Die Biden-Regierung möchte die Lasten der Cybersicherheit von Einzelpersonen, kleinen Unternehmen und lokalen Regierungen auf Autohersteller und andere große Unternehmen verlagern.
Die nationale Cybersicherheitsstrategie des Weißen Hauses fordert „Organisationen, die am fähigsten und am besten positioniert sind, Risiken zu reduzieren“, auf, diese Verantwortung zu übernehmen.
Das Endergebnis wird einigen Branchenbeobachtern zufolge die Cybersicherheit für zunehmend softwareabhängige Autos weitgehend freiwillig machen. Denn die Strategie des Weißen Hauses läuft auf Empfehlungen und nicht auf Mandate hinaus. Da jedoch immer ausgefeiltere softwaredefinierte Fahrzeuge auf den Markt kommen, fordert die Automobilindustrie, dass die Verantwortung für die Cybersicherheit von Unternehmen, Branchen und Regierungsbehörden in diesem sich entwickelnden Sektor geteilt werden sollte.
„Fahrzeuge integrieren sich zunehmend in ein breiteres Ökosystem vernetzter Infrastruktur, Geräte und Funktionen – viele davon liegen außerhalb der Kontrolle der Automobilhersteller selbst“, sagt Hilary Cain, Vizepräsidentin für Technologie, Innovation und Mobilitätspolitik bei der Alliance for Automotive Innovation , sagte in einer Erklärung. Die Allianz ist ein Wirtschaftsverband, der die Interessen der Automobilhersteller und ihrer Zulieferer vertritt.
Softwaredefinierte Fahrzeuge wie Smartphones sammeln Benutzerdaten und bieten Funktionen, die drahtlos aktualisiert werden können. Zu diesen Funktionen gehören digitale Schlüssel, mit denen Fahrer ihre Autos über Mobiltelefone starten können, und Systeme, die die Herz- und Atemfrequenz der Benutzer überwachen.
Regulierung nötig?
Die Cybersicherheit im Automobilbereich unterliegt in den USA einem freiwilligen System. Die NHTSA veröffentlichte ihr Dokument „Cybersecurity Best Practices for the Safety of Modern Vehicles“ erstmals im Jahr 2016. Diese Standards wurden zuletzt im Jahr 2022 aktualisiert, als die Behörde die Automobilhersteller warnte, sich vor der möglichen Manipulation von Daten zu schützen, die von den intern verwendeten Lidar- und Radarsensoren erzeugt werden -Fahren und fortschrittliche Fahrerassistenzsysteme.
Die Behörde forderte die Autohersteller auf, sich vor Lidar- und Radarstörungen, GPS-Spoofing, entfernten Verkehrszeichenmodifikationen, Kamera-Blenden und Hacking-Methoden zu schützen, um künstliche Intelligenz in diese Systeme zu bringen, um Daten mit falsch positiven Ergebnissen zu erzeugen.
Wenn es um die Cybersicherheit im Automobilbereich geht, braucht die US-Automobilindustrie Vorschriften statt Empfehlungen, sagte Moshe Shlisel, CEO von GuardKnox, einem israelischen Unternehmen für Cybersicherheit im Automobilbereich.
„In Amerika sind diesbezügliche Vorschriften derzeit nicht verpflichtend“, sagte Shlisel.
Shlisel sagte, dass US-Autohersteller die Anwendungen, die sie in ihre Fahrzeuge einbauen, nicht ausreichend prüfen.
Die USA sollten der Europäischen Union und den 58 Mitgliedern der Wirtschaftskommission der Vereinten Nationen für Europa folgen, die strengere Vorschriften erlassen haben, sagte Shlisel.
Die Datenschutz-Grundverordnung der EU schützt personenbezogene Daten natürlicher Personen. Die Verordnungen 155 und 156 der Kommission regeln die Cybersicherheitssysteme und Protokolle für Software-Updates von Fahrzeugen. Die Vorschriften verlangen von Automobilherstellern, die Softwaresysteme ihrer Fahrzeuge und die persönlichen Daten ihrer Kunden vor Cyberbedrohungen zu schützen und Prozesse zur Dokumentation und Verwaltung von Cyberangriffen zu schaffen.
Historisch gesehen waren Hardware und Software im Geschäftsmodell der Automobilindustrie weitgehend miteinander verflochten. Aber Autohersteller wechseln zu einem Software-as-a-Service-Modell für Funktionen in ihren Fahrzeugen, etwa solche, die künstliche Intelligenz nutzen, um die Komforteinstellungen eines Fahrers zu lernen oder einen Kunden mit Live-Verkehrsinformationen zu versorgen, um potenziell Milliardenumsätze zu erschließen.
