Informationssicherheit in der Lieferkette

Die Hersteller und Zulieferer im Automobilbau sind am stärksten gefährdet

Datum
28. November 2016
Autor

Die Automobilindustrie war schon immer das Ziel von Wirtschaftsspionage. Automobilhersteller und Zulieferer sind über weltweite Lieferketten stark miteinander vernetzt. Ihre schützenswerten Informationen geraten immer häufiger durch Missbrauch von IT-Systemen in falsche Hände. Kein anderer Sektor kämpft mit so vielen Angriffen auf Netzwerke und digitale Daten. Die weit verbreitete Sichtweise, die Bösen seien draußen, in den Tiefen des Internets, und die Guten drinnen, im Firmennetz, stimmt längst nicht mehr. Die Bösen sind auch im Unternehmen zu finden. Und die Guten sind nicht mehr alle gut. Die Schäden durch Angriffe wie Datendiebstahl, Manipulation usw. für deutsche Unternehmen werden für 2015 auf etwa 51 Milliarden Euro geschätzt.

68% der Automobilhersteller und Automobilzulieferer wurden in den letzten beiden Jahren Opfer eines Cyberangriffs.Am stärksten gefährdet ist der Automobilsektor: 68 Prozent der Unternehmen gaben an, in den vergangenen 24 Monaten Opfer von Angriffen geworden zu sein. Dahinter folgen Chemie und Pharma sowie Banken und Versicherungen. Längst werden nicht nur Großunternehmen ausgespäht: Mit 61 Prozent sind mittelständische Firmen am häufigsten von Spionage und Sabotage betroffen. Die meisten ermittelten Täter stammen aus dem Umfeld ihrer Opfer. 52 Prozent der Delikte wurden von aktuellen oder früheren Mitarbeitenden begangen, fast 40 Prozent von Wettbewerbern, Lieferanten, Dienstleistern oder Kunden, die ihr Insiderwissen nutzten.

Im Automobilbau werden immer mehr IT-getriebene Technologien eingesetzt und die Hersteller immer enger mit ihren Zulieferern vernetzt. Der zeitnahe Informationsaustausch und Einsatz moderner Kommunikationstechnologien schaffen Wettbewerbsvorteile, beispielsweise beschleunigte Produktionsprozesse oder minimierte Fehlerquoten in der Produktion. Dies ist mittlerweile unabdingbar, um weiterhin erfolgreich sein und sich von der Konkurrenz absetzen zu können. Doch Informationsaustausch und moderne Kommunikationstechnologien bergen auch Gefafahren.

Zwei Beispiele für erfolgreiche Angriffe

  • Einem Hacker ist es gelungen, auf die Multimediasoftware Onstar des Automobilherstellers General Motors zuzugreifen. Er konnte aus der Ferne sicherheitsrelevante Fahrzeugfunktionen wie Motorstart und -stopp, Entriegelung sowie Licht steuern.
  • IT-Sicherheitsspezialisten konnten über sechs Sicherheitslücken in der Steuerungssoftware Autos von Tesla kontrollieren. Sie drangen über das zentrale Multimedia-System in die Software ein und konnten die Fahrzeuge während der Fahrt ausschalten und anhalten.

Safety und Security gemeinsam betrachten

Aktuell existiert kein durchgängiges gemeinsames Sicherheitskonzept für die Zuliefererbetriebe. Der Fokus liegt in der Regel auf der IT-Sicherheit der Hersteller, die IT-Landschaft der Zulieferer wird oft vernachlässigt, darum fehlen durchgängige IT-Sicherheitsmaßnahmen. Die elektronischen Bauteile haben häufig keine Sicherheitsmechanismen, die gezielte IT-Angriffe auf die Sicherheit der Fahrer und Passagiere verhindern könnten. Das vernetzte Auto (connected car) muss wie ein fahrender Rechner betrachtet werden und sollte wie ein Client Computer durch regelmäßige Sicherheitsupdates bestmöglich gegen Manipulationsversuche gesichert werden. Dies bedingt gemeinsame IT-Sicherheitsmaßnahmen. Aktuelle Vereinbarungen zwischen Herstellern und Lieferanten im Bereich IT-Security beschränken sich in der Regel auf spezielle Komponenten. IT-Systeme steuern aber zentrale Komponenten wie Bremse, Gaspedal oder Lenkung. Die IT sollte darum als zentrale Steuerungskomponente ganzheitlich betrachtet werden, um die Sicherheit des Fahrers und der Passagiere bestmöglich sicherzustellen.

Übergreifendes Sicherheitskonzept

Erstausrüster sind über verschiedenste IT-Systeme sehr eng mit ihren Zuliefern vernetzt. Neben traditionell IT-lastigen Bereichen wie Produktion oder Auftragsverarbeitung entstehen neue gemeinsam genutzte Entwicklungs- und Designplattformen. Durch die geringere Fertigungstiefe der Erstausrüster steigt der Innovationsdruck auf die Zulieferer. Beim Erstausrüster laufen alle Informationen zusammen. Deshalb ist die Furcht vor Angriffen über das Zulieferer-Netzwerk durchaus berechtigt. Die Erstausrüster müssen ein übergreifendes Sicherheitskonzept und Richtlinien für alle Zulieferer definieren, damit die Bedrohung nicht zu komplex wird.

Fazit

Die Digitalisierung geht einher mit einer stetig steigenden Zahl von IT-Sicherheitsverletzungen: Urheberrechtsverletzungen, Plagiate, Spionage und Informationsabfluss bedrohen Unternehmen entlang der gesamten Lieferkette nachhaltig. Dies macht es notwendig, schon bei der Entwicklung neuer Produkte IT-Sicherheitsmechanismen zu implementieren. Also schon beim Programmcode der eingebetteten Systeme. Diese Punkte können helfen, die Sicherheit für alle in der Lieferkette nachhaltig zu verbessern:

  • Regelmäßige IT-Sicherheitschecks durchführen
  • Ein Managementsystem für Informationssicherheit (ISMS) einführen und etablieren
  • Systeme einführen, die Angriffe und Netzwerk-Anomalien erkennen
  • Schutzbedarf feststellen und anhand ihrer Kritikalität klassifizieren
  • Daten und Kommunikation verschlüsseln
  • Krisenreaktionspläne: auf Worst-Case-Szenarien vorbereiten und die Krisenkommunikation planen