Automotive Cyber Security – Whitepaper (engl. version)

CAM study on „Automotive Cyber ​​Security“ in cooperation with Cisco
👉 The importance of cyber security is increasing with the digitization and networking of vehicles, electromobility and autonomous driving
👉More and more cyber attacks on vehicles and companies are constantly increasing the risk situation
👉Comprehensive cyber security strategies are necessary today, but are not being implemented everywhere

„Automotive cyber security must be tackled with a holistic approach as the industry’s top priority,“ says study director Stefan Bratzel: „It’s about building and strengthening a kind of immune system for the car ecosystem.“

„For automotive companies, the issue of cyber security is crucial to success,“ adds Christian Korff, Managing Director Global Accounts and member of the management board of Cisco Germany and commissioner of the study. „The automotive industry is a cornerstone of our German economy. We cannot afford to be vulnerable in the cyber area. Only those who provide secure vehicles and services at all levels will retain the trust of customers.“

Press release

With the increasing networking and digitization of cars, production and logistics, the risk of cyber attacks on the automotive industry is increasing. In a comprehensive analysis, the various attack vectors were systematically analyzed. In the case of connected vehicles alone, there are 12 different attack areas, in which there are potentially several entry points.

The list also shows that cyber attacks in the automotive industry are not limited to large, established manufacturers, but are increasingly affecting supplier companies, automobile dealers and other players along the value chain. An analysis of 52 significant security incidents between January and June 2022 shows that around two thirds (67%) mainly affected automotive suppliers. The complex supply chain is considered a major vulnerability and offers central attack points that are exploited with a high degree of probability and often with great damage.

„The cyber threat situation for the automotive industry has increased continuously in recent years. With the spread of software-defined vehicles, electromobility, autonomous driving and the connected supply chain, cyber risks are increasing further. A professional cyber security strategy by companies is becoming increasingly important as an essential hygiene factor in the automotive industry,“ explains study director Prof. Dr. Stefan Bratzel from the Center of Automotive Management (CAM). „However, companies differ considerably in terms of the quality of conception and implementation. A high level of cyber security performance increases resilience to the increasing number of cyber attacks and enables rapid detection and appropriate response to corresponding incidents.“

Connected cars & services lead to more attack vectors

Customer requests for connected cars and connected services create enormous competitive pressure, which sometimes pushes security aspects into the background. In addition, the implementation of automotive cyber security is very complex: it covers the entire product life cycle of the vehicle, from development to production and vehicle use. Security must be ensured in a complex value chain with distributed responsibility in the large supplier and partner network.

This is also required by new regulatory requirements for cyber security in motor vehicles such as UN R155 (15) and EU Regulation 2018/858. From July 2022, they have been mandatory for manufacturers in the EU to implement them for all new vehicle types and from July 2024 also for all existing vehicle types.

„For automotive companies, the issue of cyber security will be crucial to success,“ adds Christian Korff, Managing Director Global Accounts and member of the management board of Cisco Germany and commissioner of the study. „The automotive industry is a cornerstone of our German economy. We cannot afford to be vulnerable in the cyber area. Only those who provide secure vehicles and services at all levels will retain the trust of customers.“

Cyber ​​attacks are increasing

A meta-analysis of cyber attacks on vehicles and companies in the automotive industry carried out as part of the study reveals the sharply increasing risks. The evaluations of the previous points of attack on the cyber security of the international automotive industry show that the quantity and quality of attacks has increased considerably in recent years. They affect the entire automotive industry, as recent examples from 2022 and 2023 show:

  • After a supplier of plastic parts and electronic components was hit by a suspected cyber attack, Toyota had to temporarily suspend operations at its Japanese factories in February 2022 and was unable to build around 13,000 cars as planned.
  • US manufacturer General Motors announced that it was the victim of a cyber attack in April 2022 in which some customer data was exposed and hackers were able to redeem reward points for gift cards.
  • Supplier Continental was also targeted by cyber criminals. An investigation into the incident in summer 2022 revealed that the attackers were able to steal some data from affected IT systems despite established security precautions.
  • In March 2023, a cyber attack on Tesla was reported in which hackers were able to remotely dial into a vehicle and perform various functions. These included honking the horn, opening the trunk, turning on the low beam and manipulating the infotainment system.
  • Software vulnerabilities in the multimodal mobility app Moovit meant that in August 2023, security researchers were able to intercept numerous registration data from various user accounts and exploit them for free rides.

„The increasing networking also means that the automotive industry offers many opportunities for professional cyber attackers to attack – whether in the car itself, in production or in the complex logistics chains,“ explains Holger Unterbrink, Technical Leader at Cisco Talos – one of the largest commercial threat research units in the world. „Attackers today act extremely professionally. They look for poorly secured access in complex IT environments at companies with a high reputation and high cash reserves. The automotive industry is a worthwhile target. I expect cyber attacks to continue to increase in the coming years.“

In a „deep dive“ into electromobility, the study found that the charging infrastructure for electric vehicles is one of the areas at particular risk. The charging ecosystem is extremely complex due to its various market participants and basically offers many points of attack for cyber criminals. Overall, the analysis of cyber attacks shows that awareness of the dangers and risks in the industry is still significantly underdeveloped.

Big differences in status

Achieving a high level of cyber security performance in automotive companies therefore requires great effort and must be continuously monitored. The companies located at different value creation levels and stages in the industry differ considerably in terms of the quality of the design and implementation of cyber security programs. They are still at a low level, especially for many suppliers and service providers. However, as the supply chain becomes increasingly networked and automated, the attack surface increases. Malware can spread from a supplier’s internal systems to service provider networks and even the corporate networks of automobile manufacturers.

The study proposes a model for the empirical evaluation of the cyber security performance of automotive companies. The 4C model combines relevant performance criteria of cyber security in four dimensions: competencies, cooperations, culture & organization, and cyber strategy. According to the study authors, meeting the associated criteria is an important prerequisite for high performance quality of cyber security and thus the long-term success of companies.

The study can be downloaded free of charge here.

Cybersicherheit: Immer mehr Angriffe auf Automobilbranche – Studie zu Automotive Cyber Security

  • Die Bedeutung von Cyber Security steigt mit Digitalisierung und Vernetzung der Fahrzeuge, Elektromobilität und autonomem Fahren
  • Immer mehr Cyber-Angriffe auf Fahrzeuge und Unternehmen erhöhen permanent die Gefahrenlage
  • Umfassende Cybersicherheitsstrategien sind heute nötig, werden aber nicht überall umgesetzt

Cyber Security zählt zu den größten Herausforderungen und Erfolgsfaktoren der Automobilbranche in den nächsten Jahren. Mit zunehmender Digitalisierung und Vernetzung der Fahrzeuge sowie den Trends Elektromobilität und autonomes Fahren wächst der Bedarf für eine effektive Cybersicherheitsstrategie. Fahrzeuge und Unternehmen der Automobilwirtschaft sind verstärkt Ziele von Cyber-Angriffen. Die stark zunehmenden Risiken zeigen die Dringlichkeit für umfassende Cyber-Security-Programme. Doch die Qualität ihrer Konzeption und Umsetzung ist in den verschiedenen Wertschöpfungsebenen und -stufen der Branche sehr unterschiedlich. Das zeigt die Studie „Automotive Cyber Security“, die vom Center of Automotive Management (CAM) in Kooperation mit Cisco Systems verfasst wurde.

Mit der zunehmenden Vernetzung und Digitalisierung von Autos, Produktion und Logistik, steigt das Risiko für Cyberangriffe auf die Automobilindustrie. In einer umfassenden Analyse wurden die verschiedenen Angriffsvektoren systematisch analysiert. Allein beim vernetzten Fahrzeug gibt es 12 verschiedene Angriffsbereiche, in denen wiederum potenziell mehrere Eintrittsmöglichkeiten bestehen.

Die Aufstellung zeigt weiterhin: Cyberangriffe beschränken sich in der Automobilindustrie nicht auf große, etablierte Hersteller, sondern treffen verstärkt Zuliefererunternehmen, Automobilhändler und weitere Player entlang der Wertschöpfungskette. Eine Analyse von 52 signifikanten Sicherheitsvorfällen zwischen Januar und Juni 2022 zeigt, dass etwa zwei Drittel (67%) hauptsächlich Automobilzulieferer betrafen. Die komplexe Lieferkette gilt als große Schwachstelle und bietet zentrale Angriffspunkte, die mit hoher Wahrscheinlichkeit und oft großem Schadensausmaß ausgenutzt werden.

„Die Cybergefahrenlage für die Automobilbranche ist in den letzten Jahren kontinuierlich angestiegen. Mit der Verbreitung von Software-definierten Fahrzeugen, der Elektromobilität, dem autonomen Fahren und der vernetzten Lieferkette erhöhen sich die Cyber-Risiken weiter. Eine professionelle Cyber Security-Strategy von Unternehmen gewinnt als unerlässlicher Hygienefaktor in der Automobilindustrie stark an Bedeutung,“ erklärt Studienleiter Prof. Dr. Stefan Bratzel vom Center of Automotive Management (CAM). „Die Unternehmen unterscheiden sich jedoch bezüglich der Qualität von Konzeption und Umsetzung erheblich. Eine hohe Cyber Security Performance erhöht die Resilienz vor den zunehmenden Cyber-Angriffen und ermöglicht eine schnelle Erkennung und angemessene Reaktion auf entsprechende Vorfälle.“

Connected Cars & Services führen zu mehr Angriffsvektoren

Kundenwünsche nach Connected Cars und Connected Services erzeugen einen enormen Wettbewerbsdruck, durch den Sicherheitsaspekte mitunter in den Hintergrund geraten. Zusätzlich ist die Umsetzung von Automotive Cyber Security sehr aufwendig: Sie umfasst den gesamten Produktlebenszyklus des Fahrzeugs von der Entwicklung über die Produktion bis hin zur Fahrzeugnutzung. Dabei muss die Sicherheit in einer komplexen Wertschöpfungskette mit einer verteilten Verantwortung im großen Lieferanten- und Partnernetzwerk gesichert werden.

Dies fordern auch neue regulative Vorgaben zur Cybersicherheit in Kraftfahrzeugen wie die UN R155 (15) und die EU-Verordnung 2018/858. Sie müssen seit Juli 2022 von den Herstellern in der EU verpflichtend für alle neuen Fahrzeugtypen und ab Juli 2024 auch für alle bestehenden Fahrzeugtypen umgesetzt werden.

„Für Automotive-Unternehmen wird das Thema Cyber Security erfolgsentscheidend“, ergänzt Christian Korff, Managing Director Global Accounts und Mitglied der Geschäftsleitung von Cisco Deutschland und Auftraggeber der Studie. „Die Automobilindustrie ist ein Eckpfeiler unser deutschen Wirtschaft. Wir dürfen uns hier keine Anfälligkeiten im Cyberbereich erlauben. Nur wer auf allen ebenen sichere Fahrzeuge und Services bereitstellt, behält das Vertrauen der Kunden.“

Cyberangriffe steigen

Eine im Rahmen der Studie durchgeführte Meta-Analyse zu den Cyber-Angriffen auf Fahrzeuge und Unternehmen der Automobilwirtschaft offenbart die stark zunehmenden Risiken. Die Auswertungen der bisherigen Angriffspunkte auf die Cybersicherheit der internationalen Automobilwirtschaft zeigen, dass die Quantität und Qualität der Angriffe in den letzten Jahren erheblich gestiegen ist. Sie betreffen die gesamte Automobilindustrie, wie aktuelle Beispiele aus den Jahren 2022 und 2023 zeigen:

  • Nachdem ein Zulieferer von Kunststoffteilen und elektronischen Komponenten von einem mutmaßlichen Cyber-Angriff getroffen wurde, musste Toyota im Februar 2022 den Betrieb seiner japanischen Fabriken kurzzeitig aussetzen und konnte rund 13.000 Autos nicht planmäßig bauen.
  • Der US-Hersteller General Motors gab bekannt, dass er im April 2022 Opfer eines Cyber-Angriffs wurde, bei dem einige Kundendaten preisgegeben wurden und Hacker Prämienpunkte gegen Geschenkkarten einlösen konnten.
  • Auch der Zulieferer Continental wurde zum Ziel von Cyberkriminellen. Eine Untersuchung des Vorfalls im Sommer 2022 hat ergeben, dass die Angreifer trotz etablierter Sicherheitsvorkehrungen einen Teilbestand an Daten aus betroffenen IT-Systemen entwenden konnten.
  • Im März 2023 wurde von einem Cyber-Angriff auf Tesla berichtet, bei dem sich Hacker aus der Ferne in ein Fahrzeug einwählen und diverse Funktionen ausführen konnten. Dazu zählten etwa die Betätigung der Hupe, das Öffnen des Kofferraumes, das Einschalten des Abblendlichts sowie die Manipulation des Infotainment-Systems.
  • Software-Schwachstellen in der multimodalen Mobilitäts-App Moovit führten im August 2023 dazu, dass Sicherheitsforscher zahlreiche Registrierungsdaten von verschiedenen Benutzerkonten abgreifen und für kostenfreie Fahrten ausnutzen konnten.

