Zweifelsohne nimmt die Automobilindustrie das Thema Cybersicherheit ernst. Denn immerhin wird seit mehr als einem Jahrzehnt im Stillen daran gearbeitet, die Fragen zur Sicherheit zu beantworten, die sich durch die vier großen disruptiven Themen Automatisierung, Vernetzung, Carsharing und alternative Kraftstoffe ergeben. 2015 erlangte das Thema weltweite Aufmerksamkeit, als White-Hat-Hacker via Internet die Kontrolle über ein Fahrzeug übernahmen. 1,4 Mio. Fahrzeuge wurden daraufhin zurückgerufen und die Branche verdoppelte ihre Anstrengungen zur Bewältigung des Problems.

Bereits seit 2011 arbeiten die Hersteller mit der UNECE zusammen, um einen Rechtsrahmen beim Thema Cybersicherheit in der Automobilindustrie zu entwickeln. 2021 kündigte der Dachverband an, dass im Juli 2022 diesbezüglich Regularien für alle neuen Fahrzeugtypen in Kraft treten würden, bevor diese ab Juli 2024 für alle Neuwagen in 54 Ländern verbindlich umgesetzt werden müssen.

Trotz des vorgelegten rasanten Tempos kann die Regulierung nach Ansicht vieler Stakeholder nicht früh genug kommen, da die konkrete Gefahr besteht, dass Hacker ein vernetztes Fahrzeug kapern könnten. Nach Angaben der UNECE enthalten Autos heute bis zu 150 elektronische Steuergeräte und etwa 100 Millionen Codezeilen – viermal mehr als ein Kampfjet – und diese Zahl wird bis 2030 voraussichtlich auf 300 Millionen Codezeilen ansteigen. Brancheninsider wissen, dass dies keine Kleinigkeit ist – ganz im Gegenteil, es ist wohl eine der größten Herausforderungen, vor denen sie jemals standen.

Die neue Grenzregion

Derzeit gibt es keine strengen Anforderungen an die Cybersicherheit von Fahrzeugen, doch die Branche arbeitet aktiv daran, dieses Problem zu lösen. Dazu gehört auch die Durchführung umfangreicher Untersuchungen darüber, wie eine optimale Regelung aussehen sollte, sowie die Zusammenarbeit mit der UNECE bei der Entwicklung der Verordnung 155. Bis dahin müssen sich die OEMs an die neue ISO/SAE21434 oder SAE J3061 halten. Dies hat in Wildwest-Manier zu einer Art Eigenkontrolle nach selbst geschaffenen Regeln geführt, da die dringend benötigte Regulierung zwar kommen muss und kommen wird, aber noch nicht existiert.

Die Akteure in der neuen Grenzregion

Während wir auf die Reg. 155 warten, glaube ich, dass die ISO ihre Dokumentation kontinuierlich aktualisieren wird, damit sie relevant bleiben. Das hat aber zur Folge, dass OEMs und ihre Tier-1- und Tier-2-Zulieferer Unterstützung brauchen, um sich in der sich ständig verändernden Landschaft zurechtzufinden. Sie werden einen Partner beim Thema Sicherheit benötigen, der sie ganz konkret bei den aktuellen Herausforderungen berät und gleichzeitig die zukünftigen im Blick behält.

Ein Blick in die Zukunft: Drei einzigartige Herausforderungen für die Cybersicherheit in der Automobilindustrie

1.           es gibt keine Standardlösung

Anwendungen, die sich in anderen Branchen bewährt haben, sind nicht unbedingt für die Automobilindustrie geeignet. Das Thema Cybersicherheit in der Automobilindustrie steht erst seit etwa zehn Jahren im Fokus, während die IT-Sicherheit im Allgemeinen ihren Ursprung in den späten 80er Jahren hat. Infolgedessen fehlt es der Automobilindustrie in der Regel an Fähigkeiten und Erfahrungen, die sie in diesem Bereich benötigt. Kombiniert man dies mit der Geschwindigkeit, mit der die Regulierung voranschreitet und fügt dem Ganzen noch Altsysteme wie CAN und FlexRay hinzu, ergibt sich ein vollkommen neuer, komplexer Weg, der für diese Branche beschritten werden muss. Zudem stellt sich die Frage, wie streng die neuen Vorschriften durchgesetzt werden. Werden große OEMs und kleinere Hersteller an gleiche Standards gebunden sein?

