Aktuelles, Branche - geschrieben von am Dienstag, September 14, 2021 21:33 - noch keine Kommentare

CybelAngel-Studie als Weckruf: Automobil-Industrie im Fokus Cyber-Krimineller

Entwicklungsdaten und Produktionsanlagen laut CybelAngel-Erkenntnissen nicht ausreichend geschützt

[datensicherheit.de, 14.09.2021] „Die Automobil-Industrie ist stark von Ransomware-Angriffen bedroht“, so das Ergebnis einer weltweiten Untersuchung, welche CybelAngel nach eigenen Angaben „bei führenden Automobilunternehmen durchführte“. Die Analyse lege erschreckende Sicherheitsmängel innerhalb dieser Branche offen. Die Automobil-Industrie sei derzeit im Umbruch – die Branche müsse mit neuen Entwicklungen fit für die Zukunft werden: „Je innovativer die neuen Konzepte, desto besser können die Autobauer sich im ,Mobility‘-Markt positionieren.“ Forschung und Entwicklung sowie die Produktionsanlagen gerieten dadurch allerdings immer stärker in den Fokus Cyber-Krimineller.

CybelAngel untersuchte international führende Unternehmen der Branche

„Obwohl die Innovationen ihrer Entwickler für die Automobilbranche von immenser Bedeutung sind, ist die Sicherheitslage in vielen Unternehmen erschreckend.“ Daten, Entwicklungsunterlagen und Produktionsumgebungen seien nur unzureichend geschützt, zeige die Untersuchung, welche CybelAngel bei international führenden Unternehmen der Branche durchgeführt habe. Demnach sollen rund 215.000 ungeschützte Zugangsdaten online verfügbar sein. Die Cyber-Bedrohungen richteten sich zudem gegen 235.046 ungeschützte Anlagen und Hunderte von öffentlich zugänglichen Blaupausen von Motoren und Produktionsanlagen.
„Auf diese Weise gelangten bereits in der Vergangenheit Geschäftsgeheimnisse, personenbezogene Daten und andere hochsensible Informationen nach außen.“ Darüber hinaus seien Sicherheitslücken in der gesamten Lieferkette der Automobil-Industrie aufgedeckt worden. Die Analysten hätten im Rahmen ihrer Investigation ungeschützt zugängliche, vertrauliche Vereinbarungen, Baupläne sowie die Korrespondenz von Personalabteilungen gefunden.

CybelAngel-Untersuchung im ersten Halbjahr 2021

„CybelAngel führte die umfassende Untersuchung in den ersten sechs Monaten des Jahres 2021 bei weltweit führenden Automobilunternehmen durch.“ Ziel sei es gewesen, deren Cyber-Risiken und -Schwachstellen zu ermitteln. Gleichzeitig seien dabei Daten analysiert worden, welche ohne Authentifizierung öffentlich zugänglich seien. Diese seien auf File- und E-Mail-Servern, sowie in Datenbanken, Pastebins und IoT-Geräten gefunden worden. Ein Auszug aus den Ergebnissen laut CybelAngel:

  • Bei einer Stichprobe unter 2,2 Millionen Mitarbeitern habe etwa jeder zehnte Mitarbeiter Anmeldedaten in öffentlich zugänglichen Umgebungen online preisgegeben.
  • Unternehmen aus den Vereinigten Staaten von Amerika und Westeuropa seien am stärksten von offen zugänglichen Zugangsdaten betroffen gewesen. Diese Anmeldedaten stellten ein großes Risiko dar, da für 30 Prozent der Ransomware-Angriffe gestohlene, offengelegte oder wiederverwendete Anmeldedaten eingesetzt würden.
  • Die Analysten hätten 26.322 ungeschützte Anlagen mit offenen Ports oder Protokollen gefunden, die sofort geschlossen oder genau überwacht werden müssten.
  • Das bedeutendste Leck stamme von einer Industriedesignfirma, welche für die neue Fabrik eines führenden US-Autokonzerns verantwortlich sei. Bei dem Leck handele es sich offenbar um einen in China ansässigen Anbieter von Design-Dienstleistungen, welcher speziell für dieses Projekt beauftragt worden sei. Die auf das Jahr 2020 datierten Dokumente umfassten rund 200 Seiten mit Plänen, „in denen die Infrastruktur der Anlage und die Spezifikationen des Sicherheitssystems beschrieben sind“.
  • Ein Hersteller habe in der Analyse mehrere Millionen Dateien in einem „AWS S3-“Bucket offengelegt. „Die Informationen umfassten geschäftliche Details, E-Mail-Austausch, Verträge, Rechnungen und technische Daten.“ Ein weiterer Autobauer habe gegen eine Geheimhaltungsvereinbarung (NDA) verstoßen: „Er legte Dokumente über die Lieferung von Stahl und anderen Rohstoffen an seine Konkurrenten offen und setzte sich damit einem rechtlichen Risiko aus.“

CybelAngel rät dringend, Risiken und ihre Folgen nicht zu unterschätzen

„Die Risiken, die von ungeschützten Daten ausgehen, können gar nicht hoch genug eingeschätzt werden. Neben Ransomware-Angriffen, Datenlecks, offengelegten Vermögenswerten und Zugangsdaten, besteht für Unternehmen die Gefahr des Diebstahls Geistigen Eigentums“, warnt Erwan Keraudy, „CEO“ von CybelAngel, in seiner Stellungnahme. Hinzu kämen Datendiebstahl, Wirtschaftsspionage und Betrug.
Bei der Preisgabe personenbezogener Daten von Mitarbeitern müssten Unternehmen zudem mit Geldstrafen in Millionenhöhe rechnen, „wenn sie gegen Vorschriften wie die DSGVO verstoßen“. Bei vertraulichen Informationen, beispielsweise Details eines Unternehmensverkaufs, könnte die Organisation, welche die Daten weitergegeben hat, „wegen Verstoßes gegen Geheimhaltungsvereinbarungen oder Datenschutzbestimmungen verklagt werden“. Im schlimmsten Fall scheitere dann das gesamten Übernahmegeschäft.

CybelAngel-CEO ruft auf, umgehend Daten zu sperren und Zugangsdaten zu schützen

„Der Automobil-Sektor ist für Hacker attraktiv, weil er lange, komplexe und vernetzte Lieferketten mit unterschiedlichen Cyber-Sicherheitsniveaus und damit Schwachstellen aufweist“, erläutert Keraudy.
Der vorliegende Bricht sollte ein Weckruf für die Automobil-Industrie sein, denn die Branche habe in puncto Sicherheit einen erheblichen Nachholbedarf: „Es ist notwendig, umgehend Maßnahmen zu ergreifen, um Daten zu sperren und Zugangsdaten zu schützen.“

Weitere Informationen zum Thema:

CybelAngel
White Papers / The Race Against External Threats in the Automotive Supply Chain



Kommentieren

Kommentar

Theiners Talk

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung