Cybersecurity im Autogewerbe
Keine Garage zu klein, ein Ziel für Hacker zu sein
22. Mai 2024 agvs-upsa.ch – Die Digitalisierung und Vernetzung ist einer der grossen Trends der Fahrzeugwelt. Doch damit steigt auch die Gefahr von Cyberangriffen. Eine Studie des CAM in Zusammenarbeit mit Cisco Systems zeigt: Gerade die Angriffe auf kleine und mittlere Garagenbetriebe nehmen alarmierend zu. Ilir Pinto
Cyberkriminelle schlagen oft über Nacht zu. Foto: iStockPhoto
Das betrifft doch nur Grossunternehmen? Von wegen: Oftmals wird fälschlicherweise angenommen, Cybersecurity sei nur ein Fall für Firmen, die über umfangreiche IT-Infrastruktur verfügen. Tatsächlich sind jedoch jüngst ganz besonders kleinere und mittlere Betriebe von Cyberangriffen betroffen – weil sie nicht über die Ressourcen oder das Fachwissen der grossen Unternehmen verfügen, um angemessene Sicherheitsmassnahmen zu implementieren. Dies gilt auch für Garagenbetriebe.
«Mit der Meta-Analyse, die wir durchgeführt haben, wurde deutlich, dass sich Hackerangriffe vor allem gegen kleinere Betriebe richten», sagt Stefan Bratzel, Direktor des deutschen Center of Automotive Management (CAM). Und weiter: «Klar ist auch, dass in den nächsten Jahren das Automobil vermehrt ein Angriffspunkt wird für Hacker.» Die Studie identifiziert allein beim vernetzten Fahrzeug zwölf potenzielle Eintrittspunkte. Dazu gehören beispielsweise die Getriebe- und Motorsteuergeräte, Fahrassistenzsysteme, die Fahrwerkssteuerung oder Multimediasysteme.
Diagnosegeräte als Risikofaktor
Die CAM-Studie zeigt auf, dass die Angriffsfläche durch zunehmende Digitalisierung, Vernetzung und Automatisierung auch in der Lieferkette der Fahrzeugbranche stetig wächst. Garagenbetriebe spielen in dieser Lieferkette heute eine wichtige Rolle: Sie sind nicht nur für den Service und die Reparatur von Fahrzeugen zuständig, sondern auch für die Durchführung von Updates und die Gewährleistung der Datensicherheit. Bratzel ergänzt: «Garagenbetriebe sind auch dafür verantwortlich, dass ihre eigenen Systeme und Prozesse in Sachen Cybersicherheit auf dem neuesten Stand sind.» Dadurch kann ein Diagnose-Tool sogar zum Cyberrisiko werden. Wenn ein Fahrzeugdiagnosegerät, das mit dem internen Netzwerk einer Garage verbunden ist, mit einem Virus infiziert ist, besteht die Möglichkeit, dass dieser Virus auf andere Systeme oder Fahrzeuge überspringt. Da moderne Autos zunehmend vernetzt sind und viel Software in ihnen steckt, kann Schadsoftware viel Unheil anrichten. Ein infiziertes Diagnosegerät könnte beispielsweise Daten von einem Fahrzeug auslesen oder Änderungen am Fahrzeug vornehmen, die nicht autorisiert sind. Daher ist es wichtig, dass Garagenbetriebe die Cybersicherheit ihrer Diagnose- und Servicegeräte gewährleisten. Dabei gilt es, sich bewusst zu sein, dass man nicht nur fahrzeugbezogene Daten, sondern auch personenbezogene Daten der Kundinnen und Kunden verwaltet. Dazu gehören etwa Informationen über die durchgeführten Reparatur- und Servicearbeiten, Kundenkontaktdaten, Fahrzeughistorie oder Diagnosedaten.
Mehr Schutz vor Cyberangriffen
Garagenbetriebe können Massnahmen ergreifen, um ihre Systeme und Daten vor Cyberangriffen zu schützen. «Es gibt Prüfgesellschaften, die sicherstellen, dass das Cybersecurity-System wirklich den Anforderungen entspricht», sagt Bratzel. Solche Firmen überprüfen die Einhaltung von Standards, Richtlinien und Prozessen in Unternehmen und unterstützen bei der Umsetzung von Massnahmen.
