Während die Digitalisierung im effizienzgetriebenen Straßengüterverkehr in allen Unternehmensbereichen schnell voranschreitet, steht das Bewusstsein für den Schutz vor Cyberangriffen noch am Anfang. Das ist eines der Ergebnisse der „Nutzfahrzeugstudie 2020 – Cybersicherheit und Digitalisierung“ des Technologieunternehmens Continental.
Wie stark sind Logistik- und Transportunternehmen Cyberangriffen ausgesetzt? Welche Maßnahmen sollte ein Transportunternehmen ergreifen, um sein Geschäft cybersicher zu halten? Die Antworten auf diese und mehrere Fragen gibt es im Interview mit den Experten von Continental: Gilles Mabire, Leiter der Geschäftseinheit Nutzfahrzeuge und Services und Dr. Mathias Dehm, Leiter des Bereichs Forschung und Prozesse für Produktsicherheit .
Agnes Sterniak, Trans.INFO: Warum ist die Studie „Straßengüterverkehr: Digitalisierung schreitet voran, Bewusstsein für Cybersecurity noch am Anfang“ überhaupt entstanden? Gab es einen konkreten Anlass dazu?
Gilles Mabire, Leiter der Geschäftseinheit Nutzfahrzeuge und Services bei Continental: Nicht einen konkreten Anlass, aber einen Grund: Es fehlte die Aufmerksamkeit für das Thema. Bislang lag der Fokus der Berichterstattung hauptsächlich auf den Risiken für Pkw. Dabei sind Nutzfahrzeuge die am stärksten vernetzen Fahrzeuge, etwa über Flottenmanagementsysteme, Maut-On Board Units oder auch digitale Fahrtenschreiber. Das bedeutet, dass sie auch einem erhöhten Risiko von Cyberangriffen ausgesetzt sind – weil es mehr Konnektivitätsschnittstellen gibt, aber auch, weil es sie durchaus lohnende Angriffsziele sein können. Daher wollten wir untersuchen, wie wichtig das Thema im Straßengüterverkehr ist. Dafür hat das das infas Institut für angewandte Sozialwissenschaft Speditionen, Fuhrparkunternehmen, Verbände und Technologie-Dienstleister in qualitativen Leitfadeninterviews befragt. Ergänzt haben wir die Befragung durch ein Branchenpanel, für das infas im Straßengüterverkehr tätige Unternehmen, Logistiker und Spediteure online befragt hat. Dafür wurden mittels statistischer Zufallsauswahl zwischen Februar und Mai Transportunternehmen, Logistiker und Spediteure in Deutschland kontaktiert.
Wie stark sind Logistik- und Transportunternehmen Cyberangriffen ausgesetzt?
Mathias Dehm: Der Fokus der Cyberkriminellen lag bisher glücklicherweise weniger auf den Flotten. Interessanterweise gab es gerade in diesem Jahr und auch in den letzten Wochen vermehrt Angriffe auf größere Logistikunternehmen. Der Grund ist durchaus einleuchtend: Flotten können aufgrund ihrer Ladung wie Gefahrgut oder des hohen Wertes der Ladung durchaus lohnende Angriffsziele sein. Denkbar sind viele Szenarien: Daten- und Fahrzeugdiebstahl, Übernahme der Flottenkontrolle oder auch von einzelnen Fahrzeugen im Betrieb, um Geld zu erpressen, Lahmlegung des Umschlagzentrums oder der Flotte, oder etwa unautorisierter Zugang zu Fahrzeugen.
Könnten Sie einige Vorfälle aus der Branche nennen?
Mathias Dehm: In der Expertenbefragung wurden bekannte Probleme als Beispiele für die Bedrohung durch DDoS (Distributed Denial of Service)-Angriffe, Ransomware oder Viren genannt, etwa der 2017 durch NotPetya verursachte Ausfall bei MAERSK, der einen Schaden von rund 300 Millionen Dollar verursachte. Jüngst gab es, wie Sie der Fachpresse entnehmen können, in kurzer Abfolge eine Vielzahl an Angriffe, darunter einer auf eine größere französische Spedition, einer kanadischen Spedition und zu Beginn des Jahres einen Angriff in Australien. Wir haben aber auch schon in der Vergangenheit gelegentlich von Vorfällen gehört, die nicht öffentlich wurden.
Sind sich Entscheidungsträger der Risiken für Cyberangriffe, die mit steigender Vernetzung verbunden sind, überhaupt bewusst?
Gilles Mabire: Es scheint eher so, als man sich in einer vermeintlichen Sicherheit wiegt und die Gefahren tendenziell unterschätzt. Das zeigen unsere Ergebnisse: Rund zwei Drittel der Befragten sehen sich laut unserer Befragung unter Speditionen und Fuhrparkunternehmen sehr gut vor einem solchen Angriff geschützt. Gleichzeitig hat aber nur rund die Hälfte der Unternehmen Abwehrmaßnahmen für ein Angriffsszenario auf Logistik- oder Flottenmanagementsysteme getroffen. Das passt nicht ganz zusammen. Drei Viertel planen keine größeren Investitionen in den kommenden sechs bis zwölf Monaten. Dieses relativ hohe Sicherheitsgefühl kann auch Risiken bergen.
Wer ist mehr von Cyberangriffen bedroht: Klein- und Mittelunternehmen oder eher große Konzerne?
