Automotive Cybersecurity-Management: Was die Branche bewegt und sicherer macht

Kernpunkte der CYKEN-Umfrage:

• Digitalisierung & Vernetzung: Moderne Fahrzeuge sammeln und übertragen ständig Daten über ihre komplexen E/E-Systeme
• Regulatorische Anforderungen: ISO/SAE 21434, TISAX und UNECE-Regelungen (UN R155/R156) setzen neue Sicherheitsstandards?
• Herausforderungen: Die Branche kämpft mit Cyber-Fachkräftemangel, Silos in Verantwortlichkeiten und oft unzureichender Awareness?
• Bedrohungsszenarien: Angreifer zielen auf alles von Konstruktionsdaten bis zu Fertigungssystemen – von Industriespionage über Ransomware bis zu umfangreichen Datenleaks?
• Sicherheitsstrategien: Security-by-Design und Zero-Trust-Konzepte gewinnen an Bedeutung, um vernetzte Systeme von vornherein abzusichern?
• Supply Chain Security: Ein erfolgreicher Angriff auf einen Zulieferer kann ganze Lieferketten lahmlegen?
• Wirtschaftliche Schäden: Allein 2022–2024 beliefen sich die direkten Schäden laut VicOne auf mehrere zehn Milliarden Dollar?
• Lösungsansätze: Empfohlen werden ein ganzheitliches Sicherheitsbewusstsein, Automatisierung (z.B. KI-gestützte Erkennung), verbreitete Zertifizierungen (ISO/SAE 21434, TISAX) und kontinuierliches Monitoring.

Digitalisierung und Vernetzung in der Automobilindustrie

Die Konnektivität moderner Fahrzeuge wächst rasant. Laut SGS erhöht gerade die Umstellung auf vernetzte und autonome Fahrzeuge das Risiko von Cyberangriffen erheblich?. Neue Telematik- und Infotainmentsysteme, Sensorik und automatisierte Assistenzfunktionen führen dazu, dass Milliarden von Daten zwischen Fahrzeugen und Cloud-Systemen ausgetauscht werden. Damit steigen auch die Angriffsflächen: Schon heute können etwa OBD-Dongles oder offene Funk-Schnittstellen Einfallstore für Angreifer sein. Sicherheitsexperten betonen, dass diese umfassend vernetzten IT-Strukturen fortlaufend geschützt werden müssen. 

„Jede neue Connectivity-Funktion eröffnet Chance und Risiko zugleich – ohne angemessene Sicherung wird jede Verbindung zur potenziellen Angriffsschneise.“, betont Özer.

Regulatorische Anforderungen und Standards

Eine Reihe neuer Vorschriften zwingt die Branche zu mehr Sicherheit. So ist ISO/SAE 21434 der weltweit erste internationale Standard für Automotive-Cybersicherheit und fordert OEMs und Zulieferer auf, Cybersicherheitsrisiken über den gesamten Produktlebenszyklus zu managen?. Auch die UN-Regelungen (UNECE R155 und R156) schreiben verpflichtende Cybersecurity-Managementsysteme (CSMS) bei der Typgenehmigung von Fahrzeugen vor?. Ergänzend sorgt der brancheninterne TISAX-Standard für einheitliche Informationssicherheit beim Datenaustausch zwischen Herstellern, Dienstleistern und Zulieferern. Diese Regulatorik soll gewährleisten, dass Sicherheitslücken systematisch erkannt und behoben werden.

Herausforderungen in der Branche

Die befragten Unternehmen nennen insbesondere einen akuten Fachkräftemangel als großes Problem. Über 50?% der deutschen IT-Security-Experten sehen Personalengpässe als erhebliches Risiko an. Laut KPMG-Studie “beunruhigen fehlende Cyber-Kompetenzen die Branche am meisten”?. Erschwerend kommt hinzu, dass in vielen Betrieben klare Zuständigkeiten fehlen: Die historische Trennung zwischen IT, Entwicklung und Produktion wird laut BSI „nur langsam abgebaut”?. Gleichzeitig mangelt es oft an einer gelebten Sicherheitskultur. Das BSI stellt fest, dass Awareness-Schulungen und praxisnahe Notfallübungen in der Produktion bislang „eher selten durchgeführt” werden?. Fehlendes Bewusstsein für Cybergefahren lässt Risiken unentdeckt, beispielsweise weil kleine Zulieferer das Risiko eines Angriffs unterschätzen.

„Die historische Trennung der Verantwortlichkeiten […] wird jedoch nur langsam abgebaut“, so das BSI?.

Hauptbedrohungen im Automotive-Bereich

• Industriespionage und Datendiebstahl: Kriminelle erbeuten gezielt Konstruktionsdaten, Algorithmen und Fahrzeugsoftware bei Zulieferern?. Beispiel: Beim Angriff 2021 auf einen Karosserieteile-Hersteller wurden CAD-Modelle und Produktionspläne gestohlen und veröffentlicht.
• Ransomware: Schadsoftware wie LockBit und BlackCat trifft vernetzte Fertigungsnetzwerke. Im Jahr 2024 wurden allein im Mobilitätsbereich 108 Ransomware-Angriffe gemeldet?.
• Datenpannen: 2024 wurden zudem 214 Datenschutzverletzungen im Mobilitätssektor registriert?. Besonders betroffen sind Dienste im Umfeld von Smart Mobility (EV-Ladestationen, Flottenmanagement etc.), die neue Angriffsflächen bieten.