Der AGVS rät seinen Mitgliedern dringend, ihre IT-Sicherheit zu überprüfen und laufend zu verbessern, und bietet dazu ein Dienstleistungsangebot in Kooperation mit der Swisscom an.
Zur Bewertung der Cybersicherheit in einem Betrieb schlagen die Verfasser der Studie das sogenannte 4C-Modell vor. Es betont die Bedeutung von Kompetenzen, Kooperationen, Unternehmenskultur und Cyberstrategie. «Es hilft nichts, wenn sich nur einige Spezialisten im Betrieb auskennen und die Belegschaft nicht. Es muss hinterlegt sein; es muss entsprechende Prozesse geben», sagt Bratzel.
Die Folgen eines Cyberangriffs können erheblich sein: Vor einigen Jahren, zum Beispiel, schlugen Cyberkriminelle bei der Aarauer Carrosserie Werke AG über Nacht zu (AUTOINSIDE 09/2022). Dem Inhaber Felix Wyss gelang es immerhin, die ursprüngliche Forderung von 480’000 auf 50’000 Dollar herunterzuhandeln.
Neue Cybersicherheits-Standards für die Fahrzeugbranche
Umfassende Cybersicherheits-Strategien sind heute unerlässlich, um die Sicherheit der ganzen Fahrzeugbranche zu gewährleisten. Die Qualität der Umsetzung von Cybersicherheits-Strategien variiert jedoch stark zwischen den verschiedenen Akteuren. Es besteht dringender Bedarf, das Bewusstsein für Gefahren und Risiken zu schärfen und Schutzmassnahmen auf allen Ebenen einzuführen. Dies ist auch für Garagenbetriebe unerlässlich. Nur so kann das Vertrauen der Kundinnen und Kunden in die Sicherheit ihrer Fahrzeuge und der Dienstleistungen der Garage gewährleistet werden.
Um der wachsenden Bedrohung durch Cyberangriffe zu begegnen, gibt es seit Juli 2022 die UN-Richtlinie R155. Diese Richtlinie ist für alle neuen Fahrzeugtypen in der EU verbindlich und gilt ab Juli 2024 auch für die Neuzulassung bereits bestehender Fahrzeugtypen. Sie stellt Anforderungen an die Cybersicherheit von Fahrzeugen. Auch die Schweiz ist verpflichtet, diese festgelegten Standards umzusetzen.
Cyberkriminelle schlagen oft über Nacht zu. Foto: iStockPhoto
Das betrifft doch nur Grossunternehmen? Von wegen: Oftmals wird fälschlicherweise angenommen, Cybersecurity sei nur ein Fall für Firmen, die über umfangreiche IT-Infrastruktur verfügen. Tatsächlich sind jedoch jüngst ganz besonders kleinere und mittlere Betriebe von Cyberangriffen betroffen – weil sie nicht über die Ressourcen oder das Fachwissen der grossen Unternehmen verfügen, um angemessene Sicherheitsmassnahmen zu implementieren. Dies gilt auch für Garagenbetriebe.
«Mit der Meta-Analyse, die wir durchgeführt haben, wurde deutlich, dass sich Hackerangriffe vor allem gegen kleinere Betriebe richten», sagt Stefan Bratzel, Direktor des deutschen Center of Automotive Management (CAM). Und weiter: «Klar ist auch, dass in den nächsten Jahren das Automobil vermehrt ein Angriffspunkt wird für Hacker.» Die Studie identifiziert allein beim vernetzten Fahrzeug zwölf potenzielle Eintrittspunkte. Dazu gehören beispielsweise die Getriebe- und Motorsteuergeräte, Fahrassistenzsysteme, die Fahrwerkssteuerung oder Multimediasysteme.
