Cyber-Kriminalität : Cyber Security in der Autoindustrie: warum in der Branche die Gefahr besonders groß ist

In der Automobilindustrie kommt es immer mehr zu Cyberattacken. Da das die Informationssicherheit gefährdet, fordert die Branche von ihren Lieferanten nun immer öfters TISAX-Assessments ein. Davon betroffen sind auch viele der rund 900 österreichischen Zulieferer für die Kfz-Industrie.

Ransomware-Angriffe sind laut deutschem Bundesamt für Sicherheit in der Informationstechnik (BSI) derzeit die größte operative Bedrohung der Cybersecurity.

Bevorzugte Ziele von Cyberattacken sind sowohl die einzelnen Fahrzeuge und deren IT als auch die Schwachstellen von Unternehmen in der Supply Chain. „Die Automotive-Branche ist aufgrund der komplexen Zulieferpyramide besonders eng verzahnt. Entsprechend groß ist die Gefahr einer Kettenreaktion im Fall eines Cyberangriffs“, erklärt Christoph Schuh-Wendl, Netzwerkpartner bei Certification & Information Security Services (CIS) mit Sitz in Wien.

Für Entwicklungslieferanten in der Branche sind faktisch keine Angebotslegungen möglich, wenn sie nicht über die jeweils vorgeschriebenen Zertifikate und Labels verfügen. Während Zertifizierungen nach IATF 16949 (Qualität), ISO 14001 (Umwelt) oder Arbeitssicherheit (45001) längst zu den Standardanforderungen in der Automotive-Branche gehören, werden in letzter Zeit vermehrt auch TISAX-Assessments verlangt.

TISAX steht für Trusted Information Security Assessment Exchange und ist ein branchenspezifischer Austauschmechanismus im Bereich der Informationssicherheit. TISAX Assessments werden in drei Schutzklassen bzw. Level unterteilt. CIS bietet nun neben Level 3 auch Level 2 Assessements an.

„Alle Unternehmen müssen sich anfangs auf der sogenannten ENX-Plattform der Automobilhersteller registrieren und sich dann einem Assessment unterziehen. Nach Vorliegen der Prüfergebnisse sind die erteilten Prüflabels dann von allen bestehenden und auch potenziell neuen Geschäftspartnern auf der Plattform einsehbar, sofern man diese Informationen mit ihnen teilt“, erklärt Schuh-Wendl.

Zu Beginn hatten die Automobilkonzerne (OEM) TISAX nur von ihren direkten Zulieferern (Tier‑1) eingefordert, nun erfasst der Trend auch die nachgelagerte Zulieferkette (Tier-2). Bei Tier-2-Lieferanten handelt es sich um Unternehmen, die beispielsweise Kfz-Originalteile nicht direkt an OEM, sondern an Kfz-Komponentenhersteller (Tier-1) liefern.

Sind Unternehmen also in irgendeiner Form in die Fahrzeug-Entwicklung involviert, werden in der Regel Level-2-Assessments gefordert. Das fängt an bei Software-Entwicklern und reicht bis hin zu den Konstruktionsbüros oder auch Entsorgungsunternehmen. „Jedes achtlos weggeworfene Stück Papier kann zum Sicherheitsrisiko werden. Besondere Schwerpunkte im Prüfkatalog liegen in den Bereichen Vertraulichkeit (Industriespionage), Verfügbarkeit, Cybersecurity sowie der Integrität und Awareness von Mitarbeitern und Lieferanten“, so Schuh-Wendl.

Eine häufige Vorgangsweise der Kriminellen beschreibt das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) in ihrem aktuellen „Branchenlagebild Automotive“: „Cybercrime-Gruppierungen leiten vor der Verschlüsselung sensible Daten aus, beispielsweise Informationen über Prototypen. Diese werden dann auszugsweise veröffentlicht, um den Druck auf das Opfer zu erhöhen. Üblicherweise erfolgt eine Bekanntgabe des Opfers auf der jeweiligen Webseite der Täter mit dem Hinweis, wie viele und welche Daten abgeflossen sind.“

Klaus Veselko, Geschäftsführer von CIS, ist überzeugt, dass die Sicherheitsanforderungen in Zukunft noch steigen werden. „Durch die Transformation Richtung E-Mobilität wird die Digitalisierung in der Automobilindustrie zügig voranschreiten. Das erhöht in weiterer Folge auch die Sicherheitsanforderungen an die Entwickler."