[datensicherheit.de, 07.05.2024] Mehr als die Hälfte (54%) der Automobil-, Transport- und Logistikunternehmen in Deutschland sollen im Jahr 2023 von Phishing-Angriffen betroffen gewesen sein – dies zeigt demnach die aktuelle Kaspersky-Studie zur Cyber-Sicherheit in der Automobilbranche unter IT-Entscheidungsträgern auf. Für 19 Prozent der Unternehmen stelle Phishing entsprechend auch die aktuell größte Sorge dar – noch vor mit vernetzten Fahrzeugen verknüpften Gefahren wie schlüssellosem Zugang und Diebstahl (11%).

Phishing größte Sorge der Automobilbranche

Laut einer Statista-Prognose soll die Anzahl täglich versendeter und empfangener E-Mails bis zum Jahr 2026 auf 392,5 Milliarden E-Mails pro Tag ansteigen. „Dies eröffnet Cyber-Kriminellen eine ständig wachsende Angriffsfläche – zumal die Effektivität von Phishing-E-Mails durch KI-Tools zunimmt.“

Die aktuelle Kaspersky-Studie zeige auf, dass Phishing mit 19 Prozent die größte Sorge der Automobilbranche bilde – gefolgt von Schadsoftware (17%). Erst dahinter folgten Bedenken zum schlüssellosen Zugang und Diebstahl vernetzter Fahrzeuge (12%) sowie deren Überwachung und Datendiebstahl (11%). „Diese Sorgen decken sich mit den tatsächlich erfolgten und entdeckten Angriffen im vergangenen Jahr, von denen 54 Prozent auf Phishing zurückgingen.“

42% der Automobil-Unternehmen beklagen Angriffe mit Malware

Weiterhin beklagten mehr als vier von zehn Unternehmen der Kaspersky-Studie Attacken mit Schadsoftware (42%) und jeweils rund ein Viertel Angriffe auf die Lieferkette (26%) sowie Ransomware (24%). Erst dahinter folgten Angriffe auf vernetzte Fahrzeuge über WLAN oder Bluetooth (18%), in Form von schlüssellosem Zugang und Diebstahl (17%) oder durch Überwachung und Datendiebstahl (15%).

„Einige dieser Angriffe, gerade Spam und Phishing oder der Klick auf eine Datei, die beispielsweise Ransomware installiert, ließen sich erfolgreich abwehren, wenn Mitarbeiter die Methoden und Techniken der Cyber-Kriminellen kennen würden und dafür sensibler wären.“ Wie die aktuelle Kaspersky-Studie zeigt, sei das Bewusstsein in der Automobil-, Logistik- und Transportbranche für adäquate Cyber-Sicherheitsschulungen und -trainings durchaus vorhanden. Denn immerhin 42 Prozent betrachteten die Weiterbildung von Mitarbeitern als zweitwichtigsten Faktor für die Cyber-Sicherheit des Unternehmens.

Unternehmen der Automobil-, Logistik- und Transportbranche zum Schutz vor Phishing aufgerufen

„Unternehmen der Automobil-, Logistik- und Transportbranche sollten schnellstmöglich in ihren Phishing-Schutz investieren“, unterstreicht Marco Preuß, „Deputy Director“ des „Global Research & Analysis Team“ bei Kaspersky. Er führt aus: „Neben moderner Software und Schutztechnologien, die auch durch Regularien wie NIS-2 vorgeschrieben sind, ist die Schulung und Sensibilisierung der Mitarbeiter diesbezüglich die wirksamste Maßnahme.“

Kaspersky-Empfehlungen für mehr Schutz in der Automobilbranche:

