Gemäß dem diesjährigen Motto "Securing Smart Societies" befasste sich die erste Keynote der InformationSecurity World (ISW) 2019 auch mit einem zentralen gesellschaftlichen Thema: der Mobilität. Daniel Eitler, Security-Chef von BMW, sprach über die Cyber-Security-Strategie des Autobauers. Darin spielt natürlich das Trendthema "autonomes Fahren" eine wichtige Rolle.

Auf dem Weg zum vollständig selbstfahrenden Auto habe die Industrie etwa die Hälfte des Weges zurückgelegt. Momentan könnte die Technik zwar schon dabei helfen, die Spur und den nötigen Abstand zu halten, der Mensch müsse aber immer noch ständig am Lenkrad sein. Der nächste Schritt, bei dem der Fahrer zeitweise das Steuer aus der Hand geben kann, werde 2021 Realität werden.

Je schlauer die Fahrzeuge würden, desto größer werde aber auch die digitale Angriffsfläche. Daher habe BMW fünf Sicherheitsprioritäten formuliert, die Eitler nach eigenen Angaben im Konzern durchgesetzt hat:

"Security by Design" ist im agilen Entwicklungsprozess integriert. Die Entwickler bei BMW arbeiten in Zwei-Wochen-Sprints mit durchschnittlich zwei Releases pro Tag. Um dabei das Sicherheitsniveau beizubehalten, wurde für jedes Produkt ein Product Owner berufen, der auch die Security verantwortet. Zudem wurde DevSecOps durch Web- und Classroom-Trainings in den Entwicklerteams forciert und in Standardprozesse der Entwicklung integriert. Dabei spielen auch automatisierte Sicherheits- und Penetrationstests während der Build-Phase eine wichtige Rolle.

Cyber-Hygiene ist unverzichtbar. Patch-, Asset- und Schwachstellenmanagement sind die Grundlagen jeder Sicherheitsstrategie. Dabei gilt es darauf zu achten, Updates rechtzeitig und an möglichst alle betroffenen Systeme auszuspielen.

Digitale Identitäten müssen sicher sein. In Zeiten von IoT müssen nicht nur menschliche, sondern auch künstliche Identitäten erfasst, verwaltet und geschützt werden. Zudem muss das Passwort durch einfachere und zugleich sicherere Authentifizierungsmethoden abgelöst werden. BMW nutzt dazu Pass Phrases und Zwei-Faktor-Authentifizierung (2FA) sowie Privileged Access Management (PAM) für die Verwaltung von Accounts mit weitreichenden Rechten, wie etwa die von Administratoren.

Vom Ernstfall muss ausgegangen werden. Eitler geht davon aus, dass jedes Unternehmen bereits erfolgreich angegriffen wurde oder kurz davorsteht. Daher setzt er auf eine Assume-Breach-Strategie. Zwar seien Vorsichtsmaßnahmen wie regelmäßige Penetrationstests, Simulationen oder Bug-Bounty-Programme im Einsatz, aber es liege auch ein Fokus auf Detect- und Respond-Fähigkeiten. Ein Tipp von Eitler ist, die Vielzahl an Schwachstellen zu priorisieren. So könnten wertvolle Ressourcen gebündelt and den größten Brandherden eingesetzt werden.