Vier Fragen zur Cybersicherheit, die sich jeder Fuhrparkmanager stellen sollte

Ist Cybersicherheit für vernetzte Flotten ein Thema für Nerds, das am besten den Informatikern und anderen IT-Experten überlassen werden sollte, oder tragen Fuhrparkmanager eine direkte Verantwortung, das Sicherheitsprogramm für ihre Flotte zu verstehen und seine Wirksamkeit zu gewährleisten?

Dies war meine erste Frage bei einer Diskussion über Cybersicherheit für vernetzte Flotten auf der vor kurzem in Brüssel in Belgien abgehaltenen Konferenz „Connected Fleet“. Ich hatte die Gelegenheit, dieses Thema und die damit verbundenen Fragen mit zwei ausgewiesenen Experten auf diesem Gebiet zu erörtern: Dr. Dan Massey, Director of Technology, Cybersecurity and Policy an der University of Colorado Boulder und Mitglied des „Neutral Vehicle Consortium“ (und zuvor Programmmanager für die Cybersecurity Division im US-Heimatschutzministerium) sowie Ted Guild, Connected Vehicle Lead bei W3C und Wissenschaftler am MIT Computer Science and Artificial Intelligence Laboratory (CSAIL).

Ihre Antwort war klar und eindeutig: Cybersicherheit fällt in den Aufgabenbereich der Geschäftsleitung. Sie kann weder ignoriert noch blind wegdelegiert werden – sei es an eine interne Abteilung oder einen externen Anbieter. Zur Veranschaulichung verwiesen sie auf folgende Analogie: Führungskräfte dürfen die Finanzen eines Unternehmens nicht (ausschließlich) der Buchhaltung und die Mitarbeiterentwicklung nicht (ausschließlich) der Personalabteilung überlassen und würden dies auch nie tun; ebenso müssen Fuhrparkmanager ihr Cybersicherheitskonzept kennen und ihrer IT-Abteilung und den Anbietern die richtigen Fragen stellen, um sich davon zu überzeugen, dass ein tragfähiges Programm vorhanden ist.

Zugleich ist Cybersicherheit natürlich ein sehr technisches Thema, und Fuhrparks sind auf erfahrene und spezialisierte technische Experten innerhalb und außerhalb des Unternehmens angewiesen. Verantwortung zu übernehmen bedeutet also nicht, Cyber-Experte zu werden, sondern die Grundlagen zu verstehen. Die Antwort auf unsere Frage lautet also eigentlich nicht „entweder oder“, sondern „beides“.

Daraus ergab sich folgende Frage: „Wie übernehmen Führungskräfte Verantwortung?“

Die Antworten hierauf waren sehr praktisch. Angesichts des hohen technischen Niveaus und der vielen wichtigen Details bei der Cybersicherheit gibt es vier Grundsätze, die für Führungskräfte von Fuhrparks von größter Bedeutung sein sollten:

1. Die Cybersicherheit für vernetzte Flotten beginnt mit einem standardbasierten Sicherheitsprogramm, das dann auf den spezifischen Kontext von vernetzten Fuhrparks zugeschnitten ist. Ein Beispiel für einen Sicherheitsempfehlungsleitfaden speziell für Fuhrparks, der im Rahmen eines allgemeinen Standards wie ISO oder NIST implementiert werden kann, ist der Telematik-Cybersecurity-Grundsatz für Behörden (englisch: telematics cybersecurity primer for agencies), der vom US-amerikanischen DOT Volpe National Transportation Systems Center für das US-Heimatschutzministerium entwickelt wurde. Durch einen derartigen spezifischen Empfehlungsleitfaden wird gewährleistet, dass Risiken, Bedrohungen und Schwachstellen im Zusammenhang mit dem Fuhrpark angemessen behandelt werden. Das Neutral Vehicle Consortium an der University of Colorado engagiert sich aktiv dafür, fuhrparkspezifische Sicherheitsempfehlungen zu erarbeiten und ihre Akzeptanz in der Branche zu stärken.
2. Fuhrparkmanager müssen sich bewusst sein, dass es für „Insider“, die das System konzipiert haben, naturgemäß schwer ist, die Denkweise eines externen Angreifers zu verstehen. Die „Bösen“ denken einfach anders. Auch wenn es zunächst wenig logisch erscheint, sind offene Systeme, die vollständig zugänglich und dokumentiert sind, daher tatsächlich sicherer als geschlossene Systeme, die nur Insidern und Angreifern bekannt sind, die nach Schwachstellen suchen. In geschlossenen Systemen ist der Verteidiger auf sich allein gestellt, während er sich in einem offenen System seine Systembenutzer als Verbündete nutzen kann. Unternehmen sollten darüber hinaus auch Außenstehende einbeziehen, um das Sicherheitssystem zu bewerten und nach Schwächen zu suchen – diese Außenperspektive und Tests sind unverzichtbar.
3. Sicherheit ist niemals statisch, sondern erfordert ständige Anpassungen. Es gibt einfach kein perfektes System. Angreifer werden ständig nach neuen und kreativen Möglichkeiten suchen, ihre Ziele zu erreichen. Wer etwas anderes behauptet, leidet entweder unter Unwissenheit und Selbstüberschätzung oder lügt ganz bewusst. Das Geheimnis liegt daher darin, zunächst eine stabile Architektur zu entwickeln, Fehler frühzeitig zu erkennen und sofort zu beheben. Aus diesem Grund ist das Over-the-Air-Patching mit digital signierten Updates die dritte entscheidende Komponente eines Sicherheitsprogramms für jeden Fuhrpark.
4. Schließlich existieren vernetzte Fuhrparks niemals ganz isoliert. Sie beruhen in der Regel auf Systemen und Komponenten, die von Dritten zur Verfügung gestellt werden, die die oben genannten Prinzipien wiederum in ihren eigenen Systemen befolgen müssen.

Daher sollten sich Fuhrparkmanager vier zentrale Fragen stellen:

1. Entspricht unser Fuhrpark den aktuellsten Cybersicherheitsstandards und ist deren Implementierung auf die Fuhrpark- und Transportbranche ausgerichtet?
2. Arbeiten wir mit externen Experten zusammen, um unser Sicherheitsprogramm zu testen/zu prüfen?
3. Geben wir Sicherheitslücken bekannt und verfügen wir über ein zuverlässiges System für Over-the-Air-Patching?
4. Haben unsere strategischen Partner gute Antworten auf die oben genannten Fragen?

Diese vier Fragen zu stellen (und zwar nicht nur einmal, sondern regelmäßig) und auf klare, eindeutige und verständliche Antworten zu bestehen, ist eine konkrete Möglichkeit für Fuhrparkmanager, die Verantwortung für den Umgang mit Cyberrisiken zu übernehmen.