Lediglich 9 Prozent der Befragten haben bisher WP.29 vollständig implementiert. Mehr als ein Viertel hat noch keinerlei Vorbereitungen getroffen oder Umsetzungspläne erarbeitet.
Die Automobilbranche in Deutschland ist nicht auf künftige Regulierungen im Bereich Cybersicherheit vorbereitet, so das Fazitder aktuellen Kaspersky-Studie „Cybersicherheit in der Automobilbranche“ [1]. Demnach betrachten 8 Prozent der befragten Unternehmen in Deutschland die Einhaltung solcher Regeln als größte Herausforderung beim Thema Cybersicherheit in den nächsten zwei Jahren. Entsprechend haben 28 Prozent noch keine Vorbereitungen diesbezüglich getroffen oder konkrete Pläne, wie sie die Anforderungen nach WP.29 umsetzen [2] können, erarbeitet.
Im Juli 2024 treten die ersten verbindlichen Regelungen (2019/2144) des UNECE World Forum for Harmonization of Vehicle Regulations (WP.29) für Fahrzeughersteller in Kraft. Verpflichtend wird für Neufahrzeuge etwa ein Cyber Security Management System (CSMS), das alle IT-bezogenen Risiken der Fahrzeuge verwaltet [3]. Dadurch soll die Cybersicherheit optimiert werden.
Eine aktuelle Kaspersky-Umfrage zeigt nun jedoch, dass ein Großteil der Automobilbranche in Deutschland noch nicht auf die neue Regelung vorbereitet ist. Zwar haben 23 Prozent der Umfrageteilnehmer bereits Pläne entwickelt, aber weder mit deren Umsetzung begonnen, noch diese schon realisiert. Lediglich 37 Prozent befinden sich aktuell in der Umsetzung. Eine vollständige Implementierung der Vorgaben beider Richtlinien gelang bislang lediglich 9 Prozent. Bei der Umsetzung der Vorschriften befinden sich die Automobilindustrie und ihre Zulieferer also noch deutlich im Rückstand.
Die Zurückhaltung bei der Implementierung oder Erarbeitung von Plänen zur WP.29 dürfte in einigen Unternehmen auch daran liegen, dass diese vor Regulierungen zurückschrecken. Immerhin 8 Prozent der Befragten sehen die Einhaltung gesetzlicher Normen als größte Herausforderung beim Thema Cybersicherheit an. Die zunehmende Vernetzung von Fahrzeugen – etwa die Integration von V2V- und V2I-Kommunikation oder Over-the-Air-Updates – wird hingegen zumindest von 23 Prozent als am herausforderndsten eingestuft.
Zudem zeigt die Kaspersky-Umfrage, dass bereits bei den Zuständigkeiten für die Umsetzung der Regelung Uneinigkeit besteht. Bei 72 Prozent der Unternehmen wird zukünftig die IT-Abteilung direkt für das Thema Cybersicherheit verantwortlich sein, während in 39 Prozent der betroffenen Firmen auch die Geschäftsführung und bei 31 Prozent die Compliance-Abteilung mitverantwortlich sind. Dabei ist insbesondere das IT-Management gefordert, sehen doch 43 Prozent der Befragten ein unzureichendes technisches Verständnis von Cyberbedrohungen in diesem Unternehmensbereich als zweitgrößtes Cybersicherheitsrisiko.
„Auch in der Automobilbranche steigt der Regulierungsdruck zunehmend, insbesondere wenn es um Schutzvorkehrungen und konkrete Maßnahmen gegen Cyberbedrohungen geht“, kommentiert Waldemar Bergstreiser, General Manager Central Europe bei Kaspersky. „Dies ist ein Schritt in die richtige Richtung. Denn: es handelt sich um einen hochdynamischen Markt, in dem nicht nur aktuelle, sondern auch neue und zukünftige Bedrohungen relevant sind. Cyberkriminelle nutzen immer ausgefeiltere Technologien und Methoden, um Schaden anzurichten und Daten zu stehlen. Unternehmen müssen entsprechend ihre Sicherheitsstrategie anpassen. Diese sollte aus einer robusten Schutzlösung gepaart mit Mitarbeiterschulungen sowie der Nutzung einer umfassenden, für den Automotive-Sektor spezifischen Threat Intelligence bestehen, die Einblicke in die aktuelle Bedrohungslage bietet.“
Kaspersky-Empfehlungen für mehr Cybersicherheit im Einklang mit der WP.29-Richtlinie
- Unternehmen sollten eine vollständige Bestandsaufnahme (Supply-Chain-Risk-Assessment) – der von ihnen erworbenen Produkte und Dienstleistungen sowie ihrer zugehörigen Prozesse durchführen. Diese Risikoeinschätzung schließt auch ein sorgfältiges Audit der Cybersicherheitsnachweise und Risikomanagement-Pläne einzelner Lieferanten ein.
- Prozesse, die strenger Compliance unterliegen, sollten lückenlos nachverfolgt werden können. Dies beinhaltet sämtliche Strategien für den Umgang mit Cyberrisiken und den gesamten Lebenszyklus des Fahrzeugs und der mit ihm verknüpften Dienste. Jede Änderung im Entwicklungs- und Konstruktionsprozess der Lieferkette sollte deshalb kontinuierlich mit Hilfe eines strukturierten und festgelegten Prozesses überwacht werden.
- Zur Prävention von Sicherheitsvorfällen sollten regelmäßig Mitarbeiterschulungen und Audits, etwa mithilfe von Kaspersky Security Awareness [6], durchgeführt werden. Zusätzlich empfiehlt es sich für Unternehmen Cybersicherheitslösungen – etwa Kaspersky Endpoint and Detection and Response [7] – zu implementieren, die Bedrohungen in der Lieferkette in Echtzeit erkennen und Maßnahmen zu deren Eindämmung initiieren können.
- Organisationen müssen die neuesten Cyberbedrohungen für spezifische Fahrzeugtypen kennen, indem sie diese regelmäßig überwachen und Log-Daten speichern. Diese Überwachungsberichte können sie dann zum Compliance-Nachweis an die zuständige Fahrzeugzulassungsbehörde übermitteln. Threat-Intelligence-Dienste, wie Kaspersky Threat Intelligence [8], erkennen Anomalien frühzeitig und proaktiv im Netzwerk und warnen vor Bedrohungen, bevor diese Schaden anrichten können.
- Unternehmen sollten Pläne zur schnellen und effizienten Vorfallreaktion bereithalten. In diesen sollte klar beschrieben und definiert sein, wann welche Situation eintritt und wie diese bei einem Angriff genau eskaliert werden muss. Die Partnerschaft mit einem Cybersicherheitsexperten wie Kaspersky ermöglicht die frühzeitige Erkennung von Angriffsversuchen mittels Firewalling, Schutz vor Netzwerkbedrohungen (Intrusion Detection System – IDS) sowie Netzwerkisolierung und -management. Eine forensische Datenanalyse hilft dabei, Bedrohungen zu entschlüsseln.
Der vollständige Kaspersky-Report „Cybersicherheit in der Automobilbranche“ ist verfügbar unter https://kas.pr/automotive-report
[1] https://kas.pr/automotive-report
[2] https://unece.org/transport/vehicle-regulations/world-forum-harmonization-vehicle-regulations-wp29
[3] https://www.tuv.com/landingpage/de/automotive-sec/main-navigation/zulieferer/
[4] https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
[6] https://www.kaspersky.de/enterprise-security/security-awareness
[7] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[8] https://www.kaspersky.de/enterprise-security/threat-intelligence
Nützliche Links:
- Kaspersky Industrial Cybersecurity: https://www.kaspersky.de/enterprise-security/industrial-cybersecurity
- Kaspersky Compromise Assessment: https://www.kaspersky.de/enterprise-security/compromise-assessment
- Kaspersky Threat Data Feeds: https://media.kaspersky.com/en/business-security/enterprise/kaspersky-threat-data-feeds-datasheet.pdf
- Kaspersky Security Awareness: https://www.kaspersky.de/enterprise-security/security-awareness
- Kaspersky Embedded Systems Security: https://www.kaspersky.de/enterprise-security/embedded-systems
- Kaspersky Transportation Security: https://www.kaspersky.de/enterprise-security/transportation-security
- Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
- Kaspersky Endpoint Detection and Response: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr