Unser Experte für Fragen
Joachim Mohs
Partner und Global IM & Automotive Cyber Security & Privacy Lead bei PwC Deutschland
Tel.: +49 40 6378-1838
E-Mail
Die Automobilindustrie befindet sich im Umbruch: Sowohl der Boom alternativer Antriebsmöglichkeiten als auch die zunehmende Vernetzung von Fahrzeugen eröffnet produzierenden Unternehmen und Zulieferern neue Geschäftsmodelle. Ermöglicht durch zahlreiche neue digitale Features und Services von Herstellern und Drittanbietern, entwickelt sich das Auto vom reinen Transportmittel zum Lebens- und Arbeitsraum.
Diese Transformation hat starke Auswirkungen auf das Ökosystem, in dem sich das Fahrzeug bewegt. Es gilt, die Sicherheit und Funktionsfähigkeit dieses Ökosystems zu gewährleisten und aktiv zu steuern, damit nicht nur die Profitabilität der Automobilunternehmen geschützt wird, sondern vor allem auch die Gesundheit sämtlicher Verkehrsteilnehmer. Wenn beispielsweise ein Spurhalteassistent durch einen Denial-of-Service-Angriff blockiert wird, sind neben den Insassen auch nicht-digitale Fahrzeuge, Passanten oder andere Verkehrsteilnehmer gefährdet.
Dementsprechend hoch sind die Erwartungen an die Automobilindustrie, solche Risiken mit belastbaren Cyber Security Management Systemen (CSMS) zu minimieren. PwCs Global Automotive CSMS Survey 2022 geht der Frage nach, wie weit OEMs und Zulieferbetriebe bei der Implementierung dieser Systeme sind. Die grundlegenden Erkenntnisse: Hinsichtlich des Reifegrades gibt es zwischen den verschiedenen CSMS-Projekten noch große Abweichungen. Mit Blick auf die durchschnittliche CSMS-Implementierungsdauer von 30 Monaten steigt zudem der Handlungsdruck – Unternehmen müssen sich jetzt zeitnah mit den vertraglichen und gesetzlichen Anforderungen auseinandersetzen. Weil das CSMS zukünftig die gesamte Wertschöpfungskette der digitalen Ökosysteme schützt, deren Betriebskosten beeinflusst und die Compliance sicherstellt, wird es zu einem geschäftskritischen Aspekt für die Automobilindustrie.
Fest steht aber auch: Das CSMS ist nur ein Meilenstein auf dem Weg zu einer erfolgreichen digitalen Transformation. Unternehmen der Automobilindustrie müssen ihre Cyber-Initiativen viel stärker vernetzen und dabei die Cybersicherheit im Kern des betrieblichen Handelns verankern sowie das Cyber-Risikomanagement in die Unternehmenssteuerung einbetten. Die Strategie der digitalen Transformation muss auch für rein regulatorisch getriebene Projekte wegweisend sein.
„Ein CSMS bildet das Fundament für den Schutz vernetzter Fahrzeuge. Es gewährleistet nicht nur die Sicherheit der Fahrzeuginsass:innen, sondern senkt auch die Gefahr von Angriffen auf das digitale Ökosystem der Herstellerunternehmen.“
Um ein klares Bild vom Umsetzungsstand in der Branche zu erhalten, haben wir Vertreter:innen aus verschiedenen Bereichen der Automobilindustrie befragt. Dazu gehörten Fachleute aus herstellenden und zuliefernden Unternehmen, aber auch ausgewiesene Marktexpert:innen. Darüber, dass Cyberangriffe auf vernetzte Fahrzeuge sowie das gesamte Automotive-Ökosystem zunehmen werden, waren sich mit 100-prozentiger Zustimmung alle einig. Die Wirtschaftskommission für Europa (UNECE) reagierte unlängst mit einer eigenen Regelung (UNECE Regulation Nr. 155) auf diese Entwicklung. Diese sieht vor, dass herstellende Unternehmen zukünftig ein voll funktionales und auditiertes CSMS implementieren, um die Cybersicherheit ihre Fahrzeugflotte zu überwachen und zu steuern. Bereits ab Juli 2022 muss ein geprüftes CSMS bei den nationalen Zulassungsbehörden vorgewiesen werden, um neue Fahrzeugtypen registrieren zu können. Ab Juli 2024 ist dies sogar Pflicht, um neue Fahrzeuge produzieren zu können. Nahezu alle Umfrageteilnehmenden stimmten zu, dass dieser Schritt notwendig ist, um die Sicherheit neuer Fahrzeuge langfristig zu garantieren.
Während alle Vertreter:innen der herstellenden Unternehmen angaben, bereits ein CSMS implementiert zu haben, stellten die meisten Befragten klar, dass diese noch nicht voll einsatzfähig seien. Rund zwei Drittel haben ihr CSMS-Design allerdings schon von einem Audit-Dienstleister prüfen lassen. Da in erster Linie die herstellenden Unternehmen von Regularien wie der UNECE Regulation Nr. 155 betroffen sind, diese aber nur bedingt Einfluss auf die Sicherheit individueller Bauteile haben, geben insgesamt 75 Prozent die entsprechenden Anforderungen über vertragliche Spezifikationen an die Zulieferbetriebe weiter. Damit übereinstimmend berichten genauso viele Zulieferer, dass sie bereits CSMS-spezifische vertragliche Anforderungen von ihren Kunden erhalten haben. Obwohl sich durch die Implementierung von Cyber-Sicherheitsmanagementsystemen klare Wettbewerbsvorteile für Zulieferbetriebe ergeben, liegen diese mit durchschnittlich 59 Prozent hinsichtlich des Fertigstellungsgrades initialer CSMS-Projekte noch hinter denen der herstellenden Unternehmen (71 %). Gerade in internationalen Märkten haben Unternehmen dabei mit fehlenden einheitlichen Standards zu kämpfen.
Klar ist, dass sowohl OEMs als auch Zulieferbetriebe ihre Anstrengungen erhöhen müssen, um den Reifegrad und die Integration ihrer Sicherheitsmanagementsysteme zukünftig zu erhöhen. Während die Sicherheit der Verbraucher:innen obligatorisch ist, gilt es zukünftig auch vermehrt das gesamte, digitale Ökosystem rund um das vernetzte Fahrzeug vor Angriffen zu schützen. Denn diese Services ermöglichen erst den Aufbau neuer Geschäftsmodelle, mit denen herstellenden Unternehmen der entscheidende Schritt nach vorne gelingt.
Herstellenden Unternehmen droht in vielen globalen Märkten ein Zulassungsstopp für neue Fahrzeugtypen, wenn sie kein angemessenes CSMS vorweisen können.
Belastbare Cybersicherheit braucht tiefgreifende Expertise – doch die ist derzeit bekanntlich rar. Demnach stellt der Mangel an Fachkräften für die Umsetzung von Cyber-Sicherheitsmanagementsystem aktuell die größte Hürde für herstellende und zuliefernde Unternehmen dar. Einen großen Konsens gab es auch mit Blick auf die knappen Deadlines: Fast alle Befragten teilten die Ansicht, dass der Zeitdruck eine große Schwierigkeit bei der CSMS-Umsetzung darstellt.
Im Zuge der Studie haben wir gefragt, welche Personen oder Abteilungen in den Unternehmen aktiv in CSMS-Projekte eingebunden sind. OEMs zeigten den Ergebnissen zufolge über alle Unternehmensbereiche hinweg eine höhere Beteiligung. Das deutet darauf hin, dass Zulieferer immer noch eine eher selektive Sicht auf die Systeme haben und sie nur für Dienstleistungen oder Produkte berücksichtigen, die sie den herstellenden Unternehmen anbieten. Bei den OEMs hingegen ist das CSMS in einem stärkeren Maße Teil ihrer internen Governance-Strukturen geworden.
