IT-Herausforderung Cybersecurity – worauf kommt es jetzt an?

00:00:00: (Dynamische Musik)

00:00:01: Nagel Tiedemann, was mich bewegt.

00:00:07: (Dynamische Musik)

00:00:08: Eine neue Folge "Was mich bewegt", herzlich willkommen,

00:00:17: liebe Zuhörer*innen und hallo Pascal.

00:00:20: Hi, Annik und auch an ...

00:00:22: Hallo an alle, die Zuhören.

00:00:23: Ich hab vermisst, dass du eine Woche gesagt hast.

00:00:26: Das hat mich gerade irritiert schon fast.

00:00:29: Ist das jetzt sozusagen unsere Standardfloskel,

00:00:33: die über die Grenzen dieses Podcasts berühmt und berüchtigt ist?

00:00:38: Über die Grenzen des Podcasts weiß ich nicht.

00:00:40: Wenn wir innerhalb der engen Grenzen dieses Podcasts

00:00:43: uns beide denken, ist das eine Floskel, die wir häufig benutzen.

00:00:47: Aber du brauchst auch in dem Bereich immer einen gewissen Wiedererkennungswert.

00:00:51: Du hast da, wenn du dir keine Ahnung,

00:00:53: irgendwelche TikTok-Toker oder wie "Lord of Instagram" anguckst,

00:00:57: die ihre Sätze, die sie immer sagen.

00:00:59: Ich würd sagen, da müssen wir jetzt beibleiben.

00:01:02: Auf jeden Fall haben wir das Wort TikTok in diesem Podcast erwähnt.

00:01:05: Wir sind auf jeden Fall ganz vorne mit dabei.

00:01:08: Dann sage ich an dieser Stelle eine neue Woche und eine neue Folge,

00:01:12: "Was mich bewegt". - Danke.

00:01:14: Ich freu mich auf das Thema, was wir heute diskutieren.

00:01:17: Was ist es denn, Annik? - Das wird nämlich ganz spannend sein.

00:01:20: Weil es ist ...

00:01:22: Erst mal ganz grundsätzlich ein Thema,

00:01:25: was wir ja an verschiedenen Stellen in diesem Podcast

00:01:28: auch schon mal angesprochen haben.

00:01:30: Wir haben uns Anfang des Jahres oder Ende des Jahres,

00:01:33: Ende letzten Jahres,

00:01:35: auch ein bisschen über das Thema IT-Trends mal unterhalten.

00:01:38: Was steht denn 2024 eigentlich im Lastenheft der Automote

00:01:42: und auch IT-Verantwortlichen in der Automobilindustrie?

00:01:46: Und da ist natürlich ein Thema dabei, was sehr wichtig ist,

00:01:52: auf das wir gleichkommen wollen.

00:01:54: Aber erst einmal möchte ich ganz gerne noch mal

00:01:57: konkret auf diese IT-Trends zurückkommen.

00:02:00: Nämlich auf die IT-Trends-Studie von Capgemini,

00:02:03: die wir jedes Jahr auch in unseren Beiträgen ein bisschen rekorieren.

00:02:07: Und wir haben da neulich eine noch mal exklusive Auswertung

00:02:11: für die Automotive-Branche bekommen.

00:02:13: Und da 112 Führungskräften aus IT und Business,

00:02:16: die eben zu diesen IT-Trends für dieses Jahr noch mal befragt wurden.

00:02:20: Und da erst mal ganz grundsätzlich,

00:02:22: bevor wir jetzt wirklich zu unserem spezifischen Thema kommen,

00:02:25: was ich jetzt noch nicht erwähnen möchte an der Stelle,

00:02:28: aber wir werden gleich viel darüber diskutieren.

00:02:31: Ist zum Beispiel weiterhin natürlich der, sage ich mal,

00:02:34: steigende Kostendruck und die steigende Verantwortung,

00:02:37: beziehungsweise die steigende Pflicht zu schauen,

00:02:40: wo kann ich wirklich aktuell noch investieren?

00:02:43: Was sind wirklich die Painpoints, die wichtigen Bereiche,

00:02:46: wo ich mein, ja, immer knapp, werdenes Geld investieren muss?

00:02:50: Wir haben immer, viele in der Branche leiden immer noch

00:02:53: unter der Energiekrise, unter Inflationen,

00:02:56: die steigende Konkurrenz auch aus China,

00:02:58: auch was natürlich die Preise für Fahrzeuge und so anbelangt.

00:03:01: Und einfach die grundsätzliche konjunkturelle Unsicherheit

00:03:04: sind alles Faktoren, die eben auf dieser Trends beziehungsweise

00:03:08: auf diesen Investitionsfokus,

00:03:11: den die IT und Automotive verantwortlich entlegen müssen,

00:03:14: sich stark auswirkt und man eben genau gucken muss,

00:03:17: wo gibt man aktuell wirklich Geld aus?

00:03:20: Und das ist zum Beispiel in den Bereichen Software-IT-Lösungen

00:03:23: für das Software-define-Vehikel, also direkt auch Lösungen,

00:03:27: die dann vor dem Kunden relevant werden.

00:03:30: Da geht es natürlich auch so ein bisschen um das Thema Compliance,

00:03:34: also Thema Datenschutz-Datensicherheit

00:03:36: als wichtiger Erfolgsfaktor für die connected services,

00:03:40: die dann vor Kunde gehen.

00:03:41: Da geht es um User-Experience,

00:03:43: um die wichtigen Over-the-Air-Updates,

00:03:46: mit denen natürlich auch neue Funktionen,

00:03:48: neu connected services auf das Fahrzeug eingespielt werden.

00:03:51: Und was eben auch dabei rauskam, ist,

00:03:54: dass neben eben solchen wirklich

00:03:56: Fahrzeug- und produktbezogenen Lösungen

00:03:59: es auch natürlich weiterhin um die Modersisierung

00:04:01: von IT-Landschaften geht.

00:04:03: Aber die muss eben deutlich zielgenauer werden.

00:04:06: Also man muss wirklich ganz genau schauen,

00:04:08: was wirklich aktuell dringend ist, was wichtig ist.

00:04:11: Und man kann sozusagen nicht mehr das Geld mit der Gießkanne

00:04:14: über alle Bereiche ausschütten,

00:04:17: sondern man muss wirklich zielgenau,

00:04:19: spezifisch gucken auf die bestimmten Bereiche,

00:04:21: die auch in einer relativ kurzen Zeit vielleicht

00:04:24: auch ein Erfolg versprechen.

00:04:26: Und ein Thema dabei, und das ist sicherlich das,

00:04:29: was wir heute ein bisschen breiter diskutieren wollen,

00:04:32: ist natürlich auch die Cybersecurity, das Thema Sicherheit.

00:04:35: Ich habe es eben schon ein bisschen angedeutet.

00:04:37: Thema Datenschutz-Datensicherheit, das ist ein Aspekt.

00:04:40: Aber ganz grundsätzlich gilt es,

00:04:43: und das ist einer der Aussagen der Verantwortlichen,

00:04:46: dass dieses Thema wirklich auch die Agenten dieses Jahr dominiert.

00:04:49: Es geht um Zero Trust Ansätze, es geht um Schutz vor KI-gesteuerten Angriffen,

00:04:55: eine ganz neue Form, ein ganz neues Level von Cybergefahren,

00:04:59: die da auf die Branche zukommen.

00:05:00: Dazu haben wir übrigens auch,

00:05:01: falls ihr das interessiert, liebe Zugehörer,

00:05:03: in ein Artikel auf Automotive IT, ein relativ umfangreichen,

00:05:08: jetzt vor einer Woche online gebracht,

00:05:11: wo es auch noch mal ganz konkret auch um das Thema KI

00:05:16: für die Cybersecurity geht, also nicht nur,

00:05:19: was für Gefahren dadurch entstehen,

00:05:21: durch KI-gesteuerte Angriffe, sondern auch,

00:05:23: wie kann KI helfen, sich vor Cyber-Angriffen zu schützen?

00:05:27: Also da gibt es natürlich irgendwie,

00:05:29: gibt es zwei Seiten der Medaille bei dem Thema.

00:05:32: Und natürlich auch ganz grundsätzlich ein Thema der Verantwortlichen

00:05:36: ist das Thema Schutz vor Bedrohung durch IoT-Divices,

00:05:39: die ja auch in der Zahl,

00:05:41: sowohl in Produktionen, Logistik als natürlich auch das Fahrzeug

00:05:44: selbst am Ende des Tages eben zunimmt.

00:05:47: Also das ist eines der entscheidenden Themen

00:05:50: für die Verantwortlichen dieses Jahr.

00:05:53: Wir hatten es ja auch in unserer Voraussicht Anfang des Jahres

00:05:56: auch schon mal mit drin gehabt.

00:05:57: Und es ist eigentlich ein Thema,

00:05:58: was uns natürlich in der Branche ständig begleitet.

00:06:01: Und wie gesagt, in diesem Jahr nochmal,

00:06:05: auch in einem anderen Bereich, noch mal ganz besonders wichtig.

00:06:09: Ja, absolut. Wir haben uns ja dann in der Vergangenheit

00:06:12: auch schon drüber unterhalten.

00:06:13: Und ich habe es, glaube ich, an der Stelle auch schon mal gesagt,

00:06:16: wir haben ja auch als Begleiter der Branche

00:06:18: durchaus den Eindruck gewinnen können,

00:06:21: dass man da in den letzten ein, zwei Jahren auch deutlich offener geworden ist,

00:06:25: drüber zu sprechen.

00:06:26: Ich glaube, wenn man so ein bisschen auch festgestellt hat,

00:06:28: dass das einfach eine Branche weite

00:06:31: oder vielleicht sogar gesamtgesellschaftliche Anstrengung werden muss.

00:06:35: Weil jeder, der da nur für sich irgendwo alleine

00:06:39: das Ganze seiner Cybersecurity Probleme damit sich ausmacht,

00:06:42: das wird in Zukunft nicht mehr funktionieren.

00:06:45: Sondern da muss es natürlich entsprechende Frühwarnsysteme geben,

00:06:48: da muss es auch den Austausch der Unternehmen untereinander geben,

00:06:51: um das einfach als Branche an sich abfedern zu können.

00:06:55: Da geht es ja längst nicht mehr nur einfach um ein einziges Unternehmen,

00:07:00: was das wie gesagt irgendwie mit sich ausmachen muss.

00:07:02: Da geht es ja einfach um eine ganze Branche,

00:07:04: die, und das hast du gerade gesagt,

00:07:06: die ist natürlich mit immer mehr Einfalstoren konfrontiert ist.

00:07:10: Nicht einfach nur, weil die Technologien auch der Angriff ist,

00:07:13: ich habe gerade gesagt, Stichwort KI,

00:07:15: sondern auch weil natürlich die Einfalstore in der Produktion

00:07:19: immer mehr werden, weil immer mehr Anlagen angeschlossen werden.

00:07:23: Andi IT, das Thema IT OT Convergence

00:07:26: ist irgendwie für jemanden, der mit Cybersecurity unterwegs ist,

00:07:29: immer eines der schwierigsten, weil es zum Teil auch dann

00:07:33: ja einfach angeschlossen an die IT Dinge werden,

00:07:37: die vielleicht auch dem Cybersecurity verantwortlichen

00:07:40: oder den IT-Verantwortlichen gar nicht so bewusst sind,

00:07:43: was alles schon längst eigentlich am Netz hängt.

00:07:46: Also ganz, ganz schwierige Gemengelage.

00:07:48: Und eines davon, Janik habe ich mir jetzt auch noch mal rausgepickt,

00:07:51: weil es natürlich vielleicht auch für viele,

00:07:53: die uns hören, die vielleicht gar nicht so hart aus einem IT-Fach kommen,

00:07:59: sondern vielleicht eher einfach an der Automobilindustrie

00:08:01: und am Thema Fahrzeug interessiert sind,

00:08:03: ist natürlich einfach das Thema Fahrzeug selbst.

00:08:05: Also Cybersecurity im Connected Car.

00:08:09: Deswegen jetzt gerade auch aktuell wieder ein Thema,

00:08:12: weil aktuell eine neue Richtlinie greift,

00:08:18: nämlich komplizierter Name, Unicy WP29R155.

00:08:24: Ich möchte es aber vorlesen,

00:08:25: einfach weil Regularien so viel Spaß machen.

00:08:28: Das ist die Proposal for a new UN Regulation

00:08:31: on Uniform Provisions concerning the approval of vehicles

00:08:34: with regards to Cybersecurity and Cybersecurity Management System.

00:08:38: Worum geht es da?

00:08:41: Ist übrigens auch nicht ganz neu.

00:08:42: Ist nämlich seit 2022 in der EU schon in Kraft für

00:08:46: zu dem Zeitpunkt dann ab oder ab dem Zeitpunkt

00:08:49: neu entwickelte Fahrzeuge.

00:08:51: Ab diesem Jahr, und das ist jetzt gerade wieder so der Aufhänger,

00:08:53: weswegen auch viele Menschen damit vielleicht aktuell

00:08:55: wieder ein bisschen was anfangen können,

00:08:57: ist spätestens seit diesem Jahr

00:08:59: eine Schonfrist für Produktion älterer Modelle

00:09:03: jetzt ausgelaufen, die ebenfalls was vorweisen müssen,

00:09:07: nämlich ein Cybersecurity Management System,

00:09:10: muss von Herstellern nachgewiesen werden,

00:09:12: dass das sozusagen direkt schon, man könnte sagen,

00:09:14: Security by Design im Fahrzeugentwicklungsprozess

00:09:17: mitgedacht ist.

00:09:18: Da geht es um Risikomanagement, da geht es um Updates,

00:09:21: vor allem der Fahrzeug um ein Update Management.

00:09:25: Da geht es um Maßnahmen zur Risikominimierung

00:09:27: im Angriffsfall.

00:09:29: All das müssen Hersteller jetzt für Modelle,

00:09:32: für Fahrzeuge nachweisen, dass das vorhanden ist,

00:09:34: damit diese Fahrzeuge zugelassen werden dürfen.

00:09:38: Und deswegen jetzt gerade noch mal so ein kleiner Aufräger.

00:09:42: Aufräger war die Nummer vor zwei Jahren schon,

00:09:45: weil die Branche natürlich gesagt hat,

00:09:46: boah, wir haben überhaupt gar keine Zeit eigentlich,

00:09:48: das jetzt vernünftig umzusetzen.

00:09:49: Ich ende mich da noch dran, das war 2021, 2022

00:09:52: wirklich ein heißes Thema, weil das sehr, sehr schnell,

00:09:55: sehr, sehr streng kam.

00:09:57: Jetzt ist die Schohenfrist eben auch für ältere Modelle abgelaufen.

00:10:00: Das heißt, zum Beispiel Volkswagen wird auch aus diesen Gründen,

00:10:04: zum Beispiel den Up nicht mehr weiter produzieren können.

00:10:06: Die Produktion vom Up ja auch schon längst ausgelaufen

00:10:08: im letzten Jahr schon.

00:10:09: Jetzt werden die letzten Fahrzeuge verkauft und das war es dann auch.

00:10:12: Volkswagen-Nutzfahrzeuge kann den T6.1 nicht mehr weiter entwickeln.

00:10:17: Porsche wird Verbrenner wie Makan, Kajman, Boxster

00:10:21: nicht mehr in den alten Modellen

00:10:24: für den deutschen Markt entwickeln,

00:10:26: sondern auch nur noch für den Export vorsehen,

00:10:28: weil eben diese EU-Regeln für Cybersecurity gelten,

00:10:31: die Schohenfrist ausgelaufen ist.

00:10:33: Also, dass deswegen einfach gerade noch mal sehr präsent

00:10:35: das Thema Cybersecurity im Connected Car ist natürlich gut,

00:10:40: dass da jetzt einfach sehr, sehr strengere Richtlinien gelegt wurden.

00:10:43: Ich glaube, viele aus dem Wieler-Steller,

00:10:45: die werden sich wahrscheinlich nicht unendlich darüber freuen.

00:10:47: Auf der anderen Seite muss man da natürlich mal sagen,

00:10:49: wir sagen ja auch, wir fordern ja auch häufig,

00:10:52: fordern wir ja auch verbindliche Regeln,

00:10:54: fordern wir ja auch ein Weiterkommen in bestimmten Themen.

00:10:57: Da ist auf jeden Fall ganz klar schon mal bestimmte Voraussetzungen

00:11:00: geschaffen worden und auch Anforderungen geschaffen worden,

00:11:04: die einfach vor allem das vernetzt Fahrzeug von heute

00:11:07: einfach anders absichern.

00:11:10: Obwohl, und das ist jetzt ein bisschen die nächste Frage,

00:11:13: die wir ja auch häufig diskutieren,

00:11:15: wie wahrscheinlich sind eigentlich Angriffe auf vernetzt Fahrzeuge?

00:11:18: Dann soll man dazu sagen, die Angriffsfläche wird natürlich größer.

00:11:22: Die Schnittstellen werden mehr.

00:11:23: Wir reden über viel mehr Steuerung, auch App-Steuerung

00:11:29: in Bezug auf das Auto.

00:11:30: Ich kann hier von meinem Podcast-Studio aus,

00:11:34: könnte ich jetzt mein Fahrzeug aufschließen, könnte das abschließen,

00:11:36: könnte hupen, könnte alles machen.

00:11:38: Diese Vernetzungsmöglichkeiten, die moderne Fahrzeuge bieten,

00:11:41: sind natürlich gleichzeitig auch Einfallstore.

00:11:43: Das ist klar.

00:11:45: Updates over the air sind natürlich Schnittstellen,

00:11:47: die Einfallstore sind.

00:11:50: Wir reden dann auch über das Autonummerfahren,

00:11:51: das wird vielleicht mal in der Zukunft,

00:11:53: wo natürlich auch schnell so ein Schreckgespenst aufgebaut wird

00:11:55: von ferngesteuerten Autos, die dann im Prinzip nicht mehr machen,

00:11:58: was sie sollen und die dann von Hackern irgendwo ferngesteuert werden.

00:12:02: Da muss man jetzt aber natürlich auch mal ein bisschen zu sagen,

00:12:05: ist das jetzt unendlich,

00:12:06: weil scheinlich, dass wir in einem modernen, vernetzten Fahrzeug

00:12:09: jetzt plötzlich nicht mehr Herr über unser Vehikel sind.

00:12:12: Und ich glaube, da muss man ganz klar sagen, nein, der Aufwand.

00:12:15: Und das ist auch was, wo wir uns ja auch immer häufig

00:12:17: mit Security verantwortlichen, ja auch drüber unterhalten.

00:12:20: Der Aufwand an einzelndes Fahrzeug zu hacken ist unglaublich groß.

00:12:25: Funktioniert nur unter ganz bestimmten Bedingungen.

00:12:29: Klar, wenn man jetzt ein Fahrzeug sozusagen mit einem Digital Key

00:12:33: zum Beispiel natürlich mal entriegeln kann

00:12:37: und das Fahrzeug am Ende klauen kann,

00:12:38: solche Fälle kommen natürlich vor, klar.

00:12:40: Das gibt es.

00:12:41: Aber ich glaube, dieses Schreckgespenst von einem ferngesteuerten

00:12:44: autonomen Fahrzeug, was dann in der Innenstadt plötzlich

00:12:47: im Harakiri macht, ist jetzt nicht unfassbar wahrscheinlich.

00:12:52: Das muss man jetzt vielleicht auch dazu sagen,

00:12:54: dass man, glaube ich, dieses Schreckgespenst nicht so aufbauen

00:12:57: müsste oder wie siehst du das?

00:12:59: Naja, es ist schon ein...

00:13:01: Wir haben es bislang nicht erlebt.

00:13:04: Und das Gefahrenpotenzial sehe ich aber dennoch.

00:13:07: Vor allem, was ich ja eben gesagt habe,

00:13:10: die Art und Weise, wie Cyberattacken durchgeführt werden,

00:13:15: werden natürlich auch immer ausgefeilter,

00:13:18: wenn wir jetzt an das Thema künstliche Intelligenz denken.

00:13:22: Und der, sag ich mal, Impact,

00:13:24: der die ausgeklügelter und die ausgefeilter,

00:13:27: die Strategie ist, eine solche Cyberattacke zu fahren,

00:13:31: dass du größer ist vielleicht am Ende des Tages auf der Schaden

00:13:34: oder auch die Auswirkungen, die ein solcher Angriff

00:13:37: auch vielleicht auf Fahrzeugflotten am Ende des Tages ausüben kann.

00:13:41: Ich meine, das ist ja auch ein Mittel,

00:13:44: mit dem man ganz gut ein Unternehmen vielleicht auch erpressen könnte,

00:13:47: wenn man sozusagen die Möglichkeiten hat,

00:13:50: Beispiel Mietwagenflotten oder in anderen Bereichen,

00:13:55: Flottenmanagement oder so.

00:13:57: Wenn wir da gucken, dass das natürlich ein enormes,

00:14:00: sag ich mal, Angriffspotenzial und Erpressapotenzial bietet.

00:14:04: Also das ist ja schon was, mit dem sich die Hersteller

00:14:08: und natürlich auch die Anbieter von Mobilitätsdiensten

00:14:12: usw. auseinandersetzen müssen.

00:14:14: Ich glaube nicht, dass das dieses Gefahr geringer wird,

00:14:19: sondern dass sich das Potenzial schon auch erweitern wird.

00:14:23: Und man natürlich da immer auch auf der Höhe der Zeit sein muss,

00:14:26: weil man ja auch immer sagt, dass die, sag ich mal, Blackheads,

00:14:30: die Bösen da draußen immer weiter sind, ein paar Schritte voraus,

00:14:34: sind immer denen, die sozusagen schützen müssen.

00:14:37: Ja, das berühmte Hase-Igel-Spiel, ne?

00:14:40: Genau. Und da sind meistens die bösen Buben,

00:14:42: sind meistens da deutlich weiter vorangeschritten,

00:14:45: als die Guten, sag ich mal.

00:14:48: Aber klar, wir hatten es bislang noch nicht,

00:14:51: aber das heißt natürlich nicht, dass es nicht passieren kann.

00:14:55: Und gerade natürlich mit der Automatisierung des Verkehrs,

00:14:58: Autonomomobilität ist das natürlich auch mal ein Thema,

00:15:02: was besonders, besonders wichtig ist.

00:15:05: Und da ist, glaube ich, so eine neue Regulierung,

00:15:07: die die EU auch gemacht wurde oder implementiert wurde,

00:15:12: solche Vorgaben für solche Cybersecurity-Management-Systeme,

00:15:15: wo es auch ganz klar auch um Dokumentation von Maßnahmen

00:15:21: zur Risikomunikation ist.

00:15:22: geht und da auch eine klare Nachweis zu bringen, dass wir das solche Systeme auch in Kraft getreten

00:15:28: sind oder auch solche Systeme auch funktionieren, ist natürlich schon entscheidend und wichtig.

00:15:33: Und klar, um nochmal so ein bisschen auch auf das Thema ältere Fahrzeuggeneration zu kommen,

00:15:39: es würde natürlich für die Hersteller überhaupt nicht lohnen, hier jetzt irgendwelche älteren

00:15:44: Fahrzeuggenerationen nochmal mit solchen Systemen auszurüsten, das würde ja in die Millionen pro

00:15:49: Fahrzeug gehen. Und das ist ja, wenn wir jetzt wieder gerade beim Thema Kostendisziplinen und

00:15:53: Kostendruck sind, ist das natürlich absolut nicht vorstellbar und nicht abbildbar für die Hersteller,

00:15:57: da jetzt nochmal in ältere Fahrzeuge da irgendwie in irgendeiner Form Geld zu investieren, um da

00:16:03: ein solches System zu etablieren. Also das ist eigentlich ein, ja, es ist fast schon, es ist die

00:16:10: Diskussion oder die, ja, die Fragen, die in diesem Kontext aufgekommen sind, sind vielleicht fast

00:16:17: sogar ein bisschen obsolet, weil es eigentlich ja logisch war und für mich eigentlich eine

00:16:22: rhetorische Frage ist, ob die, ob die Hersteller da jetzt nochmal rein investieren. Also das ist

00:16:27: zwar schon eine krasse Meldung gewesen, aber eigentlich auch absolut nachvollziehbar und

00:16:33: erwartbar. Ist natürlich die Frage, inwiefern und welchen Aufwand die Hersteller jetzt bei der

00:16:38: Entwicklung neuer Fahrzeuge zusätzlich bekommen, wenn sie solche Systeme dort mit etablieren

00:16:43: müssen und da auch wieder die Dokumentation und die Nachprüfbarkeit eben auch gewährleisten

00:16:49: müssen, was das wieder ein zusätzlicher Entwicklungsaufwand bedarf, ist das sozusagen mit

00:16:54: einem, einem Stack sozusagen abgesignet oder muss man da auch wieder immer neue, sage ich mal,

00:17:01: Entwicklungsstufen draufsetzen, um irgendein solches System eben auf dem neuesten Stand zu halten,

00:17:06: dass das sind alles natürlich Fragen, die noch zu klären sind und wie viel zusätzlicher Aufwand,

00:17:11: das am Ende des Tages auch für neu entwickelte Fahrzeuge natürlich bedeutet. Und der Struggle,

00:17:16: den die UEMs momentan mit ihren Elektronikarchitekturen, mit ihren Softwarearchitekturen haben,

00:17:22: der ist ja da, der ist ja bekannt und jetzt kommt natürlich noch ein zusätzlicher Faktor mit rein,

00:17:27: den sie schon seit ein, zwei Jahren berücksichtigen müssen, aber es ist halt eben nochmal ein

00:17:33: zusätzlicher Aufwand, aber für meine Begriffe auch ein richtiger Aufwand oder ein wichtiger

00:17:37: Aufwand, der da betrieben werden muss. Ja definitiv. Und du hast ja eine Frage schon aufgeworfen,

00:17:43: die du im Prinzip ganz am Anfang in deinem, in deinem Intro auch mit der IT-Trins Studie

00:17:48: schon aufgeworfen hast, nämlich die Frage, machen Unternehmen der Automobilindustrie eigentlich

00:17:55: genug in Sachen Cybersecurity? Also ganz, ganz grundlegend gefragt. Und zwar jetzt auch gar nicht

00:18:00: nur in Bezug auf Fahrzeugentwicklungen, auf das vernetzte Fahrzeug, auf das Produkt, also

00:18:04: Security im Produkt, sondern insgesamt vor allem auch in den, in den Businessprozessen,

00:18:09: in der Produktion, wo aktuell natürlich noch Angriffe deutlich wahrscheinlicher und auch

00:18:15: nicht nur deutlich wahrscheinlicher, sondern auch deutlich häufiger stattfinden als jetzt

00:18:18: vielleicht auf dem, auf dem vernetztes Fahrzeug. Angriffe auf eine, auf eine, auf eine BusinessIT,

00:18:23: die finden ja dauerhaft statt. Also das ist ja im Prinzip, man wird ja dauerhaft irgendwie

00:18:29: bombardiert und die Frage ist ja nur, wie geht man damit um? Und die andere Frage ist eben aber auch,

00:18:33: weil du gesagt hast, einer der absoluten Trends für dieses Jahr ist das Thema Kostendisziplin,

00:18:37: ist ja nicht fast schon kein IT-Trend, aber es ist halt einfach eine Rahmenbedingung,

00:18:40: unter der man arbeitet. Und die gilt natürlich auch im Bereich Cybersecurity, also etwas,

00:18:45: was ich in letzter Zeit auch gerade so auf der Tech Player IT-Dienstleisterseite immer so ein

00:18:51: bisschen höhere ist, auch im Bereich Cybersecurity gibt es da durchaus einen gewissen Rotstift. Ist

00:18:55: das nicht so, als würden jetzt Automobilunternehmen, da jetzt, wie du vorhin gesagt hast, mit der großen

00:19:00: Geldgießkanne rübergehen und sagen, wir machen da jetzt im Bereich Security jetzt wirklich alles,

00:19:04: kaufen uns das einen Partnern mit allen Partnern, die wir da finden können. Auch da gibt es einen

00:19:10: Rotstift und auch da gibt es eine Kostendisziplin, die natürlich im Bereich Security durchaus ja auch

00:19:15: am Ende mal gefährlich werden kann. Aber die Frage, die er dann lautet, vor allem für all die IT-Ler,

00:19:21: für all die IT-Player ist ja, worauf fokussiert man sich, wenn die Mittel, so wie Sie es wahrscheinlich

00:19:28: immer tun, nie für alles reichen, also nie für den gesamten bunten Blumenstrauß an, ich mache

00:19:32: jetzt alles, was ich will und was mir einfällt im Bereich Cybersecurity. Und da habe ich eine super

00:19:38: spannende Diskussion neulich erst geführt, über die Janik, wir vielleicht jetzt nochmal ein paar

00:19:44: Minuten diskutieren können, da würde mich auch deine Meinung mal interessieren. Weil ich fand

00:19:50: euch bei einem Workshop, oder wir haben einen Workshop ausgerichtet und da ging es um das Thema

00:19:55: Cybersecurity. Und da haben wir natürlich auch viel, weil viele natürlich auch in die Kerbe

00:19:58: geschlagen sind, ja Cybersecurity ist eigentlich ein Menschthema, ein Mitarbeiterthema. Es ist

00:20:06: ein Thema der Awareness, der Schulung und wenn nur alle möglichst geschult und alle aware sind,

00:20:12: dann ist die Wahrscheinlichkeit, dass irgendwas passiert, einfach viel, viel geringer. Und das ist

00:20:17: ja immer das, was so ein bisschen, wenn man Menschen nach Cybersecurity fragt, immer so als Erstes

00:20:22: eigentlich kommt ja Faktor Mensch, es ist eigentlich der Faktor Mensch. Und da war dann aber eine

00:20:26: ganz spannende Gegenmeinung aus der Gruppe. Wie gesagt hat, naja aber ganz ehrlich, wenn wir damit

00:20:33: konfrontiert sind, dass wir schauen müssen, wo wir Ressourcen reinstecken und wo wir Kosten

00:20:40: im Prinzip investieren und wo nicht, dann nehme ich doch nicht die Awareness, weil diese Kampagnen

00:20:47: sind teuer, die dauern unglaublich lange, es dauert Monate oder Jahre, bis sich alle Menschen

00:20:52: in meinem Unternehmen geschult haben in IT-Sicherheit und wie oft ich dann mein Passwort wechseln soll

00:20:59: und wie viel Zeichen sollte das denn haben und wie lange dauert das bis geknackt wird. Und dann

00:21:03: habe ich natürlich dann eine super aufwendige und zum Teil super elaborierte Fishing-Kampagnen,

00:21:08: wo man wo es dann heißt, wenn die Mail so aussieht, dann bitte nicht draufklicken und so weiter. Aber

00:21:13: das sind ja Sachen, die dauern ja Monate im Rollout, die werden dann einmal im Jahr wiederholt,

00:21:18: da sagt der erste dann, oh, das habe ich aber schon längst wieder vergessen. Das ist ja die

00:21:21: Realität. Und die Meinung, wie gesagt, dieses Teilnehmer war in dem Moment dann diesen ganzen,

00:21:27: wenn wir schauen müssen, wohin wir investieren, dann können wir uns diesen ganzen Awareness-Kram

00:21:32: eigentlich sparen. Da müssen wir in die Technik reingehen, da müssen wir in die Abwehr gehen,

00:21:37: da müssen wir, weil angegriffen werden wird man. Das ist ein Fakt. Und dann ist eigentlich die

00:21:42: einzige Frage entscheidend, wie und vor allem, wie schnell kann ich am Ende damit umgehen? Wie

00:21:47: schnell komme ich wieder in einen normalen Zustand? Das ist eigentlich viel wahrscheinlicher und dazu

00:21:54: dann aber auch noch die Diskussion zu sagen, wenn ich eigentlich IT-seitig alle meine Hausaufgaben

00:21:59: im Bezug auf Security richtig mache, dann brauche ich Awareness schon deshalb nicht,

00:22:03: weil der Mitarbeiter gar nicht in der Lage sein darf eigentlich, falsche Dinge zu tun. Wenn ich nur

00:22:10: Hardware ausrolle, die keine USB-Schnittstelle haben, dann kann niemand eine USB-Stick an

00:22:16: ein Laptop anschließen und da womöglich irgendwo Schadsoftware oder bewusst irgendwie aufladen.