Gilles Mabire: Zunächst einmal lässt sich dazu pauschal keine Aussage treffen, denn nicht jedes Unternehmen ist für potenzielle Angreifer gleich attraktiv. Da spielen Aspekte wie die Ladung, Größe der Flotte, Hintergrund des Unternehmens und einige mehr eine Rolle. Generell lässt sich aber – auch das ein Ergebnis der Studie – sagen, dass große Unternehmen mehr in Cybersicherheit investieren als kleine und mitteständische und deshalb mutmaßlich auch besser geschützt sind. Sie haben einfach die größere Finanzkraft, die es braucht, um Stellen mit Experten zu besetzen und Strukturen aufzubauen. Kleinere Unternehmen können sich das nicht leisten. Daher gilt die Faustregel: Je größer das Unternehmen, desto größer das Bewusstsein für Probleme der Cybersicherheit. Wir sprechen in diesem Zusammenhang von einer eine Cybersecurity-Kluft zwischen den großen Konzern und den vielen kleinen Playern auf.
Welche Maßnahmen sollte z. B. ein Transportunternehmen ergreifen, um sein Geschäft cybersicher zu halten? Handelt es sich hier nur um eine entsprechende Software oder eher um ein Gesamtpaket von Lösungen?
Mathias Dehm: Cybersecurity ist ein vielschichtiges Thema. Ein Aspekt davon ist sicherlich die Software immer auf dem aktuellen Stand zu halten, um sicherzustellen, dass die letzten Sicherheitsupdates installiert wurden. Das bezieht sich sowohl auf die Systeme im Fahrzeug als auch zusammenhängende Applikationen für den Speditionsbetrieb. Allerdings: Um Cybersicherheit im Unternehmen dauerhaft zu verankern, muss man an verschiedenen Stellschrauben drehen – denn geschützt werden muss ja das gesamte Unternehmen, also Backend, Inhouse-IT und auch die Flotte. Cybersicherheit ist daher eine ganzheitliche Aufgabe, die das ganze Unternehmen betrifft. Eine Software allein reicht dafür nicht aus. Hin und wieder wird es aber so gesehen, dass mit der Einführung einer Software die Sache abgeschlossen ist – auch das ein Ergebnis der Studie. Um sich nachhaltig zu schützen, bedarf es allerdings regelmäßiger Updates, die Software muss an die sich ändernde IT-Umgebung angepasst werden und auch Mitarbeiter geschult werden. Investitionen in Cybersicherheit sind kein Sprint, sondern ein Marathonlauf. Das bedeutet nicht unbedingt immer sehr viele Maßnahmen, eher kommt es darauf an, entlang eines Plans zu arbeiten, der zu gut den Bedarfen der Organisation passt. Es gibt nicht immer eine „One Size Fits All“-Lösung.
Wie sieht die Investitionsbereitschaft der Unternehmen diesbezüglich aus?
Gilles Mabire: Die Logistikbranche muss mit sehr geringen Margen auskommen, sodass die Spielräume in vielen Unternehmen begrenzt sind. Insbesondere kleine und mittelständische Unternehmen sind von dieser Problematik betroffen, und sie machen den Großteil der Logistikbranche aus. Es ist also nicht verwunderlich, dass Investitionen in die Cybersicherheit eher zögerlich getätigt werden. Cybersicherheit muss aber für alle erschwinglich sein.
Welche Lösungen gibt es?
Mathias Dehm: Die Lösungen können von Unternehmen zu Unternehmen unterschiedlich ausfallen. Grundlage für eine Lösungsauswahl ist, dass mögliche Angriffswege identifiziert, Risken abgeschätzt werden, um danach die passende Lösung zu finden.
Eine mögliche Lösung ist die Nutzung von sogenannten Off-the-Shelf Softwarelösungen, die regelmäßig Softwareupdates und Security Patches bereitstellen. Ein weitere Lösung ist ein Security Operations Center, das Angriffe erkennt und überwacht, um darauf zu reagieren – sowohl für die Fahrzeug Flotte als auch für die unterstützenden Systeme. Gerade bei dem Installieren von Update hat die Studie Schwächen aufgezeigt: Viele Unternehmen verlassen sich auf den nächsten Werkstattbesuch und haben keine Kenntnis welche Softwareversionen auf ihren Fahrzeugen laufen.
Gibt es einheitliche Cybersicherheitsstandards, denen Transportunternehmen folgen sollten?
Mathias Dehm: Für die Sicherheit der firmeninternen Netzwerke empfiehlt sich die ISO 2700x. Schauen wir in Richtung Cybersecurity für das Fahrzeug, so hat in diesem Sommer die verantwortliche Arbeitsgruppe der UN Wirtschaftskommission (UN ECE) zum ersten Mal überhaupt ein Minimumstandard für die Cybersicherheit von Fahrzeugen verabschiedet. Den müssen Hersteller und Zulieferer bei der Typenzulassung zukünftig beachten – ein wichtiger Schritt für mehr Sicherheit. So wird sichergestellt, dass Cybersecurity bei der Entwicklung und Industrialisierung von Komponenten und Software berücksichtigt wird. Diese so genannte UN ECE WP.29 Regulierung wird ab Mitte 2022 schrittweise eingeführt und gilt ab Juli 2024 für alle neu zugelassenen Fahrzeuge in Europa. Allerdings gilt sie nicht weltweit, sondern nur erstmal in Europa und Japan. Es ist jedoch absehbar, dass andere wichtige Länder wie die USA und China ähnliche Regulierungen verabschieden.
Foto: Dr. Mathias Dehm, Leiter des Bereichs Forschung und Prozesse für Produktsicherheit und Gilles Mabire, Leiter der Geschäftseinheit Nutzfahrzeuge und Services und