Cybersicherheit hat Priorität: 5 Wege, OEM-Telematiksysteme zu schützen

Vernetzte Fahrzeuge versprechen viele Vorteile für Hersteller und Nutzer, gleichzeitig geraten sie immer mehr ins Visier von Hackern. Autobauer müssen dafür sorgen, dass Kriminelle nicht über Telematikschnittstellen an die sensiblen Daten ihrer Kunden gelangen können. 

Ransomware-Angriffe und Datendiebstahl werden zu einer immer stärkeren und größeren Bedrohung für die deutsche Automobilindustrie entlang der gesamten Produktions- und Lieferkette. 

Sicherheitsexperten haben zudem drei Hochrisikobereiche identifiziert, die besonders exponiert für Cyberangriffe sind. Dazu gehören neben Ladestationen für Elektrofahrzeuge und schlüssellosen Zugangssystemen auch Cloud APIs. 

Hier zeigt sich: Die Angriffe zielen längst nicht mehr nur auf die IT-Umgebung der Automobilhersteller und Zulieferer ab, sondern konzentrieren sich zunehmend auf das Produkt, also das vernetzte Fahrzeug auf der Straße. 

Herausforderung für die gesamte Wertschöpfungskette 

Nicht nur OEMs selbst sind Ziel von Cyberkriminellen, denn sie attackieren immer häufiger auch vor- und nachgelagerte Bereiche der Wertschöpfungskette. So müssen Zulieferer ebenso wie der Aftermarket in Sicherheitsüberlegungen mit einbezogen werden. Bei vernetzten Fahrzeugen bedeutet das, dass Hersteller nicht nur ihre eigenen Bauteile und Systeme absichern müssen, sondern diesen Aspekt auch bei der Auswahl von Partnern berücksichtigen und auf entsprechende Zertifizierungen achten müssen. 

Telematikgeräte und -Systeme spielen hierbei eine besondere Rolle, da sie Daten in der Regel über öffentliche Mobilfunknetze übertragen, die Schwachstellen haben können. Um sich gegen Man-in-the-Middle-Attacken bei der Funkübertragung zu wappnen, sollten OEMs die Datenübertragung mit starken Algorithmen verschlüsseln, beziehungsweise darauf achten, dass extern bezogene Geräte über diese Funktion verfügen. 

Anschließend werden die Daten zur Verarbeitung in einer Cloud gesammelt. Selbstverständlich sollte auch diese Umgebung entsprechend abgesichert sein und Unternehmen sollten zudem prüfen, ob sie den Vorgaben der Europäischen Datenschutzgrundverordnung (DSGVO) entspricht. 

Werden Daten aus der OEM-Cloud heraus an externe Dienstleister zur Weiterverarbeitung übertragen, muss auch dies DSGVO-konform geschehen und die entsprechenden Schnittstellen (APIs) müssen gesichert sein. 

OEMs, die Telematikpartner suchen und Datenschutz sowie Datensicherheit priorisieren, sollten bei der Auswahl von Zulieferern für Soft- und Hardware zunächst die folgenden 5 Fragen beachten:  

Wer stellt die Hardware her und kommen in allen Fahrzeugen die gleichen Geräte zum Einsatz? 

Diese Frage ist wichtig für Telematikanbieter, die die Hardware-Herstellung nicht selbst übernehmen und eventuell keinen guten Einblick in die Hardware-Sicherheit haben. Ohne die direkte Kontrolle über Hardware und Software kann es bei einem Zwischenfall zudem länger dauern, bis ein Anbieter reagieren kann. 

Der flächendeckende Einsatz gleicher Geräte ist vor allem unter dem Gesichtspunkt von Updates relevant. Bei einer heterogenen Infrastruktur könnten Patches unnötig viel Zeit und Arbeitsaufwand in Anspruch nehmen. 

Werden die Daten vor der Übertragung über das Mobilfunknetz verschlüsselt? 

Fahrzeughersteller (OEMs) sollten sich nicht ausschließlich auf Sicherheitsstandards der Mobilfunkanbieter verlassen, um die Übertragung ihrer Telematikdaten abzusichern. Bei der Auswahl von Telematikgeräten sollten Hersteller darauf achten, dass in den Geräten einestarke Verschlüsselungstechnologie integriert ist. 

Sind Firmware Updates signiert? 

Neben den übertragenen Daten könnten auch die Telematikgeräte selbst zum Angriffsziel werden. Und zwar, indem Kriminelle ein Update vortäuschen und falsche Firmware auf das Gerät aufspielen. Diese Form der Attacke lässt sich allerdings durch Code Signing vermeiden. Echte Updates werden dabei elektronisch signiert und können vom Gerät erkannt werden. Code, der nicht über eine entsprechende Signatur verfügt, wird hingegen abgelehnt. 

Verfügt der Anbieter über eine ausführliche Security-Dokumentation, die Hardware, Server, Datenübertragung und Mitarbeiter-Policies umfasst? 

Die Sicherheitsdokumentation zeigt, ob ein Anbieter eine Sicherheitskultur pflegt. Telematikunternehmen sollten in der Lage sein, Einzelheiten zu ihren Sicherheitsmaßnahmen sowie zu Strategien der Schadensbegrenzung und Wiederherstellung im Falle eines unerwarteten Ereignisses zu erläutern. Ein Dokument, das die Sicherheitsprozesse umreißt, trägt wesentlich dazu bei, dass Fahrzeughersteller und Flottenkunden gleichermaßen besser verstehen, was mit Ihren vom Fahrzeug generierten Daten geschieht.

Welche Eindämmungsstrategie verfolgt ein Anbieter, falls es zu einer Sicherheitsverletzung kommt?

Für den Fall, dass es zu einer Sicherheitsverletzung kommt, sollte das System so wenig persönliche Daten wie möglich enthalten. Passwörter sollten niemals direkt im System des Telematikanbieters gespeichert werden; vielmehr sollten nur Hashes der Passwörter gespeichert werden. Durch das sogenannte Salting lässt sich die Sicherheit noch weiter verstärken, indem vor der Erzeugung des Hashs eine zufällige Zeichenfolge an den Klartext des Passworts angehängt wird. 

Potenzielle Partner, die diese Punkte zur Zufriedenheit beantworten können, kommen für eine weitere Zusammenarbeit grundsätzlich infrage. Darüber hinaus sollten Telematikdienstleister allerdings auch einen proaktiven Sicherheitsansatz verfolgen, die eigenen Systeme stets auf dem neuesten Stand halten und Sicherheitsmaßnahmen für den Kunden transparent dokumentieren. 

Der Sicherheitsansatz von Geotab 

Geotab verfolgt bei der Datensicherheit einen rigorosen Ansatz, der dem Prinzip der kontinuierlichen Verbesserung folgt. Zum Schutz der Kunden und Partner überprüft, verbessert und validiert Geotab ständig seine Sicherheitsmechanismen und -prozesse, damit unsere Systeme gegen Angriffe bestmöglich gewappnet sind. Geotab stellt den Kunden eine umfassende Dokumentation über die technischen und organisatorischen Datensicherheitsmaßnahmen zur Verfügung, die in unserem gesamten Ökosystem implementiert sind. Außerdem arbeiten wir mit führenden Interessengruppen zusammen, um die Sicherheit in der gesamten Branche zu verbessern. Als vertikal integrierter Telematikanbieter ist Geotab direkt in jede Entwicklungsphase seines Telematik-Ökosystems eingebunden. Dadurch und dank seiner langjährigen Erfahrung am Markt ist das Unternehmen ein starker Partner für die Autoindustrie, der fehlende Inhouse-Kompetenzen ergänzen kann.

Hersteller, die rundum sichere vernetzte Fahrzeuge garantieren wollen, müssen dabei auch den gesamten Bereich der Telematik mit einbeziehen. Dabei geht es nicht nur um die Datenübertragung selbst, sondern auch um die verwendete Hard- und Software - jeweils inklusive der komplexen Lieferketten. Die Zusammenarbeit mit erfahrenen Partnern kann die Time to Market hier erheblich verkürzen.