GlobalSign Blog

05 Apr 2017

Best Practices für Cybersicherheit in der Automobilbranche – So bekommen Sie Unterstützung vom Management

Das GlobalSign-Team beobachtet kontinuierlich die Hauptbranchen, wie die Automobilindustrie, um Trends zu beobachten und Anleitungen zur Einführung von Cybersicherheit zu erhalten. Auto-ISAC hat den Bericht Automotive Cybersecurity Best Practices veröffentlicht, einen Überblick, wie Cybersicherheit in der Automobilbranche umgesetzt wird. Die Orientierungshilfe wurde in Zusammenarbeit von mehr als 50 Cybersicherheits-Experten in der Automobilindustrie erstellt und verdeutlicht wie dringend Handlungsbedarf in der Branche besteht. Das Team hinter der Recherche hat ganze Arbeit geleistet – besonders, weil ein Ergebnis in der Gruppe oft sehr zyklisch bedingt und umstritten ist, wenn es darum geht einen gemeinsamen Konsens und Material zu finden.

Im Großen und Ganzen bezieht sich die Richtlinie stark auf bestehende Richtlinien von Organisationen wie ISO und NIST, was gut ist, denn man muss das Rad ja nicht neu erfinden. Allerdings werden einige Möglichkeiten verpasst, spezielle Sonderfälle der Automobilindustrie genauer anzusprechen. Aus Sicht eines Unternehmens könnten Hilfestellungen zum Buy-In von Führungskräften genannt werden, da in der Branche Cybersicherheitsrisiken bisher eher unbekannt sind. Genau deswegen haben wir im nächsten Abschnitt des Blogs drei Tipps zusammengestellt, um Ihnen für dieses Buy-In mehr Hilfestellungen an die Hand zu geben.

Eine Zusammenfassung von Best Practices bei Cybersicherheit in der Automobilindustrie

Bevor wir erläutern was in der Anleitung gefehlt hat, folgt hier erst mal eine grobe Zusammenfassung, was darin vorkam. Wie in der Kurzdarstellung nachzulesen ist, bieten die Best Practices Unternehmen eine Orientierung für die folgenden Themen:

  • Sicherheit im Design: Verfahren, die Cybersicherheit in der Produktentwicklung berücksichtigen.
  • Risiko-Analyse und -Management: mildern das Ausmaß einer Schwachstelle bei der Cybersicherheit durch Vorgänge, die Cybersicherheitsrisiken identifizieren, kategorisieren, priorisieren und beheben.
  • Früherkennung von Gefahren und Schutz: proaktive Cybersicherheit durch Früherkennung von Risiken, Schwachstellen und Vorfällen. Gibt Automobilherstellern die Möglichkeiten Risiken und Konsequenzen zu verringern.
  • Sicherheitsvorkehrungen: Möglichkeiten für Automobilhersteller verlässlich und rasch auf Auto-Cyberangriffe zu reagieren.
  • Zusammenarbeit und Dialog mit zuständigen Dritten: verbessert das Bewusstsein für Cyberangriffe und wie man damit umgeht.
  • Steuerung: Bringt das Cybersicherheitsprogramm für Automobile in Einklang mit den allgemeinen Zielen und Visionen des Unternehmens.
  • Bewusstsein und Training: Training und Bewusstsein etablieren eine Sicherheitskultur im Unternehmen und verdeutlichen die Verpflichtungen von Cybersicherheit.

3 Tipps, wie Sie Führungskräfte bei Cybersicherheit an Bord holen

Um das Führungsteam bei Cybersicherheit in der Automobilindustrie auf Ihre Seite zu kriegen, ist es wahrscheinlich, dass Ihnen diese Fragen vom Führungsteam gestellt werden. Die Orientierungshilfe des Auto-ISAC gibt Auskunft darüber, wie Sie eine Cybersicherheitsstrategie umsetzen können. Aber Sie müssen sich auch Gedanken zu der finanziellen und strategischen Frage „Warum Cybersicherheit?“ machen. Wenn Sie die obigen Stichpunkte des Auto-ISAC als Anhaltspunkt nehmen, kann dies bereits sehr hilfreich sein. Jeder dieser Punkte sollte Auskunft über die Risiken geben, und wie diese mit Budget und zusätzlichen Ressourcen verringert werden.

Wie hilft Ihr Vorschlag dem Unternehmen? Seien Sie ehrlich und geben Sie messbare Ergebnisse.

Sie müssen klipp und klar sagen was Sie wollen und warum. Viele IT-Experten entscheiden nach Investitionen und Budget. Sie müssen also detailliert erklären, wie die zusätzlichen Ressourcen von Nutzen sind.

Wenn Sie auf die IT-Experten zugehen wollen, erklären Sie, was diese verlieren könnten, wenn sie nicht investieren, und was sie sparen können, wenn sie investieren. Um den Nutzen zu veranschaulichen helfen Praxisbeispiele aus anderen Unternehmen. Berechnungen der Rendite (ROI) ergeben für Cybersicherheit-Investitionen oft Verluste, sind aber trotzdem notwendig, um die Gesamtsituation zu veranschaulichen.

Als zum Beispiel ein Wired-Reporter gezeigt hat, wie einfach er aus der Ferne Zugang zu einem Jeep erlangen kann, mussten 1,5 Millionen Autos zurückgerufen werden. Dies führte zu einem Ansehensverlust für das Unternehmen, hohe Kosten und natürlich auch zu verschwendeten Arbeitsstunden, um die Schwachstelle zu beheben. Um eine quantitativ messbare Entscheidung zu treffen, ist es wichtig eine Risikoanalyse der Cybersicherheit auszuführen und die bestehenden Gefahren und Schwachstellen zu identifizieren, sowohl die Wahrscheinlichkeit eines gelungenen Angriffs und dessen Auswirkungen einzuschätzen. Dazu sollten Sie herausfinden welche Technologien fehlen, welche Ressourcen benötigt werden, um Risiken abzuwehren und ob vertrauliche Daten im Unternehmen sicher übermittelt werden.

Dabei ist es wichtig, dass Sie den Wert von Verschlüsselung und Identitäten erklären und wie die vorgeschlagenen technischen Lösungen die Risiken der vorangegangenen Analyse mindern. Für die ROI-Berechnungen ist es wichtig zusätzliche Dimensionen der Lösung zu bedenken, wie zum Beispiel die Verwaltung des Systems oder zusätzliche anfallende Gemeinkosten.

An welche Richtlinien und Vorgaben müssen Sie sich halten?

Jedes Unternehmen und jede Branche hat eigene Richtlinien und Vorgaben an die es sich halten muss. Wir haben uns schon einige Auto-ISAC Richtlinien angeschaut, aber wie steht es mit den ISO, GDPR und NIST Vorschriften? Bei Nicht-Einhaltung von Vorschriften werden oft hohe Strafen fällig. Auch dies ist etwas das dem Führungsteam an die Hand gegeben werden sollte. GDPR verlangt zum Beispiel bis zu 4% des gesamten weltweiten Umsatzes eines Unternehmens als Strafe!

Wenn Sie sich mit Wissen zu den Richtlinien vorbereiten, kann dies sehr hilfreich sein, um das Führungsteam zu überzeugen.

Zwar sind nicht alle Richtlinien so streng, aber sie wurden alle mit dem Zweck entworfen, Ihre Kunden und Ihr Unternehmen zu schützen. Es ist wichtig dem Führungsteam alle Risiken und Umsatzauswirkungen zu präsentieren. Im Folgenden haben wir eine Liste mit Bereichen zusammengestellt, die von Cybersicherheitsrisiken betroffen sein könnten. Die Liste soll als stetige Erinnerung dienen:

  • Betriebliche Kontinuität.
  • Wiederherstellungskosten, wie z.B. Lösegeldzahlungen.
  • Schädigung von Ruf und Markenname.
  • Daten- und IP-Verlust oder -Diebstahl.
  • Umsatzverlust im Vertrieb.
  • Ausfallzeit.

Wie werden Sie sich in Zukunft schützen?

Ihr Führungsteam wird sehr wahrscheinlich hauptsächlich daran interessiert sein, Angriffe zu verhindern und das Risiko zu minimieren, aber es ist eine gute Idee sich auch über den Ernstfall Gedanken zu machen. In dem Bereich wird die sich immer weiter entwickelnde Cyber-Versicherung interessant.

Praktischerweise muss man sich beim Befassen mit Cyber-Versicherung auch allgemein damit beschäftigen, wie das Cyber-Risiko reduziert wird und wie die Notfallreaktionen erfolgen. Die folgenden Fragen sind bei Cyber-Versicherung wichtig:

  • Wie reagieren Sie auf einen Datenangriff oder auf andere Art von Vorfällen? – Hier empfiehlt sich ein detaillierter Notfallplan.
  • Haben Sie Stellungnahmen für die Presse, Anteilseigner, Anwälte, Kunden und Gesetzeshüter, usw. vorbereitet?
  • Haben Sie eine Sicherheitsfirma auf Abruf bereit, die Ihnen im Ernstfall helfen kann?
  • Haben Sie Ihren Plan in einem simulierten Notfall oder mit einem Praxisfall getestet?

Sobald Sie die Grundvoraussetzungen festgelegt haben, können Sie sich auf die Suche nach einem Versicherungsanbieter machen. Cybersicherheit sollte auch bei dem Versicherungspartner an erster Stelle stehen.

Das Führungsteam wird die Versicherung und Notfallpläne als Grundvoraussetzung für den Schutz der Unternehmenszukunft sehen.

Als Automobilhersteller kann man leicht vergessen, sich um Cybersicherheit zu kümmern. So viel ist damit verbunden, allein wenn es darum geht das Führungsteam zur Investition zu bewegen. Es ist wichtig das Team nicht mit neumodernen Bezeichnungen für Schwachstellen oder den aktuellsten Technologien abzuschrecken, sondern alles leicht verständlich und einfach darzustellen – vor allem welche Vorteile die Investition bringt.

Artikel teilen

Jetzt Blog abonnieren