G DATA / Cybersicherheit in Zahlen 2022

• An das vorige Weihnachtsfest denkt Michael Kramm nur ungern zurück. „Wir hatten eine Verwundbarkeit, die uns sieben Wochen auf Trab gehalten hat“, erinnert er sich. „An den Weihnachtstagen und auch Silvester und Neujahr war ich mehr im Büro als zu Hause.“ Ein Cyberangriff auf die IT-Sicherheitsarchitektur des größten Autoherstellers Europas hielt Kramm und sein Team in Atem. Was genau passiert war und an welcher Stelle die Attacke erfolgte, darf Kramm natürlich nicht verraten. Für den Chief Information Security Officer der Volkswagen AG ist Verschwiegenheit oberstes Gebot – ein Grund, warum sein Profil beim Business-Netzwerk LinkedIn so denkbar dürftig ausfällt. 

Der Angriff versetzte seine Mannschaft in einen Notfallmodus, fast wie bei einer Naturkatastrophe. Alarmierungsketten wurden in Gang gesetzt, Expertenteams in kontinuierliche Wechselschichten eingeteilt, Notfallhandbücher Punkt für Punkt abgearbeitet. „In diesem Modus fuhren wir, bis wir das Problem isoliert und behoben hatten, und zwar 24 Stunden am Tag, 7 Tage die Woche“, erzählt der Oberaufseher über die IT-Sicherheit beim VW-Konzern. „Das ist ein Knochenjob.“

Wie werden Sie darauf aufmerksam, dass sich im Cyberspace eine Gefahr gegen Ihr Unternehmen zusammenbraut?

Michael Kramm: Manchmal erhalten wir Hinweise, etwa von den IT-Sicherheitsexperten aus dem Bundesinnenministerium, von Lieferanten, die Opfer eines Cyberangriffs wurden, oder von anderen Autoherstellern. Im vergangenen Jahr entdeckte ein großer Sicherheitsanbieter eine Kampagne, die mit einem Phishing-Versuch gezielt die deutsche Autoindustrie inklusive Händler und Werkstätten ins Visier nahm. So etwas versetzt uns sofort in den Aktionsmodus. Wir schauen uns das alles ganz genau an und fragen uns in jedem einzelnen Fall, ob ein solcher Angriff auch bei uns möglich gewesen wäre.

Und wenn einer Kundin oder einem Kunden an seinem gerade neu gekauften Fahrzeug etwas merkwürdig vorkommt?

Auch dann sind wir im Spiel. Im Normalfall fährt der Kunde ja zuerst zu seinem Händler. Der muss in der Lage sein, zu unterscheiden, ob es sich um einen technischen Fehler handelt, der in der Werkstatt behoben werden kann, oder ob tatsächlich jemand versucht, das Fahrzeug zu attackieren. Wir haben unsere Händler in den vergangenen drei Jahren intensiv geschult, damit sie das beurteilen können. Wenn ein Cyberangriff nicht auszuschließen ist, kümmern wir uns intensiv um das Fahrzeug. Wir steigen auf jeden Vorfall ein.

Was ist ein Vorfall?

Wenn irgendetwas sich nicht so verhält, wie es sein soll. Das reicht als Anhaltspunkt für einen Verdacht.

Mit wie vielen solcher Vorfälle haben Sie zu tun?

Hier am Standort Wolfsburg bearbeiten wir durchschnittlich 200 Fälle pro Monat. Das ist sozusagen unser tägliches Geschäft.

Etwas Komplexeres als die IT-Sicherheit in einem weltweit agierenden Autokonzern ist kaum vorstellbar. Michael Kramm mit seinem 160 Mitarbeitenden starken Team trägt die Verantwortung für den Schutz des Gesamtkonzerns vor den Angriffen krimineller Hacker. Aber damit ist es nicht getan. Jede Region auf der Welt, in der Volkswagen Fabriken betreibt, und jede einzelne Marke des Konzerns, von Seat und Škoda über VW und Audi bis Porsche, Bentley und Lamborghini, hat eine eigene Organisation für Cybersicherheit. Wenn alle virtuell miteinander konferieren, einmal im Jahr, „sind durchaus 700, 800 Leute an Bord“, erzählt Kramm. 

Alle arbeiten Hand in Hand, entwerfen gemeinsame Sicherheitsprogramme und planen bis ins letzte Detail konzertierte Roll-outs. Die Sicherheitsprofis wiederum kooperieren ständig mit der Elektronikentwicklung der einzelnen Marken, mit der Qualitätssicherung, dem Vertrieb, dem Rechtswesen. Das kostet einiges, Kramm spricht von einem jährlichen Budget in dreistelliger Millionenhöhe.

