Nfz-IT-Security: Herausforderungen und Lösungsansätze für Ladungs- und Lkw-Sicherheit gegen Hacker

Der Lkw ist die größere Baustelle: Ein 7,5-Tonner vollbeladen mit iPhones ist mehr als 20 Millionen Euro wert. Für Hacker ist das ein lohnendes Angriffsziel. Die IT-Security sollte also einen hohen Stellenwert haben. Bei Nutzfahrzeugen ist das allerdings schwieriger zu implementieren als bei Autos. Denn Lkw sind modular aufgebaut und müssen mit vielen verschiedenen Systemen kombinierbar sein. Das erhöht die Zahl der Angriffspunkte enorm (von Cymotive).

Die Vernetzung der Lkw über verschiedene individuelle Systeme, schafft auch Einfallstore für Cyberangriffe. (Bild: Cymotive; Pixabay; Travel mania/AdobeStock)
Die Vernetzung der Lkw über verschiedene individuelle Systeme, schafft auch Einfallstore für Cyberangriffe. (Bild: Cymotive; Pixabay; Travel mania/AdobeStock)
Redaktion (allg.)

Es geht aber nicht nur um teure Fracht: Nutzfahrzeuge – dazu zählen auch landwirtschaftliche oder Baumaschinen – haben lange Laufzeiten, legen weite Strecken zurück und transportieren häufig wichtige Waren, auch militärische Güter oder Waren für sogenannte KRITIS-Unternehmen, also Einrichtungen oder Organisationen, die der kritischen Infrastruktur zugerechnet werden. Die Gefahren gehen also nicht nur von Wirtschaftskriminellen, sondern auch von Terroristen und staatlichen Akteuren aus. Wird der Transport von dringend benötigten Geräten durch einen Cyberangriff gestoppt, kann das erhebliche Auswirkungen auf ein ganzes Land haben.

Besondere Herausforderungen

Die Bedrohungslage für Nutzfahrzeuge unterscheidet sich deutlich von der für Personenkraftwagen, denn Nutzfahrzeuge sind für einen modularen Einsatz konzipiert. Es können Komponenten wie ein Tieflader oder Sattelauflieger angeschlossen und kombiniert werden; Anhänger hängen an verschiedenen Zugmaschinen und kommunizieren im Laufe der Zeit mit unterschiedlichen Fahrzeugen. Dies führt zu einer höheren Anzahl von Komponenten, die miteinander verbunden werden müssen und somit ein höheres Risiko für Cyberangriffe darstellen.

Zusätzlich dazu müssen Flottenbetreiber ihre Wertschöpfungskette optimieren, sei es durch Effizienzsteigerung, Routenoptimierung oder durch vorausschauende Wartung. Dies führt häufig dazu, dass sie nach dem Fahrzeugkauf weitere Modifikationen vornehmen, indem sie zum Beispiel einen elektronischen Tachografen, ein Ladungsmanagementsystem oder andere Telematikmodule hinzufügen. Diese Add-ons unterliegen nicht den Restriktionen des Herstellers und können somit neue Schwachstellen mit sich bringen. Hinzu kommt, dass die Komponenten der Nutzfahrzeugzulieferer häufiger Cyberangriffspunkte bieten und weniger auf Sicherheit getrimmt sind als bei Personenkraftwagen, da sie sich in der Vergangenheit weniger intensiv mit dem Thema IT-Security beschäftigt haben.

Ersteinsätze neuester Technologien

Nutzfahrzeuge sind nicht nur Arbeitsgeräte, sondern auch Vorreiter bei der Einführung neuester Technologien, um Effizienzsteigerung und Kostenoptimierung zu erzielen. Bereits heute verfügen viele Nutzfahrzeuge über innovative Technologien wie Notbremssysteme zur Vermeidung von Auffahrunfällen oder Fahrerassistenzsysteme, die beispielsweise bei der Routenplanung oder der Senkung des Kraftstoffverbrauchs helfen können. In Zukunft werden Nutzfahrzeuge auch bei der Einführung autonomer Fahrsysteme eine Vorreiterrolle einnehmen, da deren Einsatz auf bestimmten Strecken wie Autobahnen einfacher ist als im komplexen städtischen Umfeld.

Während Nutzfahrzeuge also einerseits prädestiniert sind für den Ersteinsatz neuester Technologien, bieten sie aufgrund ihrer primären Aufgaben auch deutlich mehr Angriffsflächen als normale Pkw. So müssen sie in der Regel eine offenere Sicherheitsarchitektur aufweisen, um Schnittstellen zu verschiedenen Komponenten in der Backend-Infrastruktur und die Integration von Fremdsystemen zu ermöglichen. Diese Drittsysteme stammen oft von Middle-Layer- und Logistikunternehmen, die sie selbst entwickeln und bauen. Diese Firmen beschäftigen aber selten Sicherheitspezialisten – ihr Fokus liegt primär auf der Funktionalität. Das kann zu großen Angriffsflächen und damit massiven Auswirkungen auf regionale und überregionale Logistikketten führen.

Gefahrenquellen im Fokus

Die hohe Konnektivität von Nutzfahrzeugen eröffnet neue Möglichkeiten, birgt aber auch Risiken. So kann eine Sicherheitslücke an einem Endpunkt potenziell den gesamten Datenverkehr eines Fahrzeugs beeinträchtigen und zu einer Störung der Fahrzeugkommunikation oder sogar zu schwerwiegenden Sicherheitsproblemen führen. Ein solcher Angriff kann nicht nur zum Verlust von Wertschöpfungsketten führen, sondern auch die Sicherheit des Fahrers und anderer Verkehrsteilnehmer gefährden. Obwohl derzeit noch keine Fälle bekannt sind, in denen diese Schwachstellen ausgenutzt wurden, ist es angesichts der zunehmenden globalen Bedrohungen durch Kriege möglich, dass solche Angriffe in Zukunft stattfinden.

Auch Angriffe auf Logistikzentralen stellen ein Risiko dar. Sie können zu weitreichenden Störungen der Logistikketten führen. Da die Nutzfahrzeugbranche sehr kostenoptimiert arbeitet, verursachen Unterbrechungen schnell hohe Verluste. Mögliche Angriffsvektoren sind gezielte Manipulationen von IT-Systemen, die Auswirkungen auf die Routenführung oder den Fahrzeugbetrieb haben.

Abhilfe durch Standardisierung

Eine effektive Sicherheitsarchitektur für Nutzfahrzeuge sollte daher einen End-to-End-Sicherheitsansatz verfolgen, um den komplexen und dynamischen Lebenszyklus eines Nfz vollständig abzudecken.

Auch die Einführung von Standardisierungen trägt wesentlich zur Verbesserung der Cybersicherheit von Nutzfahrzeugen bei. Denn sie ermöglichen Interoperabilität und tragen dazu bei, dass alle Fahrzeugkomponenten reibungslos zusammenarbeiten. Durch die Definition von Standards können sich Experten gezielt mit Risiken und Schwachstellen der Branche auseinandersetzen und verhindern, dass jeder Hersteller im Alleingang versucht, eine Lösung zu finden.

Gesetzliche Vorgaben in der Zukunft

Die bereits existierenden Normen UNECE R155/R156 und ISO 21434 sind ein guter Anfang und verpflichten Hersteller dazu, sich mit dem Thema Cybersicherheit auseinanderzusetzen. Zudem gibt es einige branchenspezifische Initiativen zur Standardisierung von Schnittstellen im Bereich der Fahrzeugdiagnose und V2X-Kommunikation.

Nutzfahrzeughersteller sind daher gut beraten, sich intensiv mit den bestehenden Standards und kommenden Erweiterungen zu beschäftigen und sich mit IT-Security-Experten für Fahrzeugtechnik auszutauschen. Mithilfe von umfassenden Lebenszyklusanalysen können diese gezielt Schwachstellen im gesamten Fahrzeug-Ökosystem identifizieren und die richtigen Security-Strategien entwickeln.

Der Lebenszyklus eines Nutzfahrzeuges beträgt in der Regel circa 20 Jahre. In diesen werden neue Geschäftsmodelle und sich verändernde Use Cases die Art und Weise, wie Flottenmanagement betrieben wird, jedoch massiv beeinflussen. Ein reiner Security-by-Design-Ansatz stößt hier an seine Grenzen. Daher werden sogenannte Vehicle Security Operation Center (VSOC) für Hersteller zukünftig verpflichtend sein, um Manipulationen oder Unterwanderungen ihrer Systeme auch nach der Inbetriebnahme schnell erkennen und darauf reagieren zu können. Bestehende Regulierungen für Lkw stecken hier jedoch noch im Anfangsstadium und Normen wie R155 oder ISO21434 fokussieren primär auf den Massenmarkt Pkw.

Fazit

Obwohl sie weniger im öffentlichen Scheinwerferlicht stehen, sind Nutzfahrzeuge deutlich anfälliger für Hackerangriffe  – und deutlich lohnender für Kriminelle und Terroristen. Der hohe Modularitätsgrad bei Nutzfahrzeugen macht die Absicherung besonders anspruchsvoll. Fahrzeughersteller sollten sich deshalb das notwendige IT-Security-Know-how aneignen oder über spezialisierte Partner einkaufen. Da sich dieser Bereich derzeit dynamisch entwickelt und bei autonomen Fahrzeugen noch einmal wichtiger wird, dürfen OEMs dabei keine Zeit verlieren.
 

Über Cymotive

Cymotive Technologies wurde 2016 in Zusammenarbeit mit dem Volkswagen Konzern und hochrangigen israelischen Sicherheitsexperten gegründet. Das Unternehmen entwirft, entwickelt und implementiert Cybersicherheitslösungen, um die größten Herausforderungen auf dem Markt für intelligente Mobilität zu lösen. Mit Teams, die in Israel, Deutschland, Schweden und den USA arbeiten, bietet Cymotive eine Plattform mit Lösungen für den gesamten Lebenszyklus sicherer Entwicklungs- bis hin zu Post-Produktionskomponenten im Ökosystem der intelligenten Mobilität an. Das Unternehmen hat seine Reichweite erweitert und beliefert mehrere Hersteller, Smart Cities und Toplieferanten von Fahrzeugen, Flotten und anderen eingebetteten Lösungen.
 

Der Autor

Cristian Ion ist IT-Experte für Automobil- und Anwendungssicherheit. Nach seinem Studium der Informatik, des Wirtschaftsingenieurwesens und der Cybersicherheit hat er über 20 Jahre Erfahrung bei der Entwicklung von Security-Architekturen und -Anwendungen für DAX-Unternehmen gesammelt. Seit 2017 ist er Head of Secure Engineering bei CYMOTIVE Technologies und leitet ein versiertes Team aus Sicherheitsexperten, Risikomanagern sowie Sicherheitsarchitektur- und Penetrationstestern. Zu seinen Fachgebieten gehören die Sicherheit von Fahrerassistenzsystemen und autonomen Fahrfunktionen, aber auch Themen wie E-Mobilität und die Sicherheitsarchitektur im Fahrzeug und Backend.


Dieser Artikel wurde ursprünglich im Magazin VISION TRANSPORT Ausgabe 2023 veröffentlicht.