Automobilhersteller und ihre Zulieferer stehen unter Druck: Die Zahl der Cyberangriffe steigt, gleichzeitig werden Fahrzeuge und Produktionsumgebungen immer stärker vernetzt. T-Systems Public hat ein dediziertes Automotive-Security-Portfolio aufgelegt, das als Brücke zwischen OEMs, Zulieferern und den regulatorischen Anforderungen wie UNECE WP.29 und ISO/SAE 21434 fungieren soll. Der Anspruch: Ende-zu-Ende-Sicherheit für die gesamte Wertschöpfungskette – vom vernetzten Fahrzeug bis zur Fabrik.

Die Frage ist, ob dieser Anspruch in einem fragmentierten Markt mit etablierten Security-Spezialisten, OEM-eigenen Entwicklungen und branchenspezifischen Normen realistisch ist. Die Analyse zeigt, wo Chancen und Grenzen für T-Systems liegen.

Regulatorische Treiber: UNECE WP.29 und ISO/SAE 21434 als Marktmotor

Seit Juli 2024 greift die UNECE-Regelung WP.29, die Cybersicherheit und Software-Updates für neue Fahrzeugtypen verbindlich macht. Die Norm fordert ein Cybersecurity Management System (CSMS) und verlangt von Herstellern den Nachweis, dass Risiken über den gesamten Lebenszyklus eines Fahrzeugs gemanagt werden. Parallel dazu etabliert sich die ISO/SAE 21434 als technischer Standard für Cybersecurity Engineering in der Automotive-Branche.

Diese Normen schaffen einen neuen Markt: OEMs müssen nicht nur ihre Fahrzeuge absichern, sondern auch ihre Zulieferkette, Entwicklungsprozesse und Produktionsumgebungen. Wer die Typgenehmigung nicht nachweisen kann, darf in der EU nicht verkaufen. Das betrifft nicht nur Premium-Hersteller, sondern auch Mittelständler und Tier-1-Zulieferer, die oft nicht über eigene Security Operations Center (SOC) verfügen.

T-Systems setzt hier an: Der Systemintegrator bietet Beratung zur Norm-Compliance, Penetration-Tests, Security-Audits und Managed-Security-Services an. Ziel ist es, OEMs und Zulieferern die regulatorische Last abzunehmen und gleichzeitig operative Sicherheit zu gewährleisten. Der Ansatz ist nicht neu – doch der Fokus auf die Automobilindustrie und die Verknüpfung mit Manufacturing-IT (OT-Security) unterscheidet T-Systems von reinen Cybersecurity-Anbietern.

Wettbewerber und Marktposition: Wer spielt mit?

Der Automotive-Security-Markt ist hart umkämpft. Etablierte Cybersecurity-Anbieter wie Trend Micro, Kaspersky oder NCC Group haben sich längst positioniert. Hinzu kommen spezialisierte Automotive-Security-Player wie Argus Cyber Security (heute Teil von Continental), Karamba Security oder Upstream Security, die teils seit Jahren mit OEMs kooperieren.

T-Systems tritt hier nicht als reiner Security-Spezialist auf, sondern als Systemintegrator mit breitem Portfolio: Das Unternehmen verfügt über Erfahrung in der Fertigungs-IT, betreibt eigene Rechenzentren und kennt die IT-Infrastrukturen vieler deutscher OEMs aus langjährigen Verträgen. Diese Nähe ist ein Vorteil – kann aber auch zur Abhängigkeit werden, wenn OEMs eigene Security-Kapazitäten aufbauen oder auf spezialisierte Boutique-Anbieter setzen.

Ein Blick auf die Konkurrenz im Public-Sector-Umfeld zeigt ähnliche Muster: Anbieter wie Capgemini Public Sector oder Atos Public Sector DE setzen ebenfalls auf Systemintegration und Managed Services, stoßen aber bei hochspezialisierten Anforderungen – etwa bei Digitaler Souveränität oder kritischer Infrastruktur – an Grenzen. T-Systems muss beweisen, dass es nicht nur regulatorische Compliance, sondern auch operative Exzellenz liefern kann.

Herausforderung vernetzte Fabrik: OT-Security als blinder Fleck

Während die Absicherung vernetzter Fahrzeuge medial präsent ist, bleibt die Produktionsseite oft unterbelichtet. Automobilhersteller betreiben hochautomatisierte Fabriken, in denen Operational Technology (OT) – also Steuerungssysteme, Robotik, Fertigungsanlagen – mit IT-Systemen verschmilzt. Cyberangriffe auf diese Infrastrukturen können Produktionslinien zum Stillstand bringen, wie Vorfälle bei Toyota oder anderen Herstellern gezeigt haben.

T-Systems adressiert diese Lücke: Das Portfolio umfasst OT-Security-Assessments, Network Segmentation und Monitoring-Lösungen für Fertigungsumgebungen. Der Ansatz ist richtig, doch die Umsetzung komplex: OT-Systeme sind oft jahrzehntealte Legacy-Infrastrukturen, die nicht für Security-by-Design ausgelegt wurden. Patches können Produktionsabläufe stören, und viele Anlagen laufen mit proprietären Protokollen, die schwer zu überwachen sind.

Hier zeigt sich ein strukturelles Problem: T-Systems muss nicht nur technische Lösungen liefern, sondern auch Change-Management, Schulung und Integration in bestehende SOC-Strukturen. Das erfordert Branchenwissen und enge Kooperation mit den Engineering-Teams der OEMs – eine Hürde, die kleinere, agile Security-Anbieter oft schneller nehmen.

Ende-zu-Ende-Anspruch: Realistisch oder überdehnt?

Der Anspruch, ein Ende-zu-Ende-Security-Anbieter zu sein, klingt ambitioniert. In der Praxis bedeutet das: T-Systems müsste Bedrohungsanalyse, Penetration-Testing, SIEM-Integration, Incident Response, OT-Security, Cloud-Security und Compliance-Reporting aus einer Hand liefern – und das über alle Bereiche eines OEM hinweg, vom Entwicklungslabor bis zur Auslieferung.

Das ist ein hoher Anspruch. Die meisten OEMs setzen auf Multi-Vendor-Strategien: Sie kaufen Best-of-Breed-Lösungen für einzelne Bereiche und orchestrieren diese intern oder über einen Lead-Integrator. T-Systems könnte diese Rolle übernehmen, muss dafür aber beweisen, dass es nicht nur eigene Produkte verkauft, sondern auch Partner-Technologien neutral integriert.

Ein Vergleich mit der öffentlichen Verwaltung zeigt ähnliche Muster: Auch dort wird Interoperabilität zwischen unterschiedlichen Systemen immer wichtiger, etwa bei der Verwaltungscloud oder der GovTech-Deutschland-Initiative. Anbieter, die proprietäre Lock-ins schaffen, verlieren an Relevanz. T-Systems muss zeigen, dass es offen agieren kann.

Strategische Optionen: Partnerschaften statt Alleingang

Eine realistische Strategie für T-Systems könnte darin bestehen, sich als neutraler Orchestrator zu positionieren: Das Unternehmen integriert Best-of-Breed-Lösungen, betreibt ein zentrales SOC für mehrere OEMs und übernimmt die Compliance-Dokumentation für UNECE WP.29 und ISO/SAE 21434. Dabei könnte es auf Partnerschaften mit spezialisierten Security-Anbietern setzen, etwa im Bereich Vehicle Intrusion Detection oder Secure Over-the-Air-Updates.

Ein solches Modell hätte Vorteile: Es reduziert die Komplexität für OEMs, ermöglicht Skaleneffekte und vermeidet Abhängigkeiten von einem einzigen Anbieter. Gleichzeitig würde T-Systems seine Stärke als Systemintegrator ausspielen, ohne in allen Bereichen selbst entwickeln zu müssen.

Vorbilder gibt es im Public-Sector-Umfeld: Die Debatte um Microsoft-365-Sicherheitslücken zeigt, dass auch große Anbieter nicht alle Aspekte abdecken können. Erfolgreiche Integratoren wie Dataport AöR setzen auf offene Standards und Partnerschaften, statt alles selbst zu bauen.

Risiken und Grenzen: Was kann schiefgehen?

T-Systems steht vor mehreren Risiken. Erstens: Die Abhängigkeit von wenigen großen OEM-Kunden. Verliert das Unternehmen einen zentralen Vertrag, bricht ein großer Teil des Geschäfts weg. Zweitens: Die Konkurrenz schläft nicht. Spezialisierte Security-Anbieter können schneller innovieren und gezielt einzelne Nischen besetzen, etwa Secure Vehicle Communication oder Threat Intelligence für Automotive.

Drittens: Die regulatorischen Anforderungen entwickeln sich weiter. UNECE WP.29 ist erst der Anfang – weitere Normen zu Datenschutz, Software-Lieferketten und KI-Sicherheit werden folgen. T-Systems muss kontinuierlich investieren, um am Ball zu bleiben. Viertens: Die Margen im Security-Geschäft sind eng, besonders bei Managed Services. Ohne Skalierung wird das Portfolio zum Zuschussgeschäft.

Ein weiteres Risiko liegt in der Wahrnehmung: Wird T-Systems als glaubwürdiger Security-Anbieter wahrgenommen, oder bleibt es der klassische IT-Dienstleister, der nun auch Security anbietet? Reputation ist im Security-Markt entscheidend – und die baut man nicht über Nacht auf.

Fazit: Realistischer Ansatz, aber kein Selbstläufer

T-Systems hat mit dem Automotive-Security-Portfolio einen nachvollziehbaren Schritt gemacht. Die regulatorischen Treiber sind real, der Bedarf bei OEMs und Zulieferern ist vorhanden, und die Kombination aus IT- und OT-Security ergibt Sinn. Doch der Markt ist komplex, die Konkurrenz stark und die technischen Anforderungen hoch.

Der Anspruch, Ende-zu-Ende-Anbieter zu sein, ist ambitioniert – und nur realistisch, wenn T-Systems auf offene Partnerschaften, Best-of-Breed-Integration und neutrale Orchestrierung setzt. Ein Alleingang über proprietäre Lösungen wird in einem fragmentierten Markt nicht funktionieren. Die nächsten zwei Jahre werden zeigen, ob T-Systems den Spagat zwischen Systemintegrator und Security-Spezialist schafft – oder ob der Markt andere Anbieter bevorzugt, die fokussierter und agiler agieren.

Für die Automobilindustrie bleibt die Frage, ob sie langfristig auf externe Dienstleister setzt oder eigene Security-Kapazitäten ausbaut. Die Parallele zur öffentlichen Verwaltung ist auffällig: Auch dort wird die Frage nach Digitaler Souveränität und Eigenständigkeit immer lauter gestellt.

Quellen