1. Vorsicht bei Nachrichten, die den Eindruck von Dringlichkeit erwecken!
2. Kein seriöses Unternehmen fordert per E-Mail persönliche Informationen oder Kontodaten an!
3. Nur auf Links in E-Mails klicken oder Anhänge öffnen, wenn der Absender wirklich vertrauenswürdig ist!
4. Ist ein Absender seriös, aber der Inhalt einer Nachricht erscheint seltsam, sollten sich Nutzer über einen alternativen Kommunikationskanal (zum Beispiel telefonisch) beim Absender der E-Mail Gewissheit über die Authentizität der erhaltenen Nachricht verschaffen!
5. In Nachrichten auf verdächtige Anzeichen wie fehlende persönliche Anrede, Rechtschreibfehler, seltsamen Satzbau oder einen schlechten Schreibstil achten!
6. Die Schreibweise der URL einer Webseite überprüfen und dabei auf Buchstaben beziehungsweise Zahlen achten (eine Eins {1} ersetzt beispielsweise oft den kleinen Buchstaben l, oder eine Null den Buchstaben O)!
7. Updates und Patches zeitnah installieren, da damit Sicherheitslücken geschlossen werden!
8. Grundlegende Cyber-Sicherheitsschulungen (wie z.B. „Kaspersky Security Awareness“) oder eine Simulation eines Phishing-Angriffs durchführen, um sicherzustellen, dass Mitarbeiter wissen, wie sie Phishing-E-Mails von echten E-Mails unterscheiden können! Eine umfassende Sicherheitslösung mit Anti-Phishing-Funktionen (wie z.B. „Kaspersky Endpoint Security for Business“) verwenden, um vor Phishing zu schützen!
9. Dedizierte E-Mail-Schutzlösungen (wie z,B. „Kaspersky Secure Mail Gateway“) implementieren, die Phishing-Nachrichten automatisch herausfiltern!
10. Unternehmen sollten möglichst auf eine Kombination aus technischen Lösungen, die sowohl IT als auch OT schützen, und Mitarbeiterschulungen setzen („Kaspersky Industrial CyberSecurity“ z.B. bietet hier den effektivsten Schutz vor Angriffen dieser Art)!

Weitere Informationen zum Thema:

kaspersky
Cybersicherheit in der Automobilbranche

statista
Prognose zur Anzahl der täglich versendeten und empfangenen E-Mails weltweit von 2021 bis 2026

[datensicherheit.de, 14.09.2021] „Die Automobil-Industrie ist stark von Ransomware-Angriffen bedroht“, so das Ergebnis einer weltweiten Untersuchung, welche CybelAngel nach eigenen Angaben „bei führenden Automobilunternehmen durchführte“. Die Analyse lege erschreckende Sicherheitsmängel innerhalb dieser Branche offen. Die Automobil-Industrie sei derzeit im Umbruch – die Branche müsse mit neuen Entwicklungen fit für die Zukunft werden: „Je innovativer die neuen Konzepte, desto besser können die Autobauer sich im ,Mobility‘-Markt positionieren.“ Forschung und Entwicklung sowie die Produktionsanlagen gerieten dadurch allerdings immer stärker in den Fokus Cyber-Krimineller.

CybelAngel untersuchte international führende Unternehmen der Branche

„Obwohl die Innovationen ihrer Entwickler für die Automobilbranche von immenser Bedeutung sind, ist die Sicherheitslage in vielen Unternehmen erschreckend.“ Daten, Entwicklungsunterlagen und Produktionsumgebungen seien nur unzureichend geschützt, zeige die Untersuchung, welche CybelAngel bei international führenden Unternehmen der Branche durchgeführt habe. Demnach sollen rund 215.000 ungeschützte Zugangsdaten online verfügbar sein. Die Cyber-Bedrohungen richteten sich zudem gegen 235.046 ungeschützte Anlagen und Hunderte von öffentlich zugänglichen Blaupausen von Motoren und Produktionsanlagen.
„Auf diese Weise gelangten bereits in der Vergangenheit Geschäftsgeheimnisse, personenbezogene Daten und andere hochsensible Informationen nach außen.“ Darüber hinaus seien Sicherheitslücken in der gesamten Lieferkette der Automobil-Industrie aufgedeckt worden. Die Analysten hätten im Rahmen ihrer Investigation ungeschützt zugängliche, vertrauliche Vereinbarungen, Baupläne sowie die Korrespondenz von Personalabteilungen gefunden.

