Wir alle kennen Produktionsanlagen in der Automobilindustrie. Dabei denken wir an Fließbänder und Aluminiumchassis am Fließband oder an orangefarbene Roboter, die Bauteile für Fahrzeuge herausgreifen, einbauen und verschweißen. Irgendwo dazwischen mal mehr, mal weniger Produktionsmitarbeiter. Am Ende rollen alle paar Stunden fertige Fahrzeuge vom Band. Für die Cybersicherheit stellt diese Phase der Produktion einen neuralgischen Punkt dar, den wir in diesem Artikel näher beleuchten wollen.
Paul Rusch
Henry Ford, der bis heute als Pionier der Fließbandproduktion gilt, hätte seine Freude an der Entwicklung von Industrierobotern in der Automobilproduktion: Im Jahr 2021 kamen in Deutschland auf 10.000 Automobilproduktionsmitarbeiter 1.500 Industrieroboter, in Südkorea sogar doppelt so viele. Weltweit sind heute mehr als eine Million Industrieroboter in der Automobilindustrie im Einsatz, fast die Hälfte davon allein in China.
Die kontinuierliche Zunahme von Industrierobotern in der Automobilindustrie steht nicht nur im Zusammenhang mit der Effizienz und der voranschreitenden Durchdigitalisierung von Fahrzeugen, bzw. dem Software-Defined-Vehicle. Vielmehr übernehmen Industrieautomationsroboter in Montagelinien eine ganze Reihe hochkomplexer Aufgaben, die weit über die reine mechanische Operationen und Bewegungsabläufe hinausgehen. Kritische Aufgaben wie das Aufspielen (Flashen) von Software auf die elektronischen Steuergeräte (ECUs) der Fahrzeuge, das Testen elektrischer Systeme und die Durchführung einer Vielzahl von Qualitätsprüfungen mit Hilfe hochentwickelter Sensoren und künstlicher Intelligenz stellen sicher, dass Fahrzeuge und ihre Komponenten korrekt gebaut und montiert werden.
Dies lässt bereits erahnen, welch kritische Rolle Industrieroboter und Automatisierung für die Produktion von Fahrzeugen spielen.
Gezielte Cyberangriffe auf die Automobilproduktion
Mit dem Wachstum und dem rasanten technischen Fortschritt in den Produktionsstätten der Automobilindustrie wachsen auch die Angriffsflächen und die möglichen Schwachstellen und Sicherheitslücken. So war es im Jahr 2020 möglich, den weltweiten Betrieb und die Produktion von Honda in Großbritannien, Nordamerika, der Türkei, Japan und Italien lahmzulegen und Produktionsmitarbeiter nach Hause zu schicken. Der Angriff wurde der Malware Ekans für industrielle Kontrollsysteme zugeschrieben, die sich im gesamten Produktionsnetzwerk verbreiten konnte und es schaffte, Windows-basierte IT-Systeme zu verschlüsseln und vollständig zu blockieren.
Die weltweit vernetzte Automobilindustrie ist ein beliebtes Ziel, aber natürlich nicht die einzige Branche, die sich regelmäßig mit Cyberangriffen konfrontiert sieht. Der Blick auf andere Branchen und ihre Industrieanlagen ist legitim, um Risiken vorausschauend verstehen und erkennen zu können.
Im Jahr 2019 wurde beispielsweise das norwegische Unternehmen Norsk Hydro, ein Tier-2-Zulieferer von Aluminium für die Automobilindustrie, Opfer der Ransomware LockerGoga, die es schaffte, alle Produktionsanlagen in seinen Werken außer Betrieb zu setzen.
Fragen zur Cybersicherheit in der Produktion der Automobilindustrie
Entsprechend sinnvoll ist es, dass sich Verantwortliche für funktionierende und qualitativ hochwertige Abläufe in der Produktion unter anderem die folgenden Fragen stellen müssen:
- Welche möglichen cyberspezifischen Schwachstellen und potenziellen Angriffspunkte bestehen in den gegebenen Anlagen und Abläufen?
- Wie tief kann ein Cyberangriff in eine Montagelinie eindringen?
- Kann ein Backend-Angriff das elektronische Produkt oder das Fahrzeug, das sich gerade in der Fertigung befindet, beeinträchtigen, eine neue Schwachstelle aufdecken oder schaffen?
- Welche konkreten Bedrohungen können von Zulieferern und Partnern ausgehen, wie werden diese bewertet und gemanagt?
- Was müssen Systeme zur Überwachung und Erkennung von Bedrohungen leisten?
- Wie funktioniert ein Reaktionssystem im Ernstfall?
- Wie können wir unser Cybersicherheitsmanagementsystem verbessern, um komplexe Risiken zu verringern?
- Welche Rolle spielt die Produktionsphase in der Praxis der ganzheitlichen Risiko-Analyse?
Selbstverständlich kann man hier nicht nur mit dem erhobenen Zeigefinger in Richtung der Produktion sprechen – hier, wo noch richtig gearbeitet wird. Viele dieser Fragen waren vor einigen Jahren auch noch gar nicht relevant, aber mit den Fortschritten und der Einführung von intelligenten und IIoT-Fertigungssystemen hat die Abhängigkeit vom Internet und Cloud-Plattformen von Drittanbietern unumstößlich den Einzug in die Produktionshallen gehalten.
Die Interdependenz zwischen IT/OT-Konvergenz und den produzierten Fahrzeugen schafft de facto eine neue Komplexität bei der Identifizierung von Cybersicherheitsrisiken.
Vor allem, weil sich alle Akteure in den damit verbundenen Wertschöpfungsprozessen rund um die Fahrzeuge, die später einmal Menschen befördern werden, immer wieder eine Frage vor Augen führen müssen: Was passiert, wenn die Informations- und Betriebstechnologien nicht mehr das primäre Ziel (z. B. von Ransomware) sind, sondern von Angreifern nur als Zwischenziel genutzt werden, um letztlich die Endprodukte zu kompromittieren, für deren Herstellung die Robotersysteme verantwortlich sind?
Gerade vor diesem fundamental wichtigen Hintergrund rücken Produktionsstätten und Produktionsprozesse bereits heute in den Fokus der Cybersicherheitsregulierung der Automobilindustrie.
Relevante Vorschriften & Standards für cybersichere Fahrzeugproduktion
Zu den wichtigsten Regularien und Standards für die Automobilindustrie gehören in diesem Zusammenhang nach wie vor die UN Regulierung Nr 155, die ISO/SAE 21434 und weitere wie der European Cybersecurity Reliance Act – neben weiteren ähnlichen nationalen und branchenspezifischen Vorschriften, die nicht automobil- oder fahrzeugspezifisch sind.
Betrachten wir Clause 12 der ISO/SAE 21434 Road Vehicles – Cybersecurity Engineering genauer. Hier wird ein etablierter Prouction Control Plan gefordert, um die Anforderungen an die Cybersicherheit eines Fahrzeugs und seiner Komponenten bereits in der Entwicklungsphase effektiv zu kommunizieren, um systematisch zu verhindern, dass Schwachstellen auftreten bzw. Cyberrisiken während der kritischen Produktionsphase entstehen.
Besondere Aufmerksamkeit aus Sicht der Produktion verdient auch die ISA/IEC 62443; Sie enthält eine Reihe von Cybersicherheitsstandards für die industrielle Automatisierung und Steuerung. Ähnlich wie mit der ISO/SAE 21434 legt ein Cybersicherheits-Managementsystem organisatorische Maßstäbe und ganzheitliche Ansätze für das Management von System- und Komponentenrisiken fest.
Cybersicherheit in der Automotive-Produktion: Produktionssysteme und Automotive-Produkte im toten Winkel?
Typischerweise finden sich in den Fertigungslinien der Automobilproduktion moderne Steuergeräte-Flash-Programmiersysteme, deren Aufgabe es ist, die initialen kryptographischen Schlüssel der Zulieferer zu ersetzen und mehrere Gigabyte OEM-Software im Rahmen der End-of-Line-Programmierung zu installieren. Sie sind in der Regel über Ethernet-Netzwerkarchitekturen vollständig in die bestehende IT-Systemlandschaft integriert.
Wir sprechen bei diesen Verrichtungen bereits von hoch sicherheitskritischen Verfahren: Aufgrund der kryptographischen Materie verweist ISO/SAE 21434 indirekt auf die hohen Sicherheitsrisiken, die mit Public Key Infrastrukturen (PKI) verbunden sind, mit Angriffen wie der Kompromittierung des privaten Schlüssels oder der Einrichtung betrügerisch agierender Root Certificate Authorities.