2.           Ein langwieriger Lebenszyklus

Eine zusätzliche Herausforderung ergibt sich aus der Länge des Produktlebenszyklus in der Automobilindustrie. Wenn die Entwicklungszyklen zwischen 5 und 10 Jahren liegen (je nach Komponente) und das Durchschnittsalter eines Autos bei der Verschrottung 14 Jahre beträgt, muss man einen Lebenszyklus von mehr als 20 Jahren berücksichtigen. In dieser Zeit wird sich die Cyber-Bedrohung mehrfach weiterentwickelt haben, so dass die OEMs und ihre Zulieferer gezwungen sind, Lösungen für die langfristige Sicherheit ihrer Flotte zu finden. Es könnte sogar der Zeitpunkt kommen, an dem die Hersteller verpflichtet werden, Garantien für die Cybersicherheit oder Kundendienstprodukte mit regelmäßigen Patch-Updates anzubieten.

1.           Eine Zeit des gewaltigen Wandels

Wir alle wissen, dass die Autoindustrie einen enormen Wandel durchmacht, da sie ihr Betriebsmodell auf alternative Kraftstofflösungen umstellt, um sowohl die staatlichen Vorgaben als auch die steigende Verbrauchernachfrage zu erfüllen. Ich behaupte, dass neben alternativen Kraftstofffahrzeugen (AFVs) die Cybersicherheitsrisiken durch das vernetzte Auto eine ebenso große Herausforderung darstellten, auch wenn diese nicht so offen sichtbar zu Tage tritt. Mit zunehmender Vernetzung steigen auch die Sicherheitsherausforderungen und obwohl die Sicherheit immer an erster Stelle stehen muss, werden neue Transportmodelle auf Abruf oder MaaS (Mobility as a Service) neue Probleme aufwerfen, wie die Sicherheit von Zahlungen, Rechnungen und persönlichen Daten. Zwar bauen viele große OEMs ihre eigenen Teams auf, um die Cybersicherheit zu gewährleisten, doch was ist mit den Tier-1- und Tier-2-Zulieferern, für die wahrscheinlich dieselben Standards gelten werden? Sie brauchen einen Partner, der ihnen dabei hilft, Schritt zu halten. Expleo verfügt über Kompetenzen und Erfahrungen in den Bereichen Technik und Technologie – vom Bank-, Finanz- und Versicherungswesen (BFSI) bis hin zur Automobiltechnik – und bietet seinen Kunden eine einzigartige Kombination aus Designdenken und Sicherheit.

Wir haben noch etwa zwei Jahre Zeit, bis die UNECE-Verordnung 155 in Kraft tritt. In dieser Zeit wird uns die doppelte Dynamik von Automatisierung und Vernetzung dazu zwingen, die Herausforderung anzunehmen oder wir riskieren, ins Hintertreffen zu geraten. Die Unternehmen, die sich der Herausforderung stellen, werden diejenigen sein, die offen für neue Denkansätze sind. Sie werden von anderen Branchen lernen, um die Hindernisse zu überwinden, mit denen die Automobilindustrie konfrontiert ist. Und Expleo wird als kompetenter Partner mit seinen Kunden zusammenarbeiten, um sie zu beraten und Lösungen zu spezifizieren zu entwickeln, die der Industrie helfen, diese neue Grenzregion zu beherrschen.

Sprechen Sie mit uns.

Um mehr darüber zu erfahren, wie Expleo Sie bei der Vorbereitung auf die UNECE Reg.155 unterstützen kann, oder welche anderen Services wir im Bereich Cybersecurity anbieten, kontaktieren Sie gerne Glynn Beeken und unser Team.