CybelAngel-Untersuchung im ersten Halbjahr 2021

„CybelAngel führte die umfassende Untersuchung in den ersten sechs Monaten des Jahres 2021 bei weltweit führenden Automobilunternehmen durch.“ Ziel sei es gewesen, deren Cyber-Risiken und -Schwachstellen zu ermitteln. Gleichzeitig seien dabei Daten analysiert worden, welche ohne Authentifizierung öffentlich zugänglich seien. Diese seien auf File- und E-Mail-Servern, sowie in Datenbanken, Pastebins und IoT-Geräten gefunden worden. Ein Auszug aus den Ergebnissen laut CybelAngel:

• Bei einer Stichprobe unter 2,2 Millionen Mitarbeitern habe etwa jeder zehnte Mitarbeiter Anmeldedaten in öffentlich zugänglichen Umgebungen online preisgegeben.
• Unternehmen aus den Vereinigten Staaten von Amerika und Westeuropa seien am stärksten von offen zugänglichen Zugangsdaten betroffen gewesen. Diese Anmeldedaten stellten ein großes Risiko dar, da für 30 Prozent der Ransomware-Angriffe gestohlene, offengelegte oder wiederverwendete Anmeldedaten eingesetzt würden.
• Die Analysten hätten 26.322 ungeschützte Anlagen mit offenen Ports oder Protokollen gefunden, die sofort geschlossen oder genau überwacht werden müssten.
• Das bedeutendste Leck stamme von einer Industriedesignfirma, welche für die neue Fabrik eines führenden US-Autokonzerns verantwortlich sei. Bei dem Leck handele es sich offenbar um einen in China ansässigen Anbieter von Design-Dienstleistungen, welcher speziell für dieses Projekt beauftragt worden sei. Die auf das Jahr 2020 datierten Dokumente umfassten rund 200 Seiten mit Plänen, „in denen die Infrastruktur der Anlage und die Spezifikationen des Sicherheitssystems beschrieben sind“.
• Ein Hersteller habe in der Analyse mehrere Millionen Dateien in einem „AWS S3-“Bucket offengelegt. „Die Informationen umfassten geschäftliche Details, E-Mail-Austausch, Verträge, Rechnungen und technische Daten.“ Ein weiterer Autobauer habe gegen eine Geheimhaltungsvereinbarung (NDA) verstoßen: „Er legte Dokumente über die Lieferung von Stahl und anderen Rohstoffen an seine Konkurrenten offen und setzte sich damit einem rechtlichen Risiko aus.“

CybelAngel rät dringend, Risiken und ihre Folgen nicht zu unterschätzen

„Die Risiken, die von ungeschützten Daten ausgehen, können gar nicht hoch genug eingeschätzt werden. Neben Ransomware-Angriffen, Datenlecks, offengelegten Vermögenswerten und Zugangsdaten, besteht für Unternehmen die Gefahr des Diebstahls Geistigen Eigentums“, warnt Erwan Keraudy, „CEO“ von CybelAngel, in seiner Stellungnahme. Hinzu kämen Datendiebstahl, Wirtschaftsspionage und Betrug.
Bei der Preisgabe personenbezogener Daten von Mitarbeitern müssten Unternehmen zudem mit Geldstrafen in Millionenhöhe rechnen, „wenn sie gegen Vorschriften wie die DSGVO verstoßen“. Bei vertraulichen Informationen, beispielsweise Details eines Unternehmensverkaufs, könnte die Organisation, welche die Daten weitergegeben hat, „wegen Verstoßes gegen Geheimhaltungsvereinbarungen oder Datenschutzbestimmungen verklagt werden“. Im schlimmsten Fall scheitere dann das gesamten Übernahmegeschäft.

CybelAngel-CEO ruft auf, umgehend Daten zu sperren und Zugangsdaten zu schützen

„Der Automobil-Sektor ist für Hacker attraktiv, weil er lange, komplexe und vernetzte Lieferketten mit unterschiedlichen Cyber-Sicherheitsniveaus und damit Schwachstellen aufweist“, erläutert Keraudy.
Der vorliegende Bricht sollte ein Weckruf für die Automobil-Industrie sein, denn die Branche habe in puncto Sicherheit einen erheblichen Nachholbedarf: „Es ist notwendig, umgehend Maßnahmen zu ergreifen, um Daten zu sperren und Zugangsdaten zu schützen.“

Weitere Informationen zum Thema:

CybelAngel
White Papers / The Race Against External Threats in the Automotive Supply Chain

[datensicherheit.de, 24.07.2018] Geistiges Eigentum und Informationen über die Produktionsabläufe sind die wertvollsten Aktiv-Posten der meisten Unternehmen – gerade in Industrien mit großem Wettbewerb und hochentwickelter Technologie, wie vor allem in der Automobilbranche. Laut einer Meldung der „New York Times“ sollen nun vorübergehend knapp 47.000 solcher wertvollen Dateien von Automobilkonzernen im Umfang von 157 Gigabyte online zugänglich gewesen sein.