„Die Automobilbranche bietet auch durch die zunehmende Vernetzung viele Angriffsmöglichkeiten für professionelle Cyberangreifer – egal ob im Auto selbst, bei der Produktion oder den verzweigen Logistigketten,“ erklärt Holger Unterbrink, Technical Leader bei Cisco Talos – einer der größten kommerziellen Threat Research Einheiten der Welt. „Angreifer gehen heute äußerst professionell vor. Sie suchen schlecht gesicherte Zugänge in komplexen IT-Umgebungen bei Unternehmen mit hoher Reputation und hohen Cash-Reserven. Da bietet die Automobilindustrie ein lohnenswertes Ziel. Ich erwarte hier in den nächsten Jahren eine weitere Zunahmen der Cyberattaken.“

Die Studie hat in einem „Deep Dive“ zur Elektromobilität herausgearbeitet, dass die Ladeinfrastruktur für Elektrofahrzeuge zu den besonders gefährdeten Bereichen zählt. Das Lade-Ökosystem ist durch seine verschiedenen Marktteilnehmer außerordentlich komplex und bietet grundsätzlich viele Angriffspunkte für Cyber-Kriminelle. Insgesamt zeigt die Analyse der Cyber-Angriffe, dass das Bewusstsein in der Branche für die Gefahren und Risiken noch deutlich unterentwickelt ist.

Große Unterschiede beim Status

Das Erreichen einer hohen Cyber Security Performance in Automobilunternehmen erfordert somit große Anstrengungen und muss kontinuierlich überprüft werden. Die auf unterschiedlichen Wertschöpfungsebenen und -stufen der Branche verorteten Unternehmen unterscheiden sich dabei erheblich im Hinblick auf die Qualität der Konzeption und Umsetzung von Cybersicherheitsprogrammen. Sie befinden sich vor allem bei vielen Zulieferern und Dienstleistern noch auf einem niedrigen Niveau. Mit zunehmender Vernetzung und Automatisierung der Lieferkette erhöht sich jedoch die Angriffsfläche. Dabei kann sich Malware von den internen Systemen eines Zulieferers auf Dienstleister-Netzwerke und sogar Unternehmensnetzwerke der Automobilhersteller verbreiten.

In der Studie wird ein Modell zur empirischen Bewertung der Cyber Security Performance von Automobilunternehmen vorgeschlagen. Das 4C-Modell vereint dafür relevante Leistungskriterien von Cyber Security in vier Dimensionen: Kompetenzen (Competencies), Kooperationen (Cooperations), Kultur & Organisation (Culture & Organisation) sowie die Cyber-Strategie (Cyber Strategy). Die Erfüllung der zugehörigen Kriterien stellt laut den Studienautoren eine wichtige Voraussetzung für eine hohe Leistungsqualität von Cyber Security und damit den langfristigen Erfolg der Unternehmen dar.

Die Studie kann hier kostenfrei heruntergeladen werden.

Focus-Online: Mehr als 200 Milliarden Euro Schaden: Die Welle an Cyber-Attacken wird immer höher

Der letzte prominente Fall eines Hackerangriffs auf die Autobranche, die derzeit wegen fehlender Chips sowieso unter Lieferengpässen leidet, ist noch nicht lange her: Am 24. Oktober 2021 stellte der auf Heizungen, Klimaanlagen und Abgassysteme spezialisierte Zulieferer Eberspächer aus dem Baden-Württembergischen Esslingen fest, dass große Teile seiner IT lahmgelegt waren. Mit Hilfe einer Ransomware hatten die Täter weltweit Server angegriffen und einen Teil der Daten verschlüsselt. Um eine mögliche Ausbreitung des Angriffs sowohl innerhalb des Unternehmens als auch nach außen zu verhindern, schaltete Eberspächer sämtliche Netzwerke und Server ab und erstatte Anzeige. Die Staatsanwaltschaft Stuttgart ermittelt seither wegen Verdachts der Computer-Sabotage und der versuchten Erpressung. Vier Wochen dauerte es, bis Eberspächer seine IT Schritt für Schritt wieder in Betrieb nehmen konnte.

Der Angriff führte zu einer Fülle von Problemen: Die Versorgung der deutschen Automobilhersteller mit den Teilen von Eberspächer war gefährdet. Branchenexperten wie Stefan Bratzel, Direktor des Center of Automotive Management in Bergisch Gladbach bei Köln, sprach vom „nächsten Tiefschlag für eine Branche, die jetzt schon unter Chip- und Rohstoffmangel bei wichtigen Bauteilen ächzt.“ Für Autokäufer bedeute das zusätzliche Wartezeiten von bis zu einem Jahr.

Mehr lesen unter: https://www.focus.de/finanzen/news/zuletzt-traf-es-europas-groessten-autohaendler-cyber-attacke-legt-europas-groessten-autohaendler-lahm_id_37795396.html