Milliarden stehen auf dem Spiel
Laut dem Beratungsunternehmen McKinsey & Co. wird der Markt für Automobilsoftware weltweit bis 2031 von 31 Milliarden US-Dollar im Jahr 2019 auf 80 Milliarden US-Dollar anwachsen.
In den letzten Jahren haben Autohersteller Funktionen eingeführt, die Kunden gegen Aufpreis in ihre Fahrzeuge integrieren können. Dazu gehören Fahrerassistenzsysteme und Infotainmentsysteme, die Musik- und Videostreaming integrieren.
GuardKnox und andere Unternehmen dieser Art haben ebenfalls ein begründetes Interesse an der aufstrebenden Automobil-Cybersicherheitsbranche.
Im Jahr 2022 hatte dieser globale Markt einen Wert von 3,2 Milliarden US-Dollar. Laut Market.us, einem Marktforschungsunternehmen, soll dieser Wert bis 2032 auf 22,2 Milliarden US-Dollar anwachsen.
„Mangel an Einzelheiten“
Die Regierung sollte der Autoindustrie Cybersicherheitsstandards auferlegen, sagte Michael Brooks, Chefberater des Center for Auto Safety, einer Interessenvertretung für Automobilverbraucher in Washington, D.C. Obwohl die Leitlinien der Biden-Regierung die Voraussetzungen für eine kooperative Partnerschaft zwischen der US-Regierung und Branchenakteuren schaffen, seien sie alles andere als endgültig, sagte Brooks.
„Es mangelt unglaublich an Einzelheiten. Sie schlagen nicht zumindest einen Cybersicherheitsstandard oder verbesserte Präventionsstandards vor“, sagte Brooks. „Es gibt keine Richtlinien zu Maßnahmen, die ergriffen werden müssen, um Fahrzeuge und alle Arten anderer Transportmittel speziell vor diesen Cyberbedrohungen zu schützen.“
Amerikanische Autohersteller wollen nicht gezwungen werden, zu bescheinigen, dass sie einen strengen Normenkodex einhalten, und sie sind gegen die Regulierung der Cybersicherheit im Automobilbereich durch das US-Verkehrsministerium, sagte Brooks.
Brian Weiss, Sprecher der Alliance for Automotive Innovation, sagte, die Organisation unterstütze die freiwilligen Cybersicherheitsstandards, die NHTSA und das Automotive Information Sharing and Analysis Center, eine andere Handelsgruppe, entwickelt haben.
„Da die Cyberbedrohung dynamisch ist und sich ständig weiterentwickelt, haben wir Bedenken hinsichtlich präskriptiver und unflexibler Regulierungsstandards. Ein öffentlich-privates Partnerschaftsmodell gepaart mit freiwilliger Anleitung ist der bevorzugte Weg“, sagte er.
Und auch wenn die USA nicht zu den Unterzeichnern der UN-Cybersicherheitsvorschriften gehören, die im Juli 2024 für alle Fahrzeuge in Kraft treten, wird von den amerikanischen Autoherstellern erwartet, dass sie diese einhalten.
„Das Richtige“ für den Kunden
Kevin Tierney, Chief Cybersecurity Officer von General Motors, sagte, der größte Autohersteller des Landes sei der Ansicht, dass Unternehmen, die Produkte auf den Markt bringen, für deren Sicherheit verantwortlich sein sollten.
„GM hat seit langem eine führende Position eingenommen und in Cybersicherheit investiert, ohne die Kosten auf den Verbraucher abzuwälzen“, sagte Tierney in einer Erklärung gegenüber Automotive News. „Wir werden in diesem Bereich weiterhin führend sein und das Richtige für unsere Kunden tun.“
Tierney ist Mitglied eines bundesstaatlichen Beratungsausschusses, der Leitlinien zur Verbesserung der Cybersicherheit des Landes bereitstellt. Er ist außerdem stellvertretender Vorsitzender des Automotive Information Sharing and Analysis Center, bekannt als Auto-ISAC, einer Gruppe von Automobilherstellern, die Informationen über potenzielle Cyberbedrohungen, Schwachstellen und Vorfälle austauscht.
Stellantis betrachtet die Cybersicherheit im Automobilbereich als ein eher gemeinschaftliches Unterfangen.
„Stellantis ist ein kundenorientiertes Unternehmen und wir nehmen die Cybersicherheit unserer Produkte und Abläufe sehr ernst“, sagte ein Sprecher. „Die kooperative Interaktion zwischen mehreren interessierten Parteien kann zu robusten Cybersicherheitsstrategien führen.“
Ford, Hyundai und Toyota bezeichnet Automobilnachrichten zur Allianz für Automobilinnovation.