Ungeschützter Backup-Server – ohne Passwortschutz oder Zugriffsbeschränkungen

Aufgespürt worden sei das Leck mit betreffenden Daten von Chris Vickery, einem IT-Sicherheitsforscher, der bereits zuvor schon zahlreiche Datenpannen entdeckt haben soll.
Fündig geworden sei er in diesem Fall wohl auf einem ungeschützten Backup-Server – ohne Passwortschutz oder Zugriffsbeschränkungen! Auf diese Weise hätte jeder, der sich mit dem Server verbunden hatte, die gespeicherten Daten problemlos herunterladen können. Ob dies tatsächlich geschehen ist, sei derzeit noch unklar.

Daten in fremden Händen schwer zu schützen

Das grundlegende Problem hierbei sei: Wenn Sicherheitsforscher wie Vickery sensible Daten aufspüren können, könnten das auch Cyber-Kriminelle und staatlich geförderte Hacker.
Thomas Ehrlich, „Country Manager DACH“ bei Varonis: „Sicherlich kennen die Unternehmen den Wert ihrer Daten und investieren enorme Summen in den Schutz ihrer IT. Aber diese Datenschutzverletzung zeigt einmal mehr die Schwierigkeiten der Datensicherheit im eigenen Unternehmen und bei der Zusammenarbeit mit Partnern. Man kann nur das beschützen und sichern, was man sieht, und wenn die Daten in anderen Händen sind, wird es schwierig bis unmöglich einzugreifen.“

Restriktive Zugriffsrechte und Monitoring mit Nutzerverhaltensanalyse notwendig!

Gerade die umfangreichen Lieferketten und Partnerschaften im Automobilbau seien eine enorme Herausforderung. Trotzdem müsse sichergestellt sein, dass jeder Partner, jeder der in Berührung mit sensiblen und vertraulichen Daten kommt, entsprechende Maßnahmen treffen und einhalten müsse. Offensichtlich sei dies hier nicht der Fall gewesen.
„Deshalb sind restriktive Zugriffsrechte und ein entsprechendes, durchgängiges Monitoring mit intelligenter Nutzerverhaltensanalyse notwendig, um schnell bei auffälligem Verhalten entsprechende Maßnahmen einzuleiten und seine Daten zu schützen“, kommentiert Ehrlich.

Weitere Informationen zum Thema:

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen

datensicherheit.de, 29.06.2018
Wenn über Drittanbieter-Tools die eigene Datensicherheit ausgehebelt wird

datensicherheit.de, 28.06.2018
Ticketmaster: Schwerer IT-Sicherheitsvorfall bei Ticketvertriebs-Portal / Cyber-Kriminelle nehmen gerne schwächstes Glied der Kette ins Visier

[datensicherheit.de, 21.11.2014] Das vernetzte Automobil stellt eine ganze Branche vor neue Herausforderungen. Mit neuen Geschäftsmodellen wollen sich Hersteller und Zulieferer vom Wettbewerb unterscheiden, denn das Wettrennen um die besten Plätze in diesem Markt hat längst begonnen. Neben Chancen bergen die neuen Techniken aber auch Risiken und offene Fragen, vor allem mit Blick auf Datensicherheit, dem Eigentum und der Verwendung von Daten sowie Datenschutz.

Auf der „Connected Car and Data Privacy Conference“ des Prüfungs- und Beratungsunternehmens Ernst & Young im Sofitel Kurfürstendamm Hotel Berlin diskutieren daher Vertreter unterschiedlicher Branchen über die Chancen und Risiken des vernetzten Fahrzeugs. Dabei kommen fachübergreifend die Perspektiven von Experten aus der Telekommunikations- und Technologiebranche sowie der Automobilindustrie, Versicherung und Logistik auf neue technische, wirtschaftliche und rechtliche Entwicklungen rund um das vernetze Fahrzeug zusammen.

Weitere Informationen zur Agenda und Anmeldung finden Sie hier: http://www.cvent.com/events/connected-car-and-data-privacy-conference/event-summary-0874c055e75e4d138dd7477861f4ec16.aspx?i=dbeb86cd-86d9-4366-a5b9-4a392702c974