Die Autoindustrie kämpft mit der Schaffung eines Cyber-Trusts

Dec 18, 2023

Für ein erfolgreiches Ökosystem muss ein schwer erkennbares und dennoch anhaltendes Verständnis von ... [+] Regierungen, Herstellern, Lieferanten und Unterlieferanten bestehen, dass geeignete Designs, Tests und Verbesserungen installiert und gepflegt werden, um Vertrauen aufzubauen die Cybersicherheit.

Der Refrain der Hymne von John W. Peterson aus dem Jahr 1970 lautet: „Ich werde dir vertrauen, wenn ich nicht sehen kann, wenn ich mit Widrigkeiten konfrontiert bin, und glauben, dass dein Wille immer das Beste für mich ist.“ Ich werde vertrauen, wenn ich nicht sehen kann.“ Vielleicht gut für eine Kirche, aber das war in den letzten fast zehn Jahren nicht mehr der Text zum Kumbaya von Automotive, seit Charlie Miller und Chris Valasek im Wired Magazine aus der Ferne einen Chrysler hackten. Dieser technologische Meilenstein machte die Branche auf die drohende Flut von Hacks aufmerksam und verdeutlichte die dringende Notwendigkeit, das Vertrauen in die Zuverlässigkeit des Gesamtsystems zu stärken.

Dieses Vertrauen ist jedoch vielschichtig und komplex: das Vertrauen der Entwickler, das Vertrauen des Ökosystems und das Vertrauen der Käufer.

Um darauf zu vertrauen, dass ein Lieferant ein Design, einen Code und Tests zur Sicherung des Systems erstellt hat, ist ein System erforderlich, das ... [+] viele Kontrollen und Nachverfolgungen durchführt.

Das Vertrauen vom Hersteller nach unten ist fast so tief wie beim Thriller „Inception“ aus dem Jahr 2010. Der CEO muss dem Chief Information Security Officer (CISO) vertrauen, der darauf vertrauen muss, dass das mittlere Management die in die Fahrzeugprogramme integrierten Anforderungen (sowie die interne IT) überwacht und die Vorschriften aus der ganzen Welt erfüllt oder übertrifft. Von dort aus muss der Chefingenieur darauf vertrauen, dass sowohl die Entwickler des Herstellers als auch der Zulieferer die technischen Sicherheitsanforderungen erfasst und einen Prozess und ein Produkt formuliert haben, das die gewünschte Erkennung und den gewünschten Schutz gewährleistet. Danach vertraut der Entwickler darauf, dass der Testingenieur Testpläne und Skripte entwickelt hat, um etwaige Schwachstellen aufzuspüren. Und dann wiederholt sich das alles in den nächsten zwanzig Jahren, wenn es zu neuen Cyberangriffen kommt. Über jedes Fahrzeug hinweg. Über alle Systeme hinweg. Über jede Komponente hinweg.

Lösung 1: Die erste, uralte Lösung sind Bewertungen des Prozesses. Wenn Ingenieure Richtlinien und Checklisten befolgen, sollten die Arbeitsergebnisse den Standards entsprechen.

Lösung 2: Die zweite Lösung ist erst kürzlich Anfang 2023 eingetroffen: Co-Testing-Plattformen. Bei solchen Systemen laden Lieferanten Code in eine Testumgebung hinter einem halbtransparenten Vorhang. Der Hersteller kann sehen, dass der Code anhand aller entsprechenden Standards und bekannten Bedrohungen getestet wurde, hat jedoch keinen Einblick in das geistige Eigentum (IP), die genauen gefundenen Schwachstellen usw., sodass Vertrauen in die Lösung aufgebaut werden kann, ohne dass etwas Proprietäres preisgegeben wird oder vernichtend. „Heutzutage ist der Cybersicherheitsprozess für Fahrzeuge sehr mühsam; „Viele Checklisten während des gesamten Prozesses generieren Unmengen an Dokumenten, die beweisen, dass sie die richtigen technischen Anstrengungen unternommen haben, um das Fahrzeug zu sichern“, erklärt Brandon Barry, Gründer und CEO von Block Harbor. „All dies muss passieren, während das Geschäftsmodell des Unternehmens gestört ist. [Solche Systeme] können es ihnen ermöglichen, Live-Daten zwischen Automobilhersteller und Zulieferer auszutauschen, und zwar hinsichtlich der Daten, die für die Standards und Vorschriften wichtig sind, sodass das Vertrauen in die neue Lösung wiederhergestellt werden kann und schnelle Aktualisierungen möglich sind.“

„Ein Teil der Herausforderung“, erläutert Murtada Hamzawy, COO von Block Harbor, „besteht darin, dass bei dem Versuch, diese geschäftlichen Herausforderungen zu meistern, ein neues Maß an Vertrauen erforderlich ist; mehr als zuvor. Eine Plattform zu haben, auf der alle Parteien in Echtzeit sehen können, dass ordnungsgemäße Tests stattgefunden haben, trägt dazu bei, diese vertrauensvolle Beziehung schnell sicherzustellen.“

Das größere Ökosystem hatte viele Akteure – sowohl öffentliche als auch private –, in denen Designs, Tests und ... [+] Verbesserungen installiert und gepflegt werden, um Vertrauen in die Cybersicherheit aufzubauen.