Diese steigende Aggressivität zeigt, dass etablierte Schutzmechanismen oft nicht mehr ausreichen. Die Branche muss über die reine Compliance hinausgehen und ihre Cyber-Abwehrstrategien grundlegend überdenken.

Security-by-Design und Zero-Trust-Konzepte

Um der Komplexität der Bedrohungen zu begegnen, setzt die Industrie verstärkt auf Security by Design: Sicherheit wird hier von Anfang an in Architektur und Entwicklungsprozesse eingebaut. ISO/SAE 21434 sieht vor, dass jede Entwicklungsstufe – von der Konzeptphase bis zur Außerbetriebnahme – ein Risikomanagement durchläuft?. Parallel gewinnt das Zero-Trust-Prinzip an Bedeutung. Dabei erhält grundsätzlich keine Komponente automatisch Vertrauen. Stattdessen prüfen Systeme kontinuierlich, ob Zugriffsanfragen berechtigt sind. VicOne verweist darauf, dass Zero Trust zu einer "deutlich reduzierten Angriffsoberfläche" und einer verbesserten Bedrohungserkennung führt?. 2024 entfielen 77% der entdeckten Sicherheitslücken im Jahr 2024 ferner auf In-Vehicle-Systeme – also direkt im Fahrzeug verbaute Hardware/Software?. Dies zeigt, wie wichtig Security by Design im Fahrzeug selbst ist. Nur vertrauenswürdige Einheiten dürfen auf kritische Fahrzeugdaten zugreifen, was die Resilienz gegenüber komplexen Angriffen deutlich erhöht.

Supply Chain Security: Schwachstellen entlang der Lieferkette

Die enge Verzahnung von OEMs mit Zulieferern schafft zusätzliche Gefahren. Das BSI betont, dass Hersteller und Zulieferer sensible Daten (z.B. Konstruktionspläne) teilen und Produktionsausfälle bei einem Zulieferer zu massiven Beeinträchtigungen führen können?. Komplexe (Software-)Lieferketten bergen viele Einfallstore: Jede Hardware- oder Software-Komponente kann manipuliert oder unzureichend geprüft sein?. Entsprechende organisatorische Maßnahmen (z.B. Lieferantenbewertungen, verschlüsselte Updates) sind daher unerlässlich.  Sonstige Dienstleister wie Wartungsfirmen oder Cloud-Anbieter müssen gleichermaßen vertrauenswürdig sein, um Kettenreaktionen (z.B. durch Ransomware) zu vermeiden?.

Wirtschaftliche Schäden durch Cyberangriffe

Die finanziellen Folgen lassen sich kaum abschätzen. VicOne und DBusiness berichten, dass allein im Zeitraum 2022–2024 bereits Schäden im zweistelligen Milliardenbereich entstanden sind?. Die Verluste reichen von Produktionsausfällen bis zu erpressten Lösegeldzahlungen. Upstream Security dokumentiert für 2024 z.B. 108 Mobility-Ransomware-Angriffe mit 214 Datenpannen?. Ein besonders spektakulärer Fall war ein Angriff auf einen US-Softwareanbieter (15.000 Autohäuser), der drei Wochen lang den Betrieb lahmlegte und rund 1,02 Mrd. USD kostete?. Solche Beispiele verdeutlichen, wie stark sich ein einzelner Zwischenfall auf den gesamten Markt auswirken kann.

Die Bedrohungslage ist hochdynamisch – mit dem richtigen Partner an der Seite können OEMs und Zulieferer dieser Herausforderung souverän und beruhigt begegnen.

Lösungsansätze

Um die Cyber-Resilienz zu erhöhen, empfehlen Experten vor allem eine Kombination aus Mensch, Prozess und Technik:

• Sicherheitskultur etablieren: Regelmäßige Schulungen, Awareness-Kampagnen und klar definierte Verantwortlichkeiten im gesamten Unternehmen.
• Automatisierung & Tools: Einsatz von KI-gestützten Sicherheitslösungen (z.B. verhaltensbasierte Erkennung) und automatisierten Scannern zur Schwachstellenanalyse.
• Zertifizierungen einführen: Implementierung von ISO/SAE 21434- und TISAX-konformen Prozessen, um bewährte Sicherheitsstandards zu erfüllen.
• Kontinuierliches Monitoring: Permanentes Echtzeit-Monitoring und schnelle Over-the-Air-Updates. Das BSI hebt hervor, dass Funk-Updates es erlauben, neu entdeckte Lücken zügig zu schließen?.

Gemeinsam mit strikten Notfallplänen und Penetrationstests kann so eine robuste Sicherheitsarchitektur entstehen, die künftigen Angriffswellen standhält.

Gesetzliche Rahmenbedingungen: EU Cyber Resilience Act

Neben branchenspezifischen Regeln rückt nun auch der EU-weite Cyber Resilience Act (CRA) in den Fokus. Ab 2027 müssen Hersteller nachweisen, dass ihre Produkte (Software wie Hardware) von Grund auf sicher entworfen und regelmäßig gepatcht werden?. Das Gesetz fordert ein durchgängiges Sicherheitskonzept bis zum Lebensende des Produkts und sieht bei Verstößen Bußgelder von bis zu 15 Millionen Euro vor?. Zusammen mit der NIS?2-Richtlinie und UNECE-Vorschriften verschärft der CRA die Lage: Zulieferer und Hersteller müssen künftig sehr genaue Sicherheitsnachweise erbringen und umfassende Risiko-Management-Systeme implementieren.