Ein besonders sensibler Punkt ist die Armada der Zulieferer. Einige wurden in jüngster Zeit Opfer von Cyberangriffen. Beim Abgastechnik- und Klimaspezialisten Eberspächer beispielsweise legten Hacker im Oktober vorigen Jahres die Rechnersysteme weltweit lahm; fast zwei Wochen stand an allen neun deutschen Standorten die Produktion still. Der Schaden: vermutlich weit mehr als 100 Millionen Euro. 

Wie können Sie verhindern, dass kriminelle Hacker über die Zulieferer sensible Daten über Prototypen, Innovationen und Preise abgreifen? Oder sich über die IT-Schnittstellen direkt in Ihre Systeme fressen? 

Bevor wir eine langfristige Partnerschaft mit einem Zulieferer eingehen, unterziehen wir das Niveau der IT-Sicherheit beim Lieferanten einem intensiven Check. Unsere Beschaffungsbedingungen haben wir in puncto Cybersecurity in den vergangenen Jahren sehr straff angezogen.

Gibt es denn keine einheitlichen, für alle Lieferanten verbindlichen Standards?

Zulieferer, die Entwicklungs- und Konstruktionsdaten mit Automobilherstellern austauschen wollen, müssen ihre Informationssicherheit über eine Plattform namens Tisax, ein Kürzel für Trusted Information Security Assessment Exchange, von unabhängigen Prüfern zertifizieren lassen. Auf dieser Plattform können wir den Sicherheitsstatus potenzieller Lieferanten ablesen.

Ein Zertifikat ist das eine – selber nachschauen ist vielleicht sicherer. Tun Sie das auch?

Ja, in Einzelfällen. Wir haben ein Spezialistenteam im Konzern, das vor Ort geht, wenn ein Lieferant beispielsweise eine neue Software einführt. Wir unterziehen dann die IT des Zulieferers einem Stresstest. Besonders streng sind natürlich die Kriterien zur Verschlüsselung von Daten mit hohem oder sehr hohem Schutzbedarf. 

Was wäre ein Beispiel für Daten mit hohem Schutzbedarf?

Das sind vor allem Informationen über Prototypen. Die meisten Zulieferer arbeiten ja gleichzeitig für mehrere Autohersteller.

Sie müssen dafür sorgen, dass die Prototyp-Daten der verschiedenen Hersteller strikt voneinander getrennt werden und nur den jeweils dafür verantwortlichen Teams zugänglich sind. 

In der vordigitalen Ära der Industriespionage kam es vor, dass Kartons mit geheimen Konstruktionsunterlagen und vertraulichen Informationen über Einkaufspreise und Herstellungskosten in Privatwohnungen von leitenden Mitarbeitenden gefunden wurden, die kurz zuvor von einem Hersteller zu einem Konkurrenten gewechselt waren. Heute muss sich dafür niemand mehr nächtens an den Kopierer stellen. Die Produktionsanlagen der Autofabriken sind weltweit vernetzt – und somit potenzielle Einfallstore für Industriespionage oder erpresserische Hacker, die mit einem Kryptotrojaner die Computer des Unternehmens verschlüsseln, Fabriken zum Stillstand bringen und die Daten, ähnlich wie bei einer Geiselnahme, erst nach einer Lösegeldzahlung wieder freigeben. 

Angenommen es gäbe einen erfolgreichen Großangriff auf das Stammwerk in Wolfsburg – steht dann dort alles still?

Im schlimmsten Fall nicht nur dort. Die Fertigungssysteme werden heute ja nicht nur für eine Fabrik entwickelt, programmiert, aufgebaut und in Betrieb genommen. Sie finden sich, miteinander vernetzt, an mehreren Standorten unterschiedlicher Konzernmarken. 

Wie schützen Sie sich gegen Angriffe auf die Produktion?

Indem wir das Schutzsystem von vornherein auf ein ganz anderes Niveau bringen. Wir schauen uns die Schnittstellen genau an. Von woher kommen die Daten, wohin werden sie wieder abgegeben? Jede neue Applikation wird vor ihrer Einführung einem IT-Sicherheitsassessment unterzogen und auch im laufenden Betrieb überwacht, wie sie sich verhält. Sobald wir eine Anomalie entdecken, steigen wir tiefer ein.

Die nächste Generation von Angreifern hat sich bereits warmgelaufen. Sie haben es nicht auf die Fabriken abgesehen, sondern attackieren gleich die Autos. Die Fahrzeuge der neuesten Generation sind „Connected Cars“, im Grunde genommen elektrisch – oder einstweilen noch mit Verbrenner – angetriebene mobile Endgeräte, die ständig Daten generieren, verarbeiten und weitergeben. Smartphones auf Rädern sozusagen, vollgestopft mit hundert oder mehr elektronischen Steuergeräten, deren Software ohne Werkstatttermin drahtlos über die Cloud aktualisiert wird. 

Derartige Fahrzeuge sind elektronisch nicht unverwundbar. White-Hat-Hacker haben in der Vergangenheit mehrfach demonstriert, dass es Angreifern im Extremfall gelingen kann, von außen die Kontrolle über ein Auto zu übernehmen, wenn die Sicherheitsarchitektur Lücken aufweist. 

Sind erst einmal Millionen autonom fahrender Autos unterwegs, könnte das Bedrohungspotenzial weiter steigen – wenn auch dystopisch anmutende Szenen wie jene berühmte aus der achten Folge des Kino-Blockbusters „The Fast and the Furious“, wo Hunderte von Cyberterroristen gehackte autonom fahrende Autos Massenkarambolagen verursachen und zu Dutzenden aus den oberen Etagen von Parkhäusern auf die Straße stürzen, von der Realität denkbar weit entfernt sind. 

Beim Technologie-Wettstreit um das Connected Car will auch VW in der ersten Liga spielen. Vor allem der Rückstand zum amerikanischen Rivalen Tesla soll möglichst schnell aufgeholt werden. Die eigenen Entwicklungsabteilungen wurden auf Geheiß des Konzernvorstands bereits auf „Software First“ getrimmt. 

Ein Traditionshersteller wandelt sich in ein digitales Schnellboot mit angegliederter Blechbiegerei – was bedeutet das für die IT-Sicherheit?

Mit dem Connected Car wird das Wettrennen zwischen der IT-Sicherheit und potenziellen Angreifern auf eine neue Umlaufbahn katapultiert. Cybersicherheit ist jetzt Teil des gesamten Fahrzeuglebenszyklus. Das ist ein Paradigmenwechsel. Die IT-Sicherheit muss mit dem enormen und sich ständig beschleunigenden technologischen Wandel bei den Fahrzeugen Schritt halten. Es gibt keine Alternative, denn der Gegner wird keine Ruhe geben und jede Schwachstelle ausnutzen.

Hauptangriffspunkt ist die Fahrzeug-Software. Wie sorgen Sie da für Sicherheit?

Der Volkswagen-Konzern hat ja entschieden, diese Software selbst zu schreiben. Wir wollen dieses Zukunftsfeld nicht den Tech-Unternehmen aus dem Silicon Valley überlassen. Unsere Tochtergesellschaft Cariad entwickelt jetzt das gemeinsame zukünftige Betriebssystem für die Autos der VW-Marken, das vom Infotainment im Cockpit bis zum autonomen Fahren alles steuert. Das bietet uns die Chance, digitale Sicherheit von Anfang an mit höchster Priorität zu integrieren. 

Cariad hat eine eigene IT-Sicherheitsorganisation. Lange bevor die Software auf dem Prototypenstand oder auf der Straße erprobt wird, sorgen die dortigen Kolleginnen und Kollegen mit harten Tests für einen größtmöglichen Schutz gegen Cyberattacken. Eine absolute Sicherheit gibt es leider nicht. Aber wir tun alles Nötige, um möglichst nahe an die hundert Prozent zu kommen.

Theoretisch ließe sich vielen Cyberkriminellen leicht das Wasser abgraben – wenn man nur möglichst früh, noch bevor sie einen Angriff starten, von ihren Plänen erführe. Hier und dort ist zu lesen, dass die Autohersteller White-Hat-Hacker, also firmeneigene oder durch Prämien entlohnte externe Hacker sowie Cybercrime-Sicherheitsspezialfirmen engagieren, damit sie absichtlich in die Systeme eindringen und die sozialen Medien, einschlägige Foren und vor allem das Darknet gezielt nach Hinweisen auf geplante oder laufende Angriffe durchforsten. 

Das amerikanische Cybersecurity-Start-up Spycloud schleust sogar gezielt Spione in einschlägige Darknet-Foren ein. „Bei Volkswagen praktizieren wir so etwas in einem gewissen Rahmen“, mehr ist Michael Kramm dazu nicht zu entlocken. Erkenntnisse aus den Weiten des Darknets über bevorstehende Attacken seien aber durchaus willkommen. Außerdem lasse man sich von White-Hat-Hackern ganz bewusst regelmäßig angreifen – „um festzustellen, wo es in unserer Sicherheitsarchitektur noch Lücken gibt“. Der Mensch, schließt Kramm, „ist also in diesem Wettlauf zwischen uns und den Angreifern absolut nicht unwichtig. Da steht nicht nur IT gegen IT.“ --

---

Dieser Text stammt aus unserer Redaktion Corporate Publishing.