Stellen Sie sich das gleichzeitige Vertrauen und Misstrauen vor, das erforderlich ist: Vertrauen, Informationen über bekannte Angriffe weiterzugeben, und Misstrauen, dass andere Spieler nicht versehentlich (oder absichtlich) Sicherheitsinformationen weitergeben, neue Vorschriften erlassen oder geteilte Daten böswillig verwenden, um auf dem Markt zu gewinnen.

Dies ist das Ökosystem der Fahrzeug-zu-Infrastruktur- und Fahrzeug-zu-Fahrzeug-Systeme. Wettbewerber sprechen mit Wettbewerbern und Regierungsbehörden, um mehr über neue Hacker, mögliche Bedrohungen und Abhilfemaßnahmen zu erfahren.

In der Zwischenzeit erlassen Regierungsorganisationen wie UNECE neue Vorschriften, die von Automobilherstellern verlangen, nachzuweisen, dass sie über robuste Cybersicherheitsmanagementsysteme und Software-Update-Fähigkeiten verfügen, andernfalls verlieren sie möglicherweise ihr Recht, Fahrzeuge in ihrem Land oder ihrer Region (z. B. Europa) zu verkaufen. Es geht um Milliarden von Dollar, und jeder Austausch von Informationen über Schwachstellen kann dieses Vertrauen untergraben.

Lösung 1: Das Automotive Information Sharing and Analysis Center (Auto-ISAC) wurde im August 2015 gegründet, um einen Ort für den Informationsaustausch zu schaffen. Einer anonymen Quelle zufolge „war der Anfang sehr langsam, da die Unternehmen nicht sicher waren, mit wem sie was teilen konnten, aber der Informationsfluss ist jetzt besser.“

Lösung 2: Gleichzeitig stellen externe Gutachter eine Zertifizierung der Cybersicherheitsmanagementprozesse eines bestimmten Unternehmens bereit. Stichproben sind von Natur aus unvollkommen, bieten aber zumindest einen halbtransparenten Einblick in die Genauigkeit eines Unternehmens.

Der Aufbau des Vertrauens der Endverbraucher dürfte am schwierigsten sein, hat sich aber bisher nicht negativ auf ... [+] Käufe oder Marken ausgewirkt.

Eine überzeugende und immer wieder verwendete Schlagzeile in Vorstandsetagen der Automobilbranche ist seit 2016 die von PR Newswire: „8 von 10 Verbrauchern wären vorsichtig oder würden nie bei einem Autohersteller kaufen, wenn diese Marke einen Auto-Hack erleben würde.“ Tatsächlich ergab die KPMG-Studie, dass die genaue Zahl bei 82 % lag.

Außer dass es das nicht ist.

Buchstäblich jede große Marke wurde auf irgendeine Weise gehackt (wie im Forbes-Artikel „Top 25 Cybersecurity Hacks: Too Many Glass Houses To Be Throwing Stones“ aus dem Jahr 2020 dokumentiert). Und der einzige nachhaltige Rückgang der Aktienkurse oder des Umsatzes war 2015 bei Volkswagen zu verzeichnen, der aller Wahrscheinlichkeit nach auf Deiselgate zurückzuführen war.

Die Frage „Wie würden Sie das Vertrauen der Öffentlichkeit zurückgewinnen“ lautet also: „Interessiert sich der Käufer wirklich?“

Lösung: Dies ist der einzige Bereich des Vertrauens, für den es keine Verbesserungslösung, aber möglicherweise auch keine erforderliche Lösung gibt. Das Vertrauen des Käufers durch Werbung [wieder] zu gewinnen, käme dem Anbringen eines Bullseye-Aufklebers an der Windschutzscheibe für weltweite Hacker auf der Suche nach Ruhm gleich. Vielleicht lautet die Lösung also: „Warten Sie, bis die Käufer es [hoffentlich] vergessen.“

Vorausgesetzt, das Unternehmen überlebt das.

Aus irgendeinem Grund, den ich nur auf die vollständige Übergabe der Kontrolle zurückführen kann, verbindet die Öffentlichkeit weiterhin die Notwendigkeit einer kugelsicheren Cybersicherheit mit autonomen Fahrzeugen. Beispielsweise berichtete The Hill erst vor wenigen Wochen, dass „… einige Experten sagen, dass der Übergang zur Autonomie größere Risiken für die Cybersicherheit mit sich bringen könnte, wenn potenzielle Hacker auf Software-Schwachstellen abzielen.“

Aber dieser Hack von 2015 hat bereits eindrucksvoll gezeigt, dass impotente Menschen hoffnungslos den Fahrersitz besetzen können, während Hacker Zugriff auf die Lenkung, das Gaspedal, die Bremsen usw. des Autos haben. Tatsächlich im Rahmen einer Folge von „Last Week Tonight“ aus dem Jahr 2016 über Verschlüsselung und Cyber-Vertrauen , HBO zeigte ein Video des Hacks und John Oliver rief aus: „Ja, nein, der Fahrer geriet in Panik!“ Du hast ihm auf der Autobahn den Motor abgedreht.“

Das war kein autonomes Auto. Auch keines der Fahrzeuge war Teil der Rekordzahl von 268 öffentlich gemeldeten Cyberangriffen auf Automobile im Jahr 2022, die seit 2018 stetig zugenommen haben (79).

Rätseln Sie mich also: Warum sind wir gerade jetzt so vertrauensselig?