<\/p>\n\n\n\n Was sind heute die gr\u00f6\u00dften Herausforderungen f\u00fcr Sie und Ihre Kollegen?<\/strong><\/strong><\/p>\n\n\n\n Auf jeden Fall die neuen Vorschriften, die in Kraft treten – nat\u00fcrlich UNECE WP.29, aber auch ISO 21434. Sie werden nicht nur die Prozesslandschaft, sondern auch die tats\u00e4chlich erforderlichen Sicherheitsfunktionalit\u00e4ten in den einzelnen Steuerger\u00e4ten und die Fahrzeugarchitektur erheblich ver\u00e4ndern. Dazu kommt, dass wir einen Personalmangel haben – und das gilt wohl f\u00fcr die gesamte Branche.<\/p>\n\n\n\n Aber unsere gr\u00f6\u00dfte Herausforderung liegt noch vor uns. Bisher war die Entwicklungsarbeit an einem Fahrzeug im Wesentlichen mit dem SOP (Start of Production) abgeschlossen. Aber in Zukunft m\u00fcssen wir daf\u00fcr sorgen, dass die zunehmend vernetzten Autos w\u00e4hrend ihres gesamten Lebenszyklus sicher und gesch\u00fctzt sind. Bei einem normalen Auto sind das 15 Jahre, bei Nutzfahrzeugen oder exklusiven Sportwagen kann es viel l\u00e4nger sein – bis zu 30 Jahre.<\/p>\n\n\n\n Wenn Sie heute einen Computer mit Windows XP an das Internet anschlie\u00dfen, ist er innerhalb von Minuten infiziert. Mit anderen Worten: Sie haben nicht einmal die Zeit, die erforderlichen Patches herunterzuladen. Und Windows XP kam Ende 2001 auf den Markt. Das ist 20 Jahre her \u2013 ein k\u00fcrzerer Zeitraum, als wir jetzt beim Blick in die Zukunft ber\u00fccksichtigen m\u00fcssen.<\/p>\n\n\n\n Personalprobleme und eine lange Lebensdauer der Systeme sind die wichtigsten Gemeinsamkeiten zwischen der Automobil- und der OT-Sicherheit.<\/p>\n\n\n\n <\/p>\n\n\n\n Auf welchen Aspekten der Cybersicherheit liegt Ihr besonderes Augenmerk?<\/strong><\/strong><\/p>\n\n\n\n Die klassische eingebettete Sicherheit macht immer noch den L\u00f6wenanteil unseres Gesch\u00e4fts aus. Es ist wichtig, dass sie nahtlos funktioniert.<\/p>\n\n\n\n Sicherheit ist ein horizontales Thema, was es kompliziert macht. Wenn Sie einen Funktionstreiber in einem Steuerger\u00e4t programmieren, sind die Abh\u00e4ngigkeiten relativ begrenzt. Aber wenn es um Sicherheit geht, betreffen sie fast alles: Bootloader, Basissoftware, Diagnose, funktionale Sicherheit, Hardware – bis hin zur Produktion. So m\u00fcssen beispielsweise die Schnittstellen genau definiert werden, damit die Integration von kryptografischem Material durch Schl\u00fcsselverwaltungssysteme in der Fertigung funktioniert.<\/p>\n\n\n\n In den letzten Jahren habe ich mich auch intensiv mit Firewalls, Netzwerksicherheit und Intrusion Detection befasst. Menschen in der IT-Sicherheit sind mit diesen Themen und den damit verbundenen Technologien schon lange vertraut. Besondere Herausforderungen ergeben sich jedoch, wenn sich diese Ideen innerhalb der Grenzen bewegen, die durch eingebettete Steuerungen und Fahrzeuge entstehen.<\/p>\n\n\n\n <\/p>\n\n\n\n Cybersicherheit wird manchmal immer noch als reiner Kostenfaktor betrachtet. Was ist die Meinung der Kunden, mit denen Sie Kontakt haben?<\/strong><\/p>\n\n\n\n Einige von ihnen denken immer noch so. Schlie\u00dflich ist Sicherheit kein Selbstzweck. Aber ich sehe auch Zeichen des Wandels.<\/p>\n\n\n\n Die kommenden UNECE-Regelungen helfen in diesem Punkt. Keiner kann sich ihnen entziehen. Und die gesamte Branche wird zunehmend unter die Lupe genommen – von „White Hats“ und „Black Hats“ gleicherma\u00dfen.<\/p>\n\n\n\n Gleichzeitig steigt das Risiko durch die zunehmende Vernetzung und Konnektivit\u00e4t. In den letzten Jahren gab es mehrere prominente Beispiele. Und solche Vorf\u00e4lle finden heute in der \u00d6ffentlichkeit viel mehr Beachtung als noch vor einigen Jahren. Das bedeutet, dass gute Sicherheit einen Wettbewerbsvorteil bringen kann.<\/p>\n\n\n\n <\/p>\n\n\n\n Welche Entwicklungen in der OT- und IoT-Sicherheit sind f\u00fcr Sie besonders interessant?<\/strong><\/strong><\/p>\n\n\n\n Vor kurzem haben wir Sicherheitsaudits bei OEM-Zulieferern durchgef\u00fchrt, bei denen Experten aus den Bereichen IT, OT und Automobilsicherheit zusammenkamen. Das war sehr spannend. Wenn man Angriffe auf die gesamte Flotte verhindern will, spricht man schnell \u00fcber individuelle kryptografische Schl\u00fcssel und Zertifikate f\u00fcr Steuerger\u00e4te. Aber das geht nicht ohne die richtige Infrastruktur in den Werken. Diese Situation zeigt, wie Ver\u00e4nderungen auf der einen Seite (Automobilsicherheit) zu Ver\u00e4nderungen auf der anderen Seite (IT- und OT-Sicherheit) f\u00fchren.<\/p>\n\n\n\n Das IoT hat in den letzten Jahren einen unglaublich schlechten Ruf erlangt. Manchmal h\u00f6rt man sogar den Scherz, dass das S in IoT f\u00fcr „Sicherheit“ steht. Viele dieser Ger\u00e4te sind \u00fcber das Internet f\u00fcr jedermann zug\u00e4nglich, und oft gibt es keine Pl\u00e4ne f\u00fcr Updates oder Fehlerbehebungen. Doch die Regulierungsbeh\u00f6rden haben die Notwendigkeit einer Reaktion erkannt und werden zunehmend aktiv, wie etwa mit dem US IoT Cybersecurity Improvement Act of 2020. Auch ein Verbraucherschutzgesetz f\u00fcr digitale Inhalte wurde ausgearbeitet. Es verlangt Aktualisierungen f\u00fcr „Waren mit digitalen Inhalten“ w\u00e4hrend des gesamten Zeitraums, „den die Verbraucher vern\u00fcnftigerweise erwarten“. Dies sind definitiv positive Entwicklungen.<\/p>\n\n\n\n Es ist nur nat\u00fcrlich, dass OT-Anwender von den M\u00f6glichkeiten, die IoT\/IIoT bieten, profitieren wollen, auch von den niedrigeren Kosten. Und die Konvergenz von IT\/OT weg von den propriet\u00e4ren L\u00f6sungen der Vergangenheit er\u00f6ffnet viele Chancen. Aber sie birgt auch eine Menge Risiken. Die Liste der Unternehmen, deren Produktionsanlagen zum Stillstand gekommen sind, wird jedes Jahr l\u00e4nger. Wenn Ger\u00e4te, die nicht f\u00fcr die Online-Nutzung konzipiert wurden, mit dem Internet verbunden werden, sind Probleme vorprogrammiert.<\/p>\n\n\n\n <\/p>\n\n\n\n K\u00f6nnen Sie einige bew\u00e4hrte Praktiken und Ans\u00e4tze nennen, die sich Ihrer Meinung nach bew\u00e4hrt haben?<\/strong><\/strong><\/p>\n\n\n\n Erstens:<\/strong> Komplexit\u00e4t ist der Feind der Sicherheit. Denn Sicherheit ist ein Thema mit vielen Interdependenzen. In der Automobilindustrie zum Beispiel: Diagnose, Firmware-over-the-Air (FOTA)-Updates, Sicherheit, EEA und Produktions-\/Werksinfrastruktur. Hier helfen schlanke L\u00f6sungen, klare Strukturen und einfache Schnittstellen. Ein hohes Ma\u00df an Sicherheit bringt nicht immer einen hohen Nutzen. Oftmals erh\u00f6ht es nur die Anf\u00e4lligkeit. Schauen Sie sich nur die CVE-Eintr\u00e4ge im Internet an.<\/p>\n\n\n\n Jeder Kompromiss, jede Ausnahme oder jedes schnelle Add-on im Nachhinein macht sich sp\u00e4ter in der Sicherheit bemerkbar (im Sinne von „technischer Schuld“). Solche Fehler fallen oft erst Jahre sp\u00e4ter auf, wenn Aktualisierungen vorgenommen werden. Je komplexer das System ist, desto schwieriger wird die Wartung. Eine typische Fehlerart – von einfachen eingebetteten Steuerger\u00e4ten bis hin zu Cloud-Infrastrukturen – sind Konfigurationsfehler. Und diese Fehler werden immer wahrscheinlicher, je komplexer die Systeme werden.