Software ist für 96 Prozent der Befragten der Schlüssel für die Weiterentwicklung von Cyber Security Management Systemen (CSMS). Ein Aspekt, der maßgeblich über Faktoren wie Benutzerfreundlichkeit, Sicherheit und Wartung entscheidet. Die Modularität und Skalierbarkeit der eingesetzten Software-Architekturen sowie die Rechnerkapazität im Fahrzeug sind grundlegende Voraussetzungen, um die Produktion und den Betrieb von Fahrzeugen auch langfristig kostengünstig zu ermöglichen.
Die meisten der befragten Unternehmen gaben an, dass sie auf externe Partnerschaften setzen, um ihre Fortschritte in Bezug auf das CSMS zu beschleunigen. Auch hier gibt es Unterschiede zwischen herstellenden und zuliefernden Unternehmen: Fast vier Fünftel der OEMs erhalten Unterstützung durch ein Project Management Office (PMO), während es bei den Zulieferbetrieben nur zwei Fünftel sind. Auch die Unterstützung für die Softwareentwicklung ist bei den OEMs (67 Prozent) höher als bei Zulieferbetrieben (38 Prozent).
In Hinblick auf die langwierige Umsetzung von CSMS-Projekten müssen herstellende und zuliefernde Betriebe jetzt reagieren, um auf kommende Richtlinien vorbereitet zu sein. Das erfordert sowohl die Prüfung gesetzlicher Vorgaben als auch die genaue Untersuchung vertraglicher Implikationen.
Auch regulatorisch getriebene Projekte sollten immer der Business Transformation Strategy folgen. Nur die Unternehmen, die regulatorische Anforderungen ganzheitlich betrachten und mit einer echten Geschäftsmotivation verbinden, werden das Rennen der digitalen Transformation meistern.
Aufgrund des hohen Kosten- und Zeitdrucks sollten Unternehmen die Strukturen bestehender Managementsysteme für die Gestaltung und Umsetzung ihres CSMS nutzen. Mit standardisierten Tools und Prozessen kann die Komplexität erheblich reduziert werden.
Für die frühzeitige Identifizierung von Risiken muss der Reifegrad des CSMS konstant evaluiert und für relevante Stakeholder transparent gemacht werden, so dass auch die Managementebene als auch wichtige Geschäftspartner zu jeder Zeit in den Entwicklungsprozess eingebunden sind.
Um zu validieren, dass ihr System effektiv und ressourcenschonend im Betrieb funktioniert, sollten Unternehmen nach der Entwicklung eines CSMS umfangreiche Probeläufe durchführen.
Herstellende Unternehmen müssen klare Anforderungen an die Softwarearchitektur stellen und in ihre eigene Wertschöpfungskette einordnen, um die sichere Integration von OEM- und Zulieferersoftware zu gewährleisten.
„Automobilproduzenten werden neben Maschinenherstellern zu Software-Herstellern und Anbietern vernetzter Endgeräte. Ein hoher Reifegrad der Cybersicherheit schafft daher klare Wettbewerbsvorteile.“
Im Rahmen von PwCs Global Automotive Cyber Security Management System Survey 2022 wurden Vertreter:innen von Automobilherstellern, Zulieferern und Marktexpert:innenen interviewt, die überwiegend in den Bereichen Produktsicherheit, Forschung und Entwicklung, Qualitätssicherung und Informationssicherheit tätig sind. Im März und April 2022 wurden Interviews von 60-minütiger Dauer mit einem webbasierten Fragebogen durchgeführt.
39 Prozent der Befragten arbeiten für Hersteller, 35 Prozent für Zulieferunternehmen, 26 Prozent sind als Marktexpert:innen tätig. Die meisten Teilnehmenden kommen aus der Managementebene (78 Prozent), 13 Prozent sind auf der Expert:innen- oder Mitarbeitendenebene (neun Prozent) anzusiedeln. Die Teilnehmenden sind in elf verschiedenen Ländern ansässig: Österreich, Tschechische Republik, Finnland, Frankreich, Deutschland, Italien, Japan, Südkorea, Schweden, Vereinigtes Königreich und die USA. Die Daten werden anonym behandelt und für Grafiken gerundet.