Gegenwärtig werden viele Fahrzeugsteuergeräte nach offenen und standardisierten Architekturen wie AUTOSAR entwickelt, die unter anderem Spezifikationen für Verschlüsselung und sichere Schlüsselarchitekturen für Automobilhersteller und Zulieferer bereitstellen.
Das Problem hierbei: Leider fehlt den Backend-Systemen von Fahrzeug- oder Komponentenherstellern ein adäquates Maß an Verschlüsselungsstandardisierung.
Die Gründe hierfür sind vielfältig. Angefangen bei den eher konventionellen Zielen der klassischen Informationssicherheit in Bezug auf Geschäftsprozesse, über das mangelnde Bewusstsein und die fehlende Priorität für Cybersicherheit in produktbezogenen Prozessen und Systemen, bis hin zu den andauernden Herausforderungen und Tabus gerade in der Automobilbranche in Bezug auf geistiges Eigentum und die stetige Zurückhaltung von Wissen und Weitergabe von Informationen.
Produktionsabläufe als blinder Fleck in der Cybersecurity-Regulatorik?
Der Anspruch der UN R155 ist es, dass der gesetzliche Rahmen den gesamten Lebenszyklus eines Fahrzeugs, von den ersten Entwicklungsschritten bis zur Stilllegung, berücksichtigen soll.
Das klingt zunächst gut, in der Praxis wird jedoch das gesamtheitliche Ökosystem moderner Cybersicherheitsbedrohungen nicht ausreichend berücksichtigt.
Dieses “Ausklammern” einer ganzheitlichen Inkludierung der modernen Cybersicherheits-Bedrohungslandschaft, die IT, OT und vieles mehr umfasst, könnte sich rächen.
Insbesondere in Bezug auf Backend-Systeme, zu denen wir hier die genannten Produktionsanlagen und -systeme zählen. Auch wenn auf Remote-Updates von Fahrzeugen im Feld und Diagnosesysteme adressiert sind, muss davon ausgegangen werden, dass tatsächlich ausnutzbare Schwachstellen und Angriffswege auch mit dem Versuch der Erfüllung der UN R155 weiterhin eine Bedrohung im Alltag darstellen können – ein Risiko für die Prozesse in den Produktionsanlagen und damit für die Fahrzeuge bleibt grundsätzlich bestehen.
Auch aus der Sicht eines Audits (s. auch der Fachbeitrag UN R155 Audit) müssen die Sicherheitskontrollen für Produktionsanlagen nur als “zufriedenstellend” bewertet werden, um die vordefinierten Sicherheitsziele des Fahrzeugs zu schützen.
Wenn man jedoch die Ursprünge der Cybersicherheitsanforderungen für Produkte zurückverfolgt, so werden diese von einem risikobasierten Modell abgeleitet, das als Threat Assessment and Risk Analysis (TARA) bekannt ist.
Einer der zentralen Kritikpunkte an der TARA-Methodik ist, dass der Output der Cybersicherheitsziele nur auf den subjektiv erarbeiteten Risiken basiert, die in der jeweiligen Organisation soweit akzeptiert bzw. bekannt sind. (s. hierzu auch der Exkurs in die Schwachstellen der TARA-Methodik.)
Mit Blick auf die detaillierte Analyse, Identifikation und Mitigation von cyberspezifischen Risiken und Schwachstellen in Bezug auf operative Produktionstechnologien ist davon auszugehen, dass die TARA-Methodik hier strukturell (in ihrer Verankerung der gelebten Handhabung in der Praxis der Fahrzeugentwicklung) nur unzureichend den Raum einnimmt, um den tatsächlichen Fokus auf die Produktion und die dort entstehenden Risiken vollständig abzubilden.
Der bereits erwähnte Production Control Plan ist ebenfalls unidirektional (von der Entwicklung zur Produktion) angelegt und geht nur vage auf die gemeinsame Identifizierung und Zuordnung der Sicherheitsmechanismen in der Produktion zu den Sicherheitsmechanismen in der Fahrzeugentwicklung ein.
Zugespitzt ließe sich im Zweifelsfall behaupten: Die Ausarbeitungen der ISO/SAE 21434 Work Products im Cybersecurity Management spiegeln trotz “korrekter Ausführung” möglicherweise die tatsächlichen Cybersicherheitsschwachstellen nur unzureichend wider und können es potenziellen Cyberangreifern dennoch ermöglichen, die Oberhand zu gewinnen.
