Skip to content Skip to footer
Suche

Menu

Store

Ergebnisse werden geladen

PwCs Global Automotive Cyber Security Management System (CSMS) Survey 2022

Cybersicherheit setzt Automobilbranche unter Druck

Unser Experte für Fragen

Joachim Mohs ist Ihr Experte für Cyber-Sicherheit bei PwC Deutschland

Joachim Mohs
Partner und Global IM & Automotive Cyber Security & Privacy Lead bei PwC Deutschland
Tel.: +49 40 6378-1838
E-Mail

Das Ökosystem vernetzter Fahrzeuge wächst − damit auch die Angriffsfläche für Cyber-Bedrohungen

Die Automobilindustrie befindet sich im Umbruch: Sowohl der Boom alternativer Antriebsmöglichkeiten als auch die zunehmende Vernetzung von Fahrzeugen eröffnet produzierenden Unternehmen und Zulieferern neue Geschäftsmodelle. Ermöglicht durch zahlreiche neue digitale Features und Services von Herstellern und Drittanbietern, entwickelt sich das Auto vom reinen Transportmittel zum Lebens- und Arbeitsraum.

Diese Transformation hat starke Auswirkungen auf das Ökosystem, in dem sich das Fahrzeug bewegt. Es gilt, die Sicherheit und Funktionsfähigkeit dieses Ökosystems zu gewährleisten und aktiv zu steuern, damit nicht nur die Profitabilität der Automobilunternehmen geschützt wird, sondern vor allem auch die Gesundheit sämtlicher Verkehrsteilnehmer. Wenn beispielsweise ein Spurhalteassistent durch einen Denial-of-Service-Angriff blockiert wird, sind neben den Insassen auch nicht-digitale Fahrzeuge, Passanten oder andere Verkehrsteilnehmer gefährdet.

Dementsprechend hoch sind die Erwartungen an die Automobilindustrie, solche Risiken mit belastbaren Cyber Security Management Systemen (CSMS) zu minimieren. PwCs Global Automotive CSMS Survey 2022 geht der Frage nach, wie weit OEMs und Zulieferbetriebe bei der Implementierung dieser Systeme sind. Die grundlegenden Erkenntnisse: Hinsichtlich des Reifegrades gibt es zwischen den verschiedenen CSMS-Projekten noch große Abweichungen. Mit Blick auf die durchschnittliche CSMS-Implementierungsdauer von 30 Monaten steigt zudem der Handlungsdruck – Unternehmen müssen sich jetzt zeitnah mit den vertraglichen und gesetzlichen Anforderungen auseinandersetzen. Weil das CSMS zukünftig die gesamte Wertschöpfungskette der digitalen Ökosysteme schützt, deren Betriebskosten beeinflusst und die Compliance sicherstellt, wird es zu einem geschäftskritischen Aspekt für die Automobilindustrie.

Fest steht aber auch: Das CSMS ist nur ein Meilenstein auf dem Weg zu einer erfolgreichen digitalen Transformation. Unternehmen der Automobilindustrie müssen ihre Cyber-Initiativen viel stärker vernetzen und dabei die Cybersicherheit im Kern des betrieblichen Handelns verankern sowie das Cyber-Risikomanagement in die Unternehmenssteuerung einbetten. Die Strategie der digitalen Transformation muss auch für rein regulatorisch getriebene Projekte wegweisend sein.

„Ein CSMS bildet das Fundament für den Schutz vernetzter Fahrzeuge. Es gewährleistet nicht nur die Sicherheit der Fahrzeuginsass:innen, sondern senkt auch die Gefahr von Angriffen auf das digitale Ökosystem der Herstellerunternehmen.“

Joachim Mohs, Partner und Cyber-Security-Experte bei PwC Deutschland

Die Studie im Überblick

Cyberangriffe auf vernetzte Fahrzeuge sowie das gesamte Automotive-Ökosystem werden zunehmen

Um ein klares Bild vom Umsetzungsstand in der Branche zu erhalten, haben wir Vertreter:innen aus verschiedenen Bereichen der Automobilindustrie befragt. Dazu gehörten Fachleute aus herstellenden und zuliefernden Unternehmen, aber auch ausgewiesene Marktexpert:innen. Darüber, dass Cyberangriffe auf vernetzte Fahrzeuge sowie das gesamte Automotive-Ökosystem zunehmen werden, waren sich mit 100-prozentiger Zustimmung alle einig. Die Wirtschaftskommission für Europa (UNECE) reagierte unlängst mit einer eigenen Regelung (UNECE Regulation Nr. 155) auf diese Entwicklung. Diese sieht vor, dass herstellende Unternehmen zukünftig ein voll funktionales und auditiertes CSMS implementieren, um die Cybersicherheit ihre Fahrzeugflotte zu überwachen und zu steuern. Bereits ab Juli 2022 muss ein geprüftes CSMS bei den nationalen Zulassungsbehörden vorgewiesen werden, um neue Fahrzeugtypen registrieren zu können. Ab Juli 2024 ist dies sogar Pflicht, um neue Fahrzeuge produzieren zu können. Nahezu alle Umfrageteilnehmenden stimmten zu, dass dieser Schritt notwendig ist, um die Sicherheit neuer Fahrzeuge langfristig zu garantieren.