Diagnosegeräte als Risikofaktor
Die CAM-Studie zeigt auf, dass die Angriffsfläche durch zunehmende Digitalisierung, Vernetzung und Automatisierung auch in der Lieferkette der Fahrzeugbranche stetig wächst. Garagenbetriebe spielen in dieser Lieferkette heute eine wichtige Rolle: Sie sind nicht nur für den Service und die Reparatur von Fahrzeugen zuständig, sondern auch für die Durchführung von Updates und die Gewährleistung der Datensicherheit. Bratzel ergänzt: «Garagenbetriebe sind auch dafür verantwortlich, dass ihre eigenen Systeme und Prozesse in Sachen Cybersicherheit auf dem neuesten Stand sind.» Dadurch kann ein Diagnose-Tool sogar zum Cyberrisiko werden. Wenn ein Fahrzeugdiagnosegerät, das mit dem internen Netzwerk einer Garage verbunden ist, mit einem Virus infiziert ist, besteht die Möglichkeit, dass dieser Virus auf andere Systeme oder Fahrzeuge überspringt. Da moderne Autos zunehmend vernetzt sind und viel Software in ihnen steckt, kann Schadsoftware viel Unheil anrichten. Ein infiziertes Diagnosegerät könnte beispielsweise Daten von einem Fahrzeug auslesen oder Änderungen am Fahrzeug vornehmen, die nicht autorisiert sind. Daher ist es wichtig, dass Garagenbetriebe die Cybersicherheit ihrer Diagnose- und Servicegeräte gewährleisten. Dabei gilt es, sich bewusst zu sein, dass man nicht nur fahrzeugbezogene Daten, sondern auch personenbezogene Daten der Kundinnen und Kunden verwaltet. Dazu gehören etwa Informationen über die durchgeführten Reparatur- und Servicearbeiten, Kundenkontaktdaten, Fahrzeughistorie oder Diagnosedaten.
Mehr Schutz vor Cyberangriffen
Garagenbetriebe können Massnahmen ergreifen, um ihre Systeme und Daten vor Cyberangriffen zu schützen. «Es gibt Prüfgesellschaften, die sicherstellen, dass das Cybersecurity-System wirklich den Anforderungen entspricht», sagt Bratzel. Solche Firmen überprüfen die Einhaltung von Standards, Richtlinien und Prozessen in Unternehmen und unterstützen bei der Umsetzung von Massnahmen.
Der AGVS rät seinen Mitgliedern dringend, ihre IT-Sicherheit zu überprüfen und laufend zu verbessern, und bietet dazu ein Dienstleistungsangebot in Kooperation mit der Swisscom an.
Zur Bewertung der Cybersicherheit in einem Betrieb schlagen die Verfasser der Studie das sogenannte 4C-Modell vor. Es betont die Bedeutung von Kompetenzen, Kooperationen, Unternehmenskultur und Cyberstrategie. «Es hilft nichts, wenn sich nur einige Spezialisten im Betrieb auskennen und die Belegschaft nicht. Es muss hinterlegt sein; es muss entsprechende Prozesse geben», sagt Bratzel.
Die Folgen eines Cyberangriffs können erheblich sein: Vor einigen Jahren, zum Beispiel, schlugen Cyberkriminelle bei der Aarauer Carrosserie Werke AG über Nacht zu (AUTOINSIDE 09/2022). Dem Inhaber Felix Wyss gelang es immerhin, die ursprüngliche Forderung von 480’000 auf 50’000 Dollar herunterzuhandeln.
Neue Cybersicherheits-Standards für die Fahrzeugbranche
Umfassende Cybersicherheits-Strategien sind heute unerlässlich, um die Sicherheit der ganzen Fahrzeugbranche zu gewährleisten. Die Qualität der Umsetzung von Cybersicherheits-Strategien variiert jedoch stark zwischen den verschiedenen Akteuren. Es besteht dringender Bedarf, das Bewusstsein für Gefahren und Risiken zu schärfen und Schutzmassnahmen auf allen Ebenen einzuführen. Dies ist auch für Garagenbetriebe unerlässlich. Nur so kann das Vertrauen der Kundinnen und Kunden in die Sicherheit ihrer Fahrzeuge und der Dienstleistungen der Garage gewährleistet werden.
Um der wachsenden Bedrohung durch Cyberangriffe zu begegnen, gibt es seit Juli 2022 die UN-Richtlinie R155. Diese Richtlinie ist für alle neuen Fahrzeugtypen in der EU verbindlich und gilt ab Juli 2024 auch für die Neuzulassung bereits bestehender Fahrzeugtypen. Sie stellt Anforderungen an die Cybersicherheit von Fahrzeugen. Auch die Schweiz ist verpflichtet, diese festgelegten Standards umzusetzen.
Kommentar hinzufügen
Kommentare