Vernetzte Fahrzeuge: Wie cybersicher sind unsere Autos?

vernetzte fahrzeuge: wie cybersicher sind unsere autos?

Potentielles Cyberrisiko? Der Autopilot steuert einen Tesla über einen amerikanischen Highway.

Die Automobilindustrie ist wie kaum eine andere Branche durch Cyberangriffe gefährdet. Das ist das Ergebnis einer Studie des Center of Automotive Management (CAM) gemeinsam mit dem Technologiekonzern Cisco, die der F.A.Z. exklusiv vorliegt. „Die Cybergefahrenlage für die Automobilbranche ist in den letzten Jahren kontinuierlich angestiegen“, sagt Studienleiter Stefan Bratzel vom CAM. Mit der Verbreitung von software-definierten Fahrzeugen, der Elektromobilität, dem autonomen Fahren und der vernetzten Lieferkette würden sich die Cyberrisiken weiter erhöhen.

Ein vernetztes Automobil habe zwölf verschiedene Angriffsbereiche mit wiederum mehreren potentiellen Eintrittsmöglichkeiten, heißt es in der Studie: Steuergeräte, Fahrassistenz- oder Kamerasysteme, die Bremssysteme oder das GPS sind nur einige der Angriffsvektoren. „Stellen Sie sich vor, ein Navigationssystem wird so manipuliert, dass Sie in eine Gefahrensituation gelockt werden“, sagt Christian Korff im Gespräch mit der FAZ. Er leitet bei Cisco das Geschäft mit internationalen Großkunden und betreut unter anderem einige große Autohersteller als Kunden.

Für große Aufregung hatten zuletzt drei Berliner Wissenschaftler gesorgt, die – in einer Laborumgebung – den Autopiloten eines Teslas gehackt hatten. Die Angst davor, dass Hacker das eigene Auto steuern, ist sicherlich das größte Problem in der Kundenakzeptanz des autonomen Fahrens. Dass Hacker ein Fahrzeug gebremst oder umgeleitet hätten, sei bislang nicht festgestellt worden, sagt Bratzel. Aber ein gewisses Risiko bestehe natürlich. Dagegen sollten Autohersteller Strategien entwickeln. Wenn das Auto etwa einen Angriff registriere, könne es automatisch an den Straßenrand fahren und stehen bleiben.

Fragmentierte Ladeinfrastruktur als Risiko

Ein überraschenderes Einfallstor stellt die Ladeinfrastruktur für Elektrofahrzeuge dar. Das Ladeökosystem sei durch seine verschiedenen Marktteilnehmer außerordentlich komplex und biete viele Angriffspunkte, über die beispielsweise Kundendaten abgegriffen werden könnten.

Für das noch größere Risiko hält Bratzel aber die Vernetzung der Lieferketten der Unternehmen. „Es gibt eine riesige Wertschöpfungskette an Akteuren, mit denen die Industrie regelmäßig arbeitet“, sagt er. Das sei auch im Vergleich zu anderen Branchen schon eine besonders große Komplexität. „Die Zuliefererindustrie ist das kritische Glied in der Wertschöpfungskette“, sagt Bratzel. Die Unternehmen sind meist kleiner, können sich dementsprechend nicht so große IT-Abteilungen leisten. Sie sind ein Einfallstor für mögliche Schwachstellen, die sich später auch in den fertigen Autos niederschlagen. Eine Analyse von 52 signifikanten Sicherheitsvorfällen in der Automobilindustrie zwischen Januar und Juni 2022 in der Studie zeigt, dass etwa zwei Drittel hauptsächlich Automobilzulieferer betrafen.

Das kann auch wirtschaftlich große Folgen haben, wie das Beispiel Toyota zeigt. Nachdem ein Zulieferer von Kunststoffteilen und elektronischen Komponenten von einem mutmaßlichen Cyberangriff getroffen wurde, musste Toyota im Februar 2022 den Betrieb seiner japanischen Fabriken kurzzeitig aussetzen und konnte rund 13.000 Autos nicht planmäßig bauen.

Cybersicherheit als „ungeliebtes Kind“

„Die Autoindustrie ist beim Thema Software und Daten ein Waisenkind“, sagt Bratzel. Cybersicherheit spiele bei den Autoherstellern zwar eine Rolle, sei aber immer noch ein „ungeliebtes Kind“ – zumal der Wettbewerbsdruck, möglichst schnell möglichst viele vernetzte Dienstleistungen anzubieten, hoch sei. Das erhöhe das Risiko, dass die Cybersicherheit nicht die erste Priorität sei.

Korff vergleicht die Lage der Autokonzerne mit den Anfängen von Cisco . „Vor 30 Jahren haben wir Router noch ohne Sicherheitskomponenten gebaut“, sagt er. „Dann haben wir angefangen, solche Komponenten im Nachhinein anzuflanschen.“ In dem Stadium sei aktuell die Automobilbranche. „Aber um wirklich cybersicher zu werden, muss die Cybersicherheit schon beim ersten Pinselstrich mitgedacht werden.“ Das fordert auch die EU in einer Verordnung, die Autohersteller seit Juli 2022 für alle neuen Fahrzeugtypen und von Juli 2024 an auch für alle bestehenden Fahrzeugtypen einhalten müssen.

Das kann auch eine Chance für die Branche sein, sind Bratzel und Korff überzeugt. Cybersicherheit könne zum Alleinstellungsmerkmal für Autohersteller werden – und auch ganz neue Funktionen hervorbringen. Ein Beispiel ist die Identitätsprüfung. Autos könnten in Zukunft prüfen, ob der Fahrer wirklich der ist, der er vorgibt zu sein, berichtet Korff. Das geht etwa über einen Irisscan oder den Pulsschlag. Das könnte Fahrzeuge in Zukunft nahezu unstehlbar machen. „Das Thema Cybersicherheit muss in der Autoindustrie viel positiver besetzt werden“, sagt Bratzel.