Implementierung eines CSMS – der Teufel steckt im Detail

Während alle Vertreter:innen der herstellenden Unternehmen angaben, bereits ein CSMS implementiert zu haben, stellten die meisten Befragten klar, dass diese noch nicht voll einsatzfähig seien. Rund zwei Drittel haben ihr CSMS-Design allerdings schon von einem Audit-Dienstleister prüfen lassen. Da in erster Linie die herstellenden Unternehmen von Regularien wie der UNECE Regulation Nr. 155 betroffen sind, diese aber nur bedingt Einfluss auf die Sicherheit individueller Bauteile haben, geben insgesamt 75 Prozent die entsprechenden Anforderungen über vertragliche Spezifikationen an die Zulieferbetriebe weiter. Damit übereinstimmend berichten genauso viele Zulieferer, dass sie bereits CSMS-spezifische vertragliche Anforderungen von ihren Kunden erhalten haben. Obwohl sich durch die Implementierung von Cyber-Sicherheitsmanagementsystemen klare Wettbewerbsvorteile für Zulieferbetriebe ergeben, liegen diese mit durchschnittlich 59 Prozent hinsichtlich des Fertigstellungsgrades initialer CSMS-Projekte noch hinter denen der herstellenden Unternehmen (71 %). Gerade in internationalen Märkten haben Unternehmen dabei mit fehlenden einheitlichen Standards zu kämpfen.

Infografik zur PwC-Studie „Global Automotive Cyber Security Management System Survey 2022“

Klar ist, dass sowohl OEMs als auch Zulieferbetriebe ihre Anstrengungen erhöhen müssen, um den Reifegrad und die Integration ihrer Sicherheitsmanagementsysteme zukünftig zu erhöhen. Während die Sicherheit der Verbraucher:innen obligatorisch ist, gilt es zukünftig auch vermehrt das gesamte, digitale Ökosystem rund um das vernetzte Fahrzeug vor Angriffen zu schützen. Denn diese Services ermöglichen erst den Aufbau neuer Geschäftsmodelle, mit denen herstellenden Unternehmen der entscheidende Schritt nach vorne gelingt.

Handlungsempfehlungen

Regularien antizipieren

In Hinblick auf die langwierige Umsetzung von CSMS-Projekten müssen herstellende und zuliefernde Betriebe jetzt reagieren, um auf kommende Richtlinien vorbereitet zu sein. Das erfordert sowohl die Prüfung gesetzlicher Vorgaben als auch die genaue Untersuchung vertraglicher Implikationen.

Digitale Transformation mit Geschäftsstrategie harmonisieren

Auch regulatorisch getriebene Projekte sollten immer der Business Transformation Strategy folgen. Nur die Unternehmen, die regulatorische Anforderungen ganzheitlich betrachten und mit einer echten Geschäftsmotivation verbinden, werden das Rennen der digitalen Transformation meistern.

Synergien nutzen

Aufgrund des hohen Kosten- und Zeitdrucks sollten Unternehmen die Strukturen bestehender Managementsysteme für die Gestaltung und Umsetzung ihres CSMS nutzen. Mit standardisierten Tools und Prozessen kann die Komplexität erheblich reduziert werden.

Erhöhung des Reifegrades

Für die frühzeitige Identifizierung von Risiken muss der Reifegrad des CSMS konstant evaluiert und für relevante Stakeholder transparent gemacht werden, so dass auch die Managementebene als auch wichtige Geschäftspartner zu jeder Zeit in den Entwicklungsprozess eingebunden sind.

Systeme auf Praxistauglichkeit testen

Um zu validieren, dass ihr System effektiv und ressourcenschonend im Betrieb funktioniert, sollten Unternehmen nach der Entwicklung eines CSMS umfangreiche Probeläufe durchführen.

Software priorisieren

Herstellende Unternehmen müssen klare Anforderungen an die Softwarearchitektur stellen und in ihre eigene Wertschöpfungskette einordnen, um die sichere Integration von OEM- und Zulieferersoftware zu gewährleisten.

„Automobilproduzenten werden neben Maschinenherstellern zu Software-Herstellern und Anbietern vernetzter Endgeräte. Ein hoher Reifegrad der Cybersicherheit schafft daher klare Wettbewerbsvorteile.“

Harald Wimmer,Partner und Global Automotive Leader, PwC Deutschland

Die Methodik

Im Rahmen von PwCs Global Automotive Cyber Security Management System Survey 2022 wurden Vertreter:innen von Automobilherstellern, Zulieferern und Marktexpert:innenen interviewt, die überwiegend in den Bereichen Produktsicherheit, Forschung und Entwicklung, Qualitätssicherung und Informationssicherheit tätig sind. Im März und April 2022 wurden Interviews von 60-minütiger Dauer mit einem webbasierten Fragebogen durchgeführt.

39 Prozent der Befragten arbeiten für Hersteller, 35 Prozent für Zulieferunternehmen, 26 Prozent sind als Marktexpert:innen tätig. Die meisten Teilnehmenden kommen aus der Managementebene (78 Prozent), 13 Prozent sind auf der Expert:innen- oder Mitarbeitendenebene (neun Prozent) anzusiedeln. Die Teilnehmenden sind in elf verschiedenen Ländern ansässig: Österreich, Tschechische Republik, Finnland, Frankreich, Deutschland, Italien, Japan, Südkorea, Schweden, Vereinigtes Königreich und die USA. Die Daten werden anonym behandelt und für Grafiken gerundet.

Follow us

Contact us

Joachim Mohs

Joachim Mohs

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 40 6378-1838

Harald Wimmer

Harald Wimmer

Global Automotive Leader, Partner, PwC Germany

Tel.: +49 221 2084-240

Hide