Thought Leadership
Ein Mausklick – und der Motor geht aus. Plötzlich bleiben Tausende Fahrzeuge stehen, andere fahren in sie hinein, Menschen werden verletzt. Was wie ein Szenario aus einem Science-Fiction-Film klingt, ist längst reale Bedrohung.
Bereits 2015 haben es Sicherheitsforscher mit dem berühmten Jeep-Cherokee-Fall bewiesen: Sie übernahmen mit einem Laptop aus mehreren Kilometern Entfernung die Kontrolle und manövrierten den Geländewagen in einen Graben. Auch wenn die Automobilbranche seitdem dazugelernt hat: Sicherheitslücken bestehen heute immer noch und werden sogar immer gravierender – denn die Fahrzeuge werden zunehmend vernetzter.
Zwar wird Cybersicherheit innerhalb der Automobilbranche immer intensiver diskutiert – doch auf dem Markt fehlt oft noch das Bewusstsein für ihre Bedeutung. Dabei stellt sich nicht länger die Frage „ob“, sondern „wann“ ein Cyberangriff stattfinden wird. Viele Unternehmen haben dennoch keine effektive Cybersicherheitsstrategie und das, obwohl mit fortschreitender technischer Entwicklung das Risiko für Cyberangriffe rapide steigt. Diese Diskrepanz hat den Gesetzgeber auf den Plan gerufen: Mit der neuen UN-Bestimmung UN R155, die seit Juli 2024 gilt, ist Cybersicherheit für neue Fahrzeuge Pflicht. Laut dieser Richtlinie müssen Autohersteller und Zulieferer ein Cyber Security Management System (CSMS) nachweisen. Sie müssen in der Lage sein, Sicherheitsvorfälle im Auto festzustellen, Angriffe aus der Ferne zu erkennen und abzuwehren – und das über die gesamte Fahrzeuglebensdauer hinweg. Damit benötigt die Automobilbranche ein geeignetes System, wie es in der IT schon lange etabliert ist: ein Security Operations Center (SOC), doch in spezieller Ausführung für die Anforderungen der Automobilbrache – also ein Vehicle Security Operations Center, kurz: VSOC.
VSOC – Cyberschutz für die Automobilbranche
VSOC ist ein spezialisiertes Sicherheitszentrum, das sich auf die Überwachung und Erkennung von sowie die Reaktion auf Cyberbedrohungen konzentriert, die speziell Fahrzeuge betreffen. Es ist keine neue Erfindung. Im Prinzip gleicht es einem SOC, das in der klassischen IT die gleichen Funktionen übernimmt: eine permanente Fernüberwachung sehr vieler Parameter, um Anomalien automatisiert zu erkennen und bei Bedrohungen Alarm zu schlagen. Cybersecurity wird also nicht gewährleistet, indem Hackerangriffe vollständig verhindert werden – das ist in vernetzten Systemen nicht möglich – sondern indem man Bedrohungen systematisch frühzeitig erkennt und rechtzeitig Gegenmaßnahmen einleitet, um die Schäden zu minimieren. Dazu überwachen in einem Kontrollzentrum IT-Sicherheitsexperten Prozesse und Protokolle und reagieren auf eintretende Sicherheitsvorfälle, sogenannte Incidents. Bei der Flut ständig entstehender Daten gleicht diese Arbeit der Suche nach der Stecknadel im Heuhaufen – und wäre ohne KI, maschinelles Lernen und automatisierte Überwachungsprozesse nicht zu leisten. Mit ihrer Hilfe kann das SOC-Personal aus den vielen Ereignissen, die von normalen Vorgängen abweichen, die wesentlichen herausfiltern und sich auf diese echten Incidents konzentrieren. Doch wenn es diese Technologien schon gibt, weshalb benötigt die Automobilbranche dann überhaupt spezialisierte VSOCs?
Auch wenn beide Systeme auf dem gleichen Prinzip beruhen, unterscheiden sich das Know-how, die Prozesse und ihre Gegebenheiten. Während sich ein klassisches SOC um Bedrohungen für IT-Netzwerke und Unternehmenssysteme wie Server und Computer kümmert, hat das VSOC-Personal mit Angriffen auf fahrzeugspezifische Komponenten zu tun. Dazu gehören zum Beispiel eingebettete E/E-Systeme, Türsteuergeräte, Fahrerassistenzsysteme, Fahrwerksteuerung oder fahrzeuginterne Kommunikationssysteme. Dementsprechend unterscheiden sich die Angriffsvektoren: In der IT sind es beispielsweise Phishing-Mails und Malware; im Automobilsektor sind es unter anderem Denial-of-Service-Attacken, bei denen Kommunikationskanäle mit dem Ziel der Funktionsstörung oder gar des Ausfalls angegriffen werden, oder Remote Code Execution, wobei zum Beispiel Schwachstellen im Infotainmentsystem ausgenutzt werden, um schädliche Codes einzuspielen und Kontrolle über Fahrzeugfunktionen zu erlangen. Entsprechend schwerwiegender sind die Auswirkungen im Automotive-Sektor, die schnell lebensbedrohlich werden können – sowohl für die Autoinsassen selbst als auch für andere Verkehrsteilnehmer. Dramatisch wird es, wenn dabei nicht nur einzelne Fahrzeuge infiziert werden, sondern beispielsweise über eine E-Ladesäule Schadcodes in alle dort aufladenden Autos eingespielt und erst nach einiger Zeit aktiviert werden.
Eine zentrale Rolle bei Cyberangriffen spielt deshalb die Reaktionszeit auf Sicherheitsvorfälle. Je schneller das Risiko erkannt wird, desto schneller können Maßnahmen (der „Incident Response“) eingeleitet werden. Dabei unterscheiden sich SOC und VSOC aufgrund der technischen Infrastruktur stark voneinander: In der klassischen IT ist die übliche Vorgehensweise zur Behebung von Sicherheitslücken das Einspielen von Software-Updates – binnen Minuten umsetzbar über das Netz oder einen Server. Im Automobilbereich ist dieser Prozess wesentlich komplizierter, die Reaktionszeiten deutlich länger. Zwar können Updates moderne Fahrzeuge „over-the-air“, also über die Cloud, erreichen, doch oft hat der Hersteller gar nicht den Zugriff auf die Soft- und Hardware-Komponenten seiner Zulieferer, den diese aus nachvollziehbaren Gründen nicht offenlegen möchten. Deshalb müssen in diesem Fall die Fahrzeughersteller mit dem jeweiligen Lieferanten zusammenarbeiten, um eine Lösung zu finden – teilweise über mehrstufige Lieferketten hinweg. Und nicht jedes „embedded system“ kann per Remote-Update erreicht werden, sodass Rückrufe nötig werden. Je nach Länge der Kommunikationswege kann es Wochen dauern, bis eine Sicherheitslücke behoben wird. Im Extremfall müssen Hersteller die Fahrzeugbesitzer dazu aufrufen, ihre Autos vorläufig nicht mehr zu benutzen, oder sie legen die Fahrzeuge zwangsweise still – ein Alptraum für Halter und Hersteller.
Darüber hinaus unterscheidet sich der Umgang mit Threat Intelligence, also dem Know-how über mögliche Cyberbedrohungen. In einem “normalen” SOC werden die Bedrohungsdaten aus bereits erfolgten Cyberangriffen üblicherweise innerhalb der Branche geteilt und veröffentlicht, um die Abwehr global zu verbessern – ist eine Sicherheitslücke oder ein Exploit einmal bekannt, kann sie schneller wieder erkannt werden. Das beschleunigt die Abwehrprozesse und dient allen. Diese IT-Threat Intelligence kann nicht einfach auf die Automobilbranche übertragen werden. Denn einerseits fehlt der fahrzeugspezifische Kontext wie etwa die jeweiligen Komponenten. Andererseits widerspricht dem der Datenschutz: Von Fahrzeugen – und damit deren Haltern – produzierte Daten sind vertraulich und dürfen deshalb nicht beliebig verteilt werden. Deshalb sind Incident Responses bei einem VSOC komplizierter und erfordern spezielles Know-how. Außerdem sind die Fahrzeughersteller oft nicht bereit, negative Erfahrungen mit dem Wettbewerb und der Öffentlichkeit zu teilen – zu groß ist die Angst vor Wettbewerbsnachteilen und einem Imageschaden.
Zukunft sichern
Moderne Fahrzeuge verfügen bereits heute über 100 Millionen Codezeilen – eine Boeing 787 MAX dagegen lediglich über 15 Millionen[1]. Die Frage der Cybersicherheit ist somit längst nicht mehr nur eine Angelegenheit der IT-Branche. Wenn ein SOC auch grundlegende IT-Sicherheitsaufgaben übernehmen kann, ist doch ein speziell auf den Automobilsektor ausgerichtetes VSOC entscheidend, um eine effiziente Cyberabwehr zu garantieren. Angesichts der zunehmenden Fahrzeugkomplexität sollten Autohersteller das Thema Cybersicherheit proaktiv angehen und umfassende Maßnahmen ergreifen, um die Sicherheit ihrer Kunden zu gewährleisten und das Vertrauen der Verbraucher zu stärken. Es ist wichtig, dass sie über die bloße Einhaltung gesetzlicher Vorgaben hinausgehen und Cybersicherheit als eine zentrale Herausforderung betrachten, die es zu meistern gilt. Einige Hersteller haben den Handlungsbedarf bereits erkannt und nutzen die bereits vorhandenen Technologien, um innovative Sicherheitslösungen zu implementieren.
Werner Schimanofsky, Associate Partner & Head of Business Development for Automotive Cybersecurity bei CYRES Consulting