Schrittweise: Dynamisches Cybersicherheits-Management als Treiber für Produktionssicherheit
Festzuhalten ist, dass die sich weiter modernisierende Produktion rund um das Fahrzeug und seine Komponenten sich in Bezug auf Cybersicherheit weiterentwickeln muss und wird. Einfach weil das Cybersicherheits-Management-System (CSMS) als dynamisches Managementsystem zu verstehen ist, in dem Lücken gefunden und Prozesse verbessert werden.
Der beliebte Marketing-Slogan aus der Informationssicherheit “Es ist keine Frage des ob, sondern des wann” kann und sollte auch auf Produktionsanlagen, Fertigungsstätten und Fließbandprozesse umgemünzt werden. Neben dem stetigen Fokus auf die Optimierung der Effizienz von Produktionsprozessen ist auch die Erhöhung der Resilienz und Widerstandsfähigkeit von zentraler Bedeutung.
Konkret: Tipps und Empfehlungen für einen besseren Production control plan gemäß ISO/SAE 21434
Um kontinuierliche Analysen und Anpassungen vornehmen zu können, die sich auch nahtlos in bestehende Produktionsprozesse integrieren lassen, muss systematisch an den richtigen Stellschrauben gedreht werden. Dies erfordert in der Regel eine Kombination aus technologisch/methodischen Ansätzen, Prozessgestaltung und nicht zuletzt dem Bewusstsein und dem Willen, die entsprechenden Themen zu verstehen und angehen zu wollen.
Die folgenden Impulse sollen aufzeigen, wie der Production control plan entlang der ISO/SAE 21434 gestärkt und auf ein höheres Niveau gehoben werden kann:
- Verstehen Sie den Production Control Plan für die Cybersicherheit in der Produktion als ein gemeinsames Arbeitsprodukt, angesiedelt sowohl in der Produktentwicklung und bei den Produktionsbeteiligten.
- Warten Sie nicht bis zum Ende der Entwicklung, um mit dem Produktionskontrollplan zu beginnen. Richten Sie sich frühzeitig darauf ein und überprüfen Sie regelmäßig die Sicherheitsanforderungen, Installationsverfahren und Schutzmaßnahmen für die Komponenten.
- So wie es für die Entwicklungsteams im Bereich Cybersicherheit wichtig ist, TARAs durchzuführen, so ist es auch für die Beteiligten in der Produktion wichtig, eine Bewertung der Systemsicherheitsrisiken ISA/IEC 62443-3-2 durchzuführen.
- Stellen Sie sicher, dass die Bewertung des OT-Cybersicherheitsrisikos die Identifizierung von Produktionsanlagen, Zonen und Leitungen für spätere Sicherheitsstufen, Anforderungen und die Platzierung von Kontrollen umfasst.
- Validieren und testen Sie die Sicherheitskontrollen des Produktionssystems, wenn möglich während simulierter Herstellungsprozesse.
- Stellen Sie sicher, dass relevante Schwachstellenbewertungen nach der Produktion sowohl von Produkt- als auch von Produktionsstandorten überprüft werden, um synchrone Verbesserungen für Updates, Konfiguration, Änderungen oder zukünftige Serien oder Wiederverwendungsmöglichkeiten bereitzustellen.
Ja, das, was in der Produktion passiert (oder nicht passiert) und das, was im manchmal abstrakt gedachten Cybersecurity Management sinniert wird, scheinen häufig wie voneinander getrennte Welten zu sein. Und doch sind sie eng miteinander verwoben. Das Zusammenspiel zwischen Weichenstellungen der Cybersicherheit, der Einbindung von IT und dem Mitdenken der Produktionsprozesse erfordert die Expertise und Involvierung aller Beteiligten. Im kooperativen Vorgehen liegt der Schlüssel für eine effiziente und zukunftssichere Produktion.
Quellen:
Global Automotive Industry Employs One Million Robots
Zugriff am: 02.01.2025
Honda’s global operations hit by cyber-attack
Zugriff am: 02.01.2025
EKANS Ransomware: A Malware Targeting OT ICS Systems
Zugriff am: 02.01.2025
LockerGoga
Zugriff am: 02.01.2025