<\/p>\n\n\n\n Zweitens:<\/strong> Der Defense-in-Depth-Ansatz, der eine ganzheitliche Betrachtung der Sicherheit auf verschiedenen Ebenen oder Schichten beinhaltet. In der Automobilsicherheit beginnt dies mit dem Schutz einzelner Kontrollen. Die n\u00e4chste Ebene ist die Netzwerkkommunikation. Ein geeignetes EEA-Design – das hei\u00dft, basierend auf Segmentierung oder Trennung – kann sicherheitskritische Steuerungen von ungesch\u00fctzten Steuerger\u00e4ten abschirmen. Ver\u00f6ffentlichungen der letzten Jahre legen nahe, dass ein zentrales Gateway einen sehr wirksamen Schutz bieten kann. Die letzte Ebene ist die sichere Kommunikation zum und vom Fahrzeug. Defense-in-Depth wurde urspr\u00fcnglich in der IT-Sicherheit eingesetzt, und analoge Methoden k\u00f6nnen auch in der OT angewendet werden.<\/p>\n\n\n\n Drittens:<\/strong> Sicherheit ist kein einmaliges Ereignis. Sie ist ein kontinuierlicher Prozess – in R. Bejtlichs Worten: „eine lebenslange Reise“.<\/p>\n\n\n\n <\/p>\n\n\n\n Wenn Sie eine E-Mail an jeden CISO der Welt schicken k\u00f6nnten, was w\u00e4ren die wichtigsten Punkte, die Sie ansprechen w\u00fcrden?<\/strong><\/strong><\/p>\n\n\n\n Ehrlich gesagt, viele CISOs wissen das alles schon. Aber ich h\u00f6re sie immer noch oft Dinge sagen wie: „Warum sollten sie uns angreifen?“ Sie denken immer noch, dass ein Hacker ein Typ in einem Kapuzenpulli ist, der allein in einem dunklen Raum arbeitet.<\/p>\n\n\n\n Aber in Wirklichkeit haben sie es heutzutage mit kriminellen Organisationen zu tun, die hierarchische Strukturen und Marketing-, Vertriebs-, Entwicklungs- und Supportfunktionen haben, genau wie echte Unternehmen.<\/p>\n\n\n\n Angriffe sind oft hochgradig automatisiert. Laut dem j\u00fcngsten Upstream-Bericht stellt die weltweite IT-Kriminalit\u00e4t einen Markt von 600 Mrd. USD dar. Zum Vergleich: Der Weltmarkt f\u00fcr illegale Drogenverk\u00e4ufe hat einen Wert von 400 Mrd. USD. <\/p>\n\n\n\n F\u00fcr mich ist klar, dass ein Umdenken erforderlich ist. Die Frage ist nicht, ob man gehackt werden wird, sondern wann. Die zu stellenden Fragen lauten also: Wie schnell kann ich einen Angriff erkennen? Wie kann ich die Folgen abmildern? Wie kann ich die M\u00f6glichkeiten der Angreifer einschr\u00e4nken, wenn sie erst einmal Fu\u00df gefasst haben – kann ich zum Beispiel seitliche Bewegungen verhindern? Wie und wann kann ich den normalen Betrieb wiederherstellen? Es geht darum, sich auf das Schlimmste vorzubereiten.<\/p>\n\n\n\n <\/p>\n\n\n\n Vielen Dank, Michael! Wir w\u00fcnschen Ihnen weiterhin viel Erfolg.<\/strong><\/strong><\/p>\n\n\n\n \u00dcbrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider \u2013 aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenw\u00e4rtigen Entwicklungen vertiefend und freuen uns \u00fcber Ihr Feedback sowie Anfragen zu einem Austausch. Michael Weber Michael Weber ist ein Experte f\u00fcr Cybersicherheit, der sich auf die Sicherheit in […]<\/p>\n","protected":false},"author":24,"featured_media":4064,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[19],"tags":[],"class_list":["post-4063","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-interviews-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4063","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=4063"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4063\/revisions"}],"predecessor-version":[{"id":4066,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4063\/revisions\/4066"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/4064"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=4063"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=4063"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=4063"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/Weber_Michael.jpg\")
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abh\u00e4ngig von der kundenindividuellen Situation.<\/p>\n","protected":false},"excerpt":{"rendered":"