Fast alle der 15'000 amerikanischen Autohändler zählen zu den Kunden des Softwareanbieters CDK Global. Mitte Juni wurde die Firma Opfer eines erpresserischen Cyberangriffs und musste alle Systeme abschalten. Das hatte massive Folgen. Tausende Autohändler überall in den USA waren für Stunden weitgehend lahmgelegt. Offenbar wusste sich CDK nicht anders zu helfen, als ein Lösegeld von rund 25 Millionen Dollar an die digitalen Erpresser zu zahlen, wie der US-Nachrichtensender CNN berichtete.
Der Fall zeigt, wie anfällig die Automobilbranche für Cyberangriffe ist. Das Bewusstsein dafür wächst. So ist das Thema Cybersicherheit bei den Autoherstellern auf der Agenda ganz nach oben geklettert. Gemäss einem Bericht des Automatisierungsspezialisten Rockwell Automation sehen die Unternehmen das Risiko von Cyberangriffen als «grösste externe Hürde für das Wachstum der Firma». Die Antworten stammen von 182 Führungskräften von Autobauern, Automobilzulieferern und Elektrofahrzeugen aus 15 Ländern.
Daran sind zwei Aspekte besonders bemerkenswert: Zum einen hat das Thema innert Jahresfrist enorm an Priorität gewonnen. 2023 lag es erst auf Rang neun der Toprisiken. Und zum anderen ist die Cybersicherheit für die Automobilindustrie ein noch grösseres Problem als für andere Branchen: Über alle Branchen hinweg liegt sie nur auf Rang drei der Hauptsorgen.
Was macht die Cybersicherheit in der Autoindustrie derart komplex? Bei der Antwort auf diese Frage müsse «der gesamte Produktlebenszyklus des Fahrzeugs von der Entwicklung über die Produktion bis hin zur Nutzung» mitgedacht werden, schreibt das Center of Automotive Management (CAM) in einer Studie. Laut dem deutschen Forschungsinstitut bedeutet das: Kontrolle über die ganze Lieferkette und die vergleichsweise lange Lebensdauer der Autos. Dies und die Vielfalt an Modellen würden die Bemühungen zur Cybersicherheit «deutlich erschweren».
Bei den komplexen Lieferketten orten die Experten denn auch «eine grosse Schwachstelle»: Solche Angriffe hätten eine «hohe Eintrittswahrscheinlichkeit» und seien vielfach mit einem «hohen Schadensausmass» verbunden. Zu den besonders gefährdeten Bereichen zähle etwa die Ladeinfrastruktur für Elektrofahrzeuge.
Die Infrastruktur steht laut den Fachleuten parallel zur rasant steigenden Verbreitung von Elektroautos unter hohem Druck. Möglichst schnell soll eine möglichst breite Abdeckung durch Ladestationen gewährleistet sein. Das Problem dabei: Oft werde die Umsetzung der Cybersicherheit dabei «zweitrangig oder überhaupt nicht behandelt», hält das Forschungsinstitut fest.
Gleichzeitig sei die Ladeinfrastruktur kein einheitliches System. Vielmehr bestehe sie aus Teilen, die von verschiedenen Dienstleistern betrieben werden. Das mache sie «zu einem leichten Ziel für Angriffe», die «nur deswegen noch nicht überhandnehmen, weil das Schadenspotenzial im Einzelnen überschaubar» sei.
Während dies stimmen mag, wenn es einem Angreifer «nur» darum geht, gratis sein Auto zu laden, können die Folgen weit gravierender sein. So erhalten Kriminelle, die in das Innere einer Ladesäule vordringen, leicht Zugriff auf die Zahlungsdaten verschiedener Nutzer. So wäre es möglich, dass sie so die Kontrolle über Backend-Server und weitere Ladestationen übernehmen – «im schlimmsten Fall sogar über die Lastregelung des regionalen Stromnetzes», wie es in der Studie heisst.
Doch auch die Autos selbst sind mittlerweile rollende Computer. Die zunehmende Vernetzung macht Fahrzeuge anfälliger für Angriffe. Zu den Hauptrisiken gehörten dabei etwa Datendiebstahl und Remote Hacking, bei dem sich Kriminelle aus der Ferne Zugriff auf das Auto verschaffen - beispielsweise auf die Steuerung oder Bremse, wie Ivan Reedman von der IT-Sicherheitsfirma IOActive in einem Interview sagte.
Neue Technologien wie «Over-the-Air-Updates», mit denen die Autohersteller Software aus der Ferne aktualisieren können, würden zwar Abhilfe schaffen. Doch zugleich böten sie neue Angriffsflächen.
Ein Einfallstor für Hacker sind laut dem Experten auch die Infotainmentsysteme. Über Verbindungsoptionen wie Wi-Fi, Bluetooth oder USB könnten sich Kriminelle einschalten. Zudem speicherten die Systeme viele persönliche Daten wie Kontakte oder Standortdaten, die für Cyberkriminelle interessant sein könnten, so Reedman.
Die Regulierungsbehörden haben das Problem erkannt. In der EU ist per Juli ein neues Regelwerk zu Cybersicherheit und Software-Updates von vernetzten Fahrzeugen in Kraft getreten. Die Hersteller müssen nun bei allen neu hergestellten Autos - auch bei alten Modellen - nachweisen, dass schon bei der Entwicklung der Fahrzeuge ein zertifiziertes Managementsystem zur Abwehr von Hackerangriffen besteht. Und das über die ganze Lieferkette.
Gerade bei älteren Modellen ist dies jedoch mit hohem Aufwand verbunden. Es kostet mehrere Millionen Euro pro Typ, wie Stefan Bratzel vom CAM schätzt - und lohne sich deshalb oft nicht mehr. Der neuen Regel sind denn auch schon mehrere Modelle zum Opfer gefallen. VW streicht den Kleinwagen Up und den Transporter T6.1. Porsche will die Verbrennerversionen von Macan, Boxster und Cayman nur noch für den Export bauen, und auch Audi, Renault und Smart lassen ältere Modelle auslaufen. (aargauerzeitung.ch)
Bei solchen Randbedingungen würde ich als Softwarehersteller auch bei der Sicherheit und beim Testing sparen um eine höhere Marge zu haben