Automotive Cybersecurity: BSI stellt Lagebild vor

Daniel Wuhrmann

Anfang des Monats hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein Branchenlagebild Automotive vorgestellt und fordert darin von Herstellern, Zulieferern, Entwicklern und anderen Dienstleistern der Automobilindustrie unter anderem eine frühzeitige Berücksichtigung der rechtlichen Vorgaben für Automotive Cybersecurity.

Idealerweise sollen die gesetzlichen Vorgaben, so das BSI, schon unmittelbar in den Entwicklungszyklus neuer Fahrzeugmodelle einbezogen werden. Generell stellt die Behörde fest, dass sich mit der fortschreitenden Digitalisierung und Vernetzung der Mobilität die Angriffsmöglichkeiten auf Fahrzeuge und Infrastruktur vervielfachen. Als neue Angriffsfläche benennt das BSI dabei insbesondere auch die zunehmende Vernetzung und Abhängigkeit innerhalb der Lieferkette (Supply Chain). Risiken bestehen hier z. B. darin, dass Zulieferer in das Visier von Angreifern geraten, die den Angriff nutzen, um sich Zugriff auf Systeme des eigentlich anvisierten Herstellers zu verschaffen. Damit erhalten Angreifer Zugangsmöglichkeiten zu Unternehmen, die selbst über ausgereifte Abwehrmechanismen verfügen.

Die steigende Abhängigkeit und Vernetzung der IT-Infrastrukturen von Herstellern und Zulieferern und deren Risiken zeigen sich beispielsweise auch bei Angriffen mit Verschlüsselungstrojanern (sog. Ransomware). Hier sind immer wieder Fälle zu beklagen, in denen Unternehmen nicht nur mit der Lösegeldforderung zur Entschlüsselung der Daten konfrontiert sind, sondern gesamte Lieferketten durch Produktionsstillstände wirtschaftlich geschädigt werden. Daneben können manipulierte Soft- und Hardwarekomponenten eine erhebliche Gefahr für den öffentlichen Straßenverkehr und damit für eine Vielzahl von Personen darstellen.

Regulatorische Anforderungen an Cybersecurity

Mit der Umsetzung der UNECE-Regelungen liegt auf europäischer Ebene erstmals ein verbindliches und einheitliches Regelungssystem hinsichtlich der Cybersicherheit und Softwareupdates im Automobilsektor vor, welches sich auf den Bereich der Typengenehmigung auswirkt. Zwar adressieren die meisten Anforderungen unmittelbar die Hersteller, jedoch wirken sich diese damit auch mittelbar auf Zulieferer aus. Weitere regulatorische Anforderungen ergeben sich insbesondere im Bereich des autonomen Fahrens, der zuletzt durch das Gesetz zum autonomen Fahren zentrale Neuregelungen erfahren hat. Bei der Verarbeitung von personenbezogenen Daten spielt darüber hinaus die Datenschutzgrund-Verordnung (DSGVO) eine zentrale Rolle, die ebenfalls im Rahmen der Produktentwicklung berücksichtigt werden sollte. Zentrale Neuregelungen für den Bereich des Aftermarkets und Drittanbieter dürfte außerdem eine delegierte Verordnung zur Radio Equipment Directive (RED) bringen, die derzeit von der EU-Kommission vorbereitet wird.

Erfahrungen aus der Beratungspraxis

Die steigende Bedeutung rechtlicher Verpflichtungen für Cybersecurity und Datenschutz im Bereich der Mobilität stellen wir auch in unserer Beratungspraxis fest. Eine Herausforderung bei entsprechenden Mandaten ist, die Vielzahl gesetzlicher (Neu-)Regelungen für Unternehmen in einer strukturierten und nachhaltigen Weise aufzuarbeiten, sodass die häufig abstrakten Vorschriften in der Praxis umgesetzt werden können. Dies gelingt uns, indem wir gemeinsam mit unseren Mandanten ein Cybersecurity-Compliance-Managementsystem etablieren bzw. die bestehende Prozesslandschaft so anpassen, dass sich gesetzliche und vertragliche Vorgaben für Cybersecurity und Datenschutz im Rahmen der technischen Prozesse abbilden lassen.

[September 2021]