00:22:23: Wenn ein E-Mail-Programm so intelligent ist und auch mit bestimmten intelligenten Tools versehen

00:22:29: ist, dass bestimmte Schad-Mails überhaupt gar nicht ankommen, weil die vielleicht auch die

00:22:34: Fishing-Filters so gut sind, dass man im Prinzip gar nicht eine falsche Entscheidung als Mitarbeiter

00:22:39: treffen kann, dann kann ich im Prinzip auch diese Awareness-Kampagne, die dahinter stehen und die

00:22:45: furchtbar teuer sind und langwierig sind und lange dauern und die auch bei einer Mitarbeiterflugtuation

00:22:50: ja auch immer und immer wieder neu ausrollen muss, weil du hast dann ja auch Mitarbeiter

00:22:53: dieses Unternehmen verlassen, dann hast du jedes Jahr ein Prozent-Satz, neue Mitarbeiter, die

00:22:57: müssen das ja alle auch nochmal machen. Das fand ich einfach eine spannende Perspektive,

00:23:00: weil bis dahin hätte ich auch total gesagt, ja ist doch ein Awareness-Thema, ist doch ein

00:23:04: Faktor Mensch-Thema, ist eigentlich Security und die Sichtweise fand ich spannend, weil ich

00:23:09: konnte nachvollziehen. Ja, ich würde dir in einem Bereich zustimmen oder in einer Ausprägung oder

00:23:18: in einem Faktor eigentlich zustimmen, dass man sozusagen seine Mitarbeiter in gar nicht

00:23:26: die Möglichkeit gibt, sozusagen das Problem in der Kette zu sein oder das schwächste Lied in

00:23:30: der Kette zu sein, ist glaube ich das Entscheidende, dass mein Hardware und Software so geschützt ist

00:23:34: oder so konzipiert ist, dass man eben nicht überhaupt sozusagen in die schwierige Lage

00:23:41: zu kommen, in irgendeiner Weise das Problem zu sein oder erklären das Problems zu sein,

00:23:47: aber das ist halt im Regelfall nicht der Fall. Also es gibt so ein bisschen die Aussage, dass der

00:23:55: Faktor Mensch beim Thema Cyber Security eigentlich schon immer noch auch das größte Problem darstellt,

00:24:01: das Social Engineering ist ja eines dieser Buzzwords, die da rumfliegen, dass natürlich der Mensch

00:24:07: sozusagen die größte Schwachstelle darstellt, weil er eben beeinflussbar ist und eben vielleicht

00:24:13: ein Unternehmen über Fishing oder andere Bereiche oder ich verliere auch mein USB-Stick oder so,

00:24:19: wo wichtige Daten drauf, wobei das ja mittlerweile auch nicht mehr der Regelfall sein sollte,

00:24:23: dass man auch unternehmenskritische Daten auf einem USB-Stick durch die Welt trägt,

00:24:27: das ist natürlich auch leicht. Wunderbar, man sieht aber, was da alles noch passiert.

00:24:32: Ja, das stimmt. Das ist sicherlich so. Aber das ist ja glaube ich der Punkt dieser Aussage ist,

00:24:36: das wirst du aber diesen Faktor Mensch wirst du womöglich aber niemals auch richtig ausschließen

00:24:40: können, weil es werden immer Dummeiten passieren, man wird immer Dinge auch mal aus Versehen,

00:24:47: aus Unachtsamkeit irgendwie machen, man hat mal Dinge irgendwie offen rumliegen und so weiter.

00:24:52: Und die Frage ist ja, du hast ja völlig recht, der Faktor für das Thema Security,

00:24:56: das Einfallstor, das ist absolut in einem riesig großen Prozentsatz der Mensch. Aber die Frage,

00:25:04: und das war jetzt das Argument, die Frage ist, ist das aber, wenn ich ansetze irgendwo eigentlich

00:25:09: der größte Hebel, den ich habe, dort in der Kette anzusetzen beim Thema Security. Also sollte

00:25:15: jetzt mein Geld, was sehr begrenzt ist, da reinfließen, dass ich solche Kampagnen aufsetze

00:25:20: und die Mitarbeiter Schule. Oder sage ich, okay, ich weiß, dass zwar der größte,

00:25:25: das größte Einfallstor ist, aber der Hebel ist eigentlich viel größer, zum Beispiel einfach

00:25:30: wirklich im Bereich Technologie anzusetzen, Abwehr, richtig technologisch betrachtet Abwehr,

00:25:35: weil ich sage, die Angriffe passieren auf jeden Fall. Aber der Hebel beim Menschen anzusetzen

00:25:40: ist gar nicht der größte Hebel. Ja, das klingt absolut, absolut plausibel, dass man so vorgeht.

00:25:46: Es ist natürlich auf der anderen Seite vielleicht für Unternehmen, auch wenn es Geld kostet,

00:25:52: solche Kampagnen zu fahren, aber vielleicht auch für die Verantwortlichen manchmal auch der,

00:25:56: sage ich mal, einfacher Schritt zu sagen, wir machen jetzt eine solche Awareness-Kampagne

00:26:01: gegen Fishing zum Beispiel. Und damit hat man vielleicht so ein bisschen das,

00:26:05: auf seiner Agenda vielleicht so ein bisschen das Thema Cyber Security für sich schon abgehakt.

00:26:10: Und vernachlässigt vielleicht das etwas aufwendigere, was die Expertise auch anbelangt,

00:26:17: dass etwas aufwendiger vorgehen, entsprechende Tools oder auch die Hardware so auszurüsten,

00:26:23: dass sie eben kein Angriffspotenzial bietet, ist vielleicht auch etwas aufwendiger,

00:26:28: was das Thema Know-How und Expertise anbelangt. Also das ist vielleicht auch immer ein Aspekt,

00:26:35: der damit rein spielt. Wobei natürlich wir in uns in einer Industrie bewegen mit der Automobilindustrie,

00:26:41: die natürlich sehr, sehr viele Prozesse und eben du hast es ja auch immer in deiner Einleitung gesagt,

00:26:46: sehr viele Einfallstore mittlerweile auch bietet, wirklich technologisch einfach einen Angriff zu fahren

00:26:53: und damit ein Produktionssystem aus der Kraft zu setzen oder Fahrzeugflotten haben wir eben schon

00:26:58: besprochen. Also das ist ja eine Branche, die da eben auch sehr viele und da geht es ja gar nicht

00:27:03: so sehr um den Faktor Mensch. Das gilt ja eigentlich für alle Branchen in gleicher Maßen. Aber gerade

00:27:08: in der Autoindustrie muss man sich natürlich auch an vielen anderen Schnittstellen eben auch vor

00:27:12: Angriffen schützen und da sollte natürlich mit Blick eben auch auf die Kosten geschaut werden,

00:27:19: was ist wirklich das Entscheidende, wo muss ich mich schützen, wie muss ich mich schützen und wie

00:27:23: gut kann ich auch mich an neue Formen der Angriffe schützen und adaptieren und auch auf der Höhe

00:27:30: der Zeit bleiben. Ich glaube, das ist auch eines der wichtigsten Aufgaben, gerade in der Automobilindustrie,

00:27:36: sei es Produktion, sei es Logistik, sei es das Auto selbst. Also ich glaube, da sollten die

00:27:42: Unternehmen der Automobilindustrie, wir haben es ja in der Vergangenheit in den letzten zwei Jahren

00:27:45: an vielen Stellen, bei vielen Zunifferen zum Beispiel ja auch gesehen, die dann plötzlich

00:27:50: lahmgelegt werden aufgrund von solchen Cyberattacken. Also da, und das ist nicht immer der Faktor

00:27:56: Mensch, der da entscheidend ist. Also ich würde dir da auch auf jeden Fall beiflichten. Ja,

00:28:00: ich glaube, das soll sozusagen vom Thema Cybersecurity für heute erst mal gewesen sein, nicht,

00:28:09: dass wir überhaupt in die Verlegenheit kämen, das Thema vollumfänglich in irgendwie 25-30

00:28:15: Minuten zu besprechen. Aber ich glaube, dass da schon irgendwie ein paar wichtige Impulse auch

00:28:20: für unsere Zuhörerinnen und Zuhörer dabei gewesen sind, über das Thema vielleicht noch mal ein

00:28:25: bisschen nachzudenken, was das Thema Awareness angeht, was das Thema Technologie angeht,

00:28:29: die Einfallstore auch mit dem Konectikar, weil das natürlich gerade ganz besonderer Faktor ist,

00:28:34: aber uns interessiert da natürlich auch nochmal die Sicht von allen unseren Zuhörerinnen und

00:28:39: Zuhörern auf das Thema, gerade weil wir durchaus auch die eine oder andere Diskussion heute hatten,

00:28:44: die man auch kontrovers diskutieren kann. So sieht es aus. Und wir sind ja diese Woche in der Woche

00:28:49: der Hannover-Messe und da spielt das Thema natürlich auch eine Rolle, gerade wenn wir auch auf das

00:28:53: Thema Lieferketten schauen, das ist ja ein ganz sensibles, heikles Thema in dem Kontext und da

00:29:00: werden wir sicherlich auch unter anderem auf unserem Salonformat, was wir auch diese Woche haben,

00:29:04: nochmal ganz intensiv auch diskutieren. Und ich möchte an der Stelle auch nochmal drauf aufmerksam

00:29:09: machen, dass wir jetzt in diesem April bei uns, bei Automotive IT, uns mit dem Thema Cyber Security

00:29:14: auch nochmal mit einem besonderen thematischen Schwerpunkt, einem besonderen thematischen

00:29:19: Fokus auch beschäftigen und dieses Thema aus verschiedenen Blickwinkeln, so wie wir es jetzt

00:29:23: ja auch gerade hier diskutiert haben, auch nochmal anschauen, da wird es jetzt im weiteren Verlauf

00:29:28: des Monats auch noch ein paar interessante Überblicke geben, der Hinweis nochmal auf

00:29:33: das Thema KI und Cyber Security, was sie bei uns bei AutomotiveIT.eu schon finden. Und da gibt es

00:29:40: noch ein paar weitere Dinge, die in der nächsten Zeit kommen und das sei an dieser Stelle nochmal

00:29:46: empfohlen. Ja, Pascal, dann danke ich dir an dieser Stelle und freue mich, was wir diese Woche

00:29:54: so diskutieren zu dem Thema oder auch zu anderen Themen, auch im Kontext der Hannover-Messe, das

00:29:58: wird sicherlich spannend werden und dann wünsche ich dir an dieser Stelle eine schöne Woche. Das

00:30:04: wünsche ich dir auch, wie mir sicher wir werden nächste Woche im Podcast mal vielleicht auf die

00:30:07: Hannover-Messe mal drauf schauen. Aber das ist nur so mein Könnbaufühl. Könnte wohl sein. Dann

00:30:15: wünsche ich allen, dir natürlich auch und allen, die zuhören ebenfalls eine schöne Woche vielleicht

00:30:19: ja auch auf der Hannover-Messe. Wir auf jeden Fall und ansonsten hören wir uns in der kommenden

00:30:25: Woche hier im Podcast wieder. Bis dahin, ciao! Nagel Tiedemann, ein Interview-Podcast von

00:30:33: AutomotiveIT und Automobilproduktion. Alle Infos zur Folge in den Show-Notes. Weite

00:30:39: Episoden überall, wo es Podcasts gibt.