06.08.2020

Neue Regularien: Auf der Suche nach dem optimalen Security-Ansatz

Bild 1: Das komplexe Automobil-Ökosystem mit seinen vielen Beteiligten und Wechselwirkungen aus Security-Sicht.

Die neuen Anforderungen der UNECE WP.29 und ISO/SAE 21434 stellen für die Automobilbranche einen Paradigmenwechsel dar: Die Typgenehmigung von Fahrzeugen wird künftig an die angemessene Implementierung eines Cybersecurity-Managementsystems (CSMS) geknüpft sein. Die schnelle, risikoangepasste und konforme Umsetzung der Produktsicherheit wird zu einem zentralen Aspekt der Wettbewerbsfähigkeit von Automobilherstellern und -zulieferern. Aufgrund der hohen Komplexität sowohl der Produkte als auch der Lieferkette im Automobilbereich müssen die Cyberrisiken dabei über den gesamten Lebenszyklus eines Fahrzeuges sowie die gesamte Lieferkette betrachtet und fortlaufend behandelt werden.

Hierzu bedarf es einer genauen Analyse der Teilnehmer im automobilen Ökosystem und ihres jeweilig notwendigen Beitrags zu einem angemessenen Schutzlevel. Dieser Level muss durch technische und organisatorische Maßnahmen untermauert werden: Zum einen müssen in den Produkten selbst Vertrauensanker implementiert sein, bspw. Hardware-Security-Module oder Trusted Execution Environments; zum anderen kann über Audits und Zertifizierungen das Vertrauen in die Fähigkeiten der Zulieferer und Hersteller gestärkt werden.

Mit Bestandsaufnahmen zum optimalen Verbesserungsfahrplan

Bild 2: Ein CSMS umfasst klassische Domänen des Security-Managements (außen und innen) sowie Domänen mit Fokus auf den Produkten und ihren Anwendern (mittlerer Ring).

Das Ziel dabei ist, nicht nur die regulatorischen Vorgaben der jüngst verabschiedeten UN-Regulierung und des kommenden ISO/SAE-Standard zu erfüllen, sondern gemäß der eigenen Unternehmensstrategie und Produkt-Roadmap den optimalen Security-Ansatz mit der höchsten Wirksamkeit zu finden. Es bedarf der Implementierung organisatorischer und technischer Maßnahmen in Form eines ganzheitlichen Cybersecurity-Managementsystems (CSMS), das es ermöglicht, Cybersicherheit in der gesamten Wertschöpfungskette dauerhaft zu definieren, zu kontrollieren, zu steuern und zu verbessern. Das Product Security Organization Framework PROOF (entwickelt von ETAS und KPMG) beispielsweise wartet hier mit umfassender Herangehensweise und Fahrplan auf.

Ein erster wichtiger Schritt dahin sind Bestandsaufnahmen oder „Gap-Analysen“, die nicht nur etwaige Lücken, sondern auch vorhandene Stärkenidentifizieren, beispielsweise aus einem Qualitätssicherungssystem oder Prozessen zur Erreichung funktionaler Sicherheit. Nur wenn der Zustand relevanter Cybersicherheitsaspekte in der Organisation vollständig transparent ist, kann ein optimaler Fahrplan erstellt werden, der Maßnahmen priorisiert, die bereits vorhandenen Potenziale voll ausschöpft und weiterschreibt und so innerhalb der kurzen Zeitspanne bis zur Umsetzung der UN-Regularien sicher zum Ziel führt.

Technische Lückenanalyse für die Nachrüstung von Fahrzeugen

Ab 2024 soll die UN-Regulierung auch beim Neuverkauf von bereits vor 2022 zugelassenen Fahrzeugtypen greifen. Hersteller und Zulieferer müssen daher potenziell erneut in Komponenten und Systeme investieren und damit ihre Entwicklungsabteilung der Doppelbelastung aussetzen, sowohl die nächste Produktgeneration fristgerecht fertigzustellen als auch Legacy-Produkte bis 2024 ggf. nachzurüsten. Dabei gilt es, die Balance zwischen tatsächlichem Sicherheitsgewinn und Wirtschaftlichkeit zu wahren. Eine technische Lückenanalyse der Fahrzeugarchitektur kann eine solide Entscheidungsgrundlage für diese Abwägungen schaffen.

Aufgrund der Typgenehmigungsrelevanz kommt es darauf an, bereits im ersten Anlauf alle Anforderungen sicher und möglichst effizient umzusetzen. Bestandsaufnahmen schaffen hierfür eine Grundlage: Sie identifizieren vorhandene Bausteine, wie erprobte Prozesse im Bereich funktionaler Sicherheit oder bestehende Managementsysteme. Daraus lassen sich auf die individuelle Situation des Unternehmens passgenaue Umsetzungspläne ableiten. Der Rückgriff auf Security-Partner mit Erfahrung im Aufbau solcher Managementsysteme, Expertenwissen zu Automotive Security und Besinnung auf die eigenen Stärken sind die wesentlichen Faktoren erfolgreicher Cybersicherheits-Programme.

Lesen Sie hier, welche neuen Security-Herausforderungen die UNECE-Regulierung und ISO/SAE 21434 mit sich bringen.

Ebenfalls im Newsroom zu finden