Cybersecurity-Managementsystem wird für Typgenehmigung erforderlich

Einer der ersten veröffentlichten Hacks eines Automobils gelang 2009 einer Gruppe von Wissenschaftlern um Stephen Checkoway. Sie beschrieben, wie sie einen Laptop an einen Kontrollzugang des Autos anschlossen, um auf das fahrzeuginterne Netzwerk zuzugreifen. Dadurch waren sie in der Lage, kritische Systeme des Autos zu manipulieren, konnten beispielsweise den Motor abschalten oder die Bremsen blockieren.

Bild 1: Die Zahl der Angriffsvektoren für potenzielle Cyberattacken wächst mit zunehmender Vernetzung des Fahrzeugs und seines Ökosystems eklatant.






Escrypt

Noch kritischer wurde es 2015, als Charlie Miller und Chris Valasek es schafften, einen Jeep Cherokee ferngesteuert zu übernehmen. Über das Entertainment-System des Geländewagens erlangten sie Kontrolle über Multimediasysteme, Scheibenwischer, Klimaanlage, Bremsen und Geschwindigkeit des Fahrzeugs. Sie stoppten das Auto, dessen Fahrer als Tester angeheuert war, mitten auf der Autobahn. Dazu mussten sie sich nicht per Kabel mit dem Auto verbinden, sondern nutzten die Internetverbindung des Wagens. Chrysler musste im Anschluss circa 1,4 Millionen Fahrzeuge zurückrufen und nachbessern.

Mittlerweile werden fortlaufend Angriffe bekannt, die sich insbesondere die zunehmende Digitalisierung und Konnektivität der Fahrzeuge und der dadurch wachsenden Angriffsfläche zunutze machen (Bild 1). Immer deutlicher zeigt sich, welches Risiko nicht ausreichend geschützte Fahrzeuge für Hersteller, Besitzer und Verkehrsteilnehmer bergen. Längst ist auch klar, dass Automotive Cybersecurity einer ganzheitlichen Betrachtung und Orchestrierung über alle Instanzen und den gesamten Lebenszyklus des Fahrzeuges hinweg bedarf (Bild 2).

Neue Vorgaben für Cybersicherheit

Weltweit laufen daher Bestrebungen, Cybersicherheit weiter zu regulieren und zu standardisieren. So gibt es etwa Gesetzesinitiativen im US-Kongress, den Cybersecurity Act in der EU, das chinesische ICV-Programm und neue Richtlinien von JASPAR in Japan. In all diesen Regularien lassen sich drei wesentliche Trends erkennen:

• Eine stärkere Konkretisierung von Cybersicherheit auf Spezifika der Automobilindustrie,
• die Anforderung, die Sicherheit der Fahrzeuge im Feld aufrecht zu erhalten, sowie
• der zunehmend verpflichtende Charakter der Vorgaben und deren Überprüfung zum Zeitpunkt der Typgenehmigung.

Bild 2: Automotive Cybersecurity muss über den gesamten Fahrzeuglebenszyklus hinweg organisiert werden. Escrypt

Diese Trends manifestieren sich insbesondere in der aktuellen regulatorischen Initiative der UNECE WP.29 TF-CS/OTA und der kommenden Norm ISO/SAE 21434, die explizite Managementsysteme zum Schutz von Fahrzeugen definieren.

UNECE WP.29 TF-CS/OTA

Das Weltforum für die Harmonisierung von Fahrzeugvorschriften der Vereinten Nationen (WP.29) entwickelt derzeit ein Regelwerk, das Cybersicherheit relevant für die Genehmigung neuer Fahrzeugtypen macht. Der Vorschlag der Unterarbeitsgruppe TF-CS/OTA besteht aus zwei Kernforderungen: Dem Betrieb eines zertifizierten Cybersecurity-Managementsystems (CSMS) sowie der Anwendung des CSMS auf den konkreten Fahrzeugtyp zum Zeitpunkt der Typgenehmigung. Die EU plant, die Einhaltung dieser Vorgaben für neue Fahrzeugtypen bereits ab Mitte 2022 einzufordern und später auf Bestandsarchitekturen auszudehnen.

In Anbetracht typischer Entwicklungszeiten im Automobilbereich müssen sich Hersteller und Zulieferer also bereits heute mit diesen Cybersicherheitsanforderungen auseinandersetzen, um die Typgenehmigungen für ihre nächsten Produkte sicherstellen zu können. Dazu müssen sie einen risikobasierten Ansatz verfolgen, der durchgängig für den Fahrzeugtyp, dessen externe Schnittstellen und dessen Subsysteme ein angemessenes Risikoniveau ermitteln, erreichen und erhalten kann. Zu berücksichtigen sind hierbei ausdrücklich auch die Security-relevanten Abhängigkeiten und Informationen von Zulieferern, Dienstleistern und weiteren Dritten.

Bild 3: Zertifiziertes Cybersecurity-Managementsystem (CSMS) und Typgenehmigung gemäß dem Regulierungsentwurf der UNECE WP.29 TF-CS/OTA. Escrypt

Angesichts eines sich stetig wandelnden Bedrohungsumfelds und langer Fahrzeuglebenszyklen fokussiert das geforderte CSMS insbesondere auch auf die Phase nach Produktionsstart und die kontinuierliche Risikobehandlung im Fahrzeugbetrieb. Prozessual organisiertes IT-Sicherheitsmanagement hält damit regulatorisch Einzug in die Automobilindustrie. Zwar kann auf Erfahrungen mit Informationssicherheitsstandards wie der ISO 27000-Reihe zurückgegriffen werden, jedoch besteht die wesentliche Herausforderung bei der Ausgestaltung eines CSMS in der Berücksichtigung der Automobilspezifika (siehe Infobox „ISMS und CSMS“): Zum einen sind Produkt und Lieferkette überaus komplex. Zum anderen unterliegt das Fahrzeug ganz spezifischen kritischen Aspekten wie etwa den Wechselwirkungen mit funktionaler Sicherheit, der Einhaltung von Umweltvorschriften und dem Diebstahlschutz.

ISO/SAE 21434

Parallel zur TF-CS/OTA erarbeitet die Automobilindustrie im Rahmen der Internationalen Organisation für Standardisierung (ISO) und des Verbands der Automobilingenieure (SAE) den Standard ISO/SAE 21434 für Cybersicherheit von Fahrzeugen. Genau wie das durch die WP.29 definierte CSMS legt diese Norm das Augenmerk auf die notwendige Organisation und richtigen Prozesse, um das Fahrzeug entlang seines kompletten Lebenszyklus vor Cyberattacken zu schützen. Da ein Begleitdokument des UN-Regulierungsentwurfs konsequent auf diesen Standard zur Umsetzung der CSMS-Anforderungen verweist, verdient die ISO/SAE 21434 besondere Aufmerksamkeit. Mit einer gemeinsamen Terminologie und definierten Maßnahmen wird hier eine industrieweite Grundlage geschaffen, auf der Hersteller und Zulieferer ihre Schnittstellen, geteilten Verantwortlichkeiten und Prozesse aufbauen können. Die finale Fassung wird Ende 2020 erwartet.

Auswirkungen auf die Automobilindustrie

Die Automobilindustrie ist mit Vorgaben seitens des Gesetzgebers zwar in vielerlei Hinsicht durchaus vertraut, doch kennt sie spezifischen Regulierungen zur Informations- oder Cybersicherheit bislang nur vereinzelt. So hat der Verband der Automobilindustrie (VDA) etwa aufgrund des Wunschs der OEMs nach mehr Transparenz hinsichtlich des Informationssicherheitsniveaus der Zulieferer einