden. Aufgrund der drahtlosen Updatemöglichkeit ist das Cyber Security Management System mittlerweile einfacher und schneller umzusetzen, als das bisher der Fall war, wo man die Autos in die Werkstatt zurückrufen musste, um die neue Software aufzuspielen. Viel versprechen sich die IT-Experten beispielsweise von einem Überwachungssystem, das im Auto ständig mitläuft. „Beispielsweise Intrusion Detection Systeme, welche potenzielle Cyberangriffe automatisiert erkennen und dem OEM mitteilen. Mittels dieser Daten werden Spezialisten befähigt, systematische Angriffe gegebenenfalls durch Ausnutzung noch unbekannter Sicherheitslücken zu erkennen und geeignete Gegenmaßnahmen zu ergreifen“, erklärt Escrypt-Experte Sebastian Rist.
„Moderne Fahrzeuge werden immer mehr zu vernetzten Endgeräten. Fahrzeughersteller müssen im Zuge dieser Entwicklung verstärkt die Perspektive eines Soft- und Hardware-Anbieters einnehmen. Damit gehen auch entsprechende Anforderungen an die Cybersicherheit einher“, sagt Harald Wimmer verantwortlich für den Bereich Automotive bei PwC Deutschland. Dabei wird die Cybersicherheit weltweit von den meisten Firmen als ein nennenswerter Wettbewerbsvorteil gesehen. „Die Rolle der Cybersicherheit in Fahrzeugen wird mit den rasanten Fortschritten im Bereich des autonomen Fahrens immer wichtiger. Wer jetzt die Compliance-Anforderungen im Rahmen der ganzheitlichen Business-Strategie angeht und mit einem hohen CSMS-Reifegrad eine Spitzenposition auf dem Feld einnimmt, kann nicht nur kommenden Regularien gelassen entgegensehen, sondern auch im internationalen Wettbewerb klare Impulse setzen“, betont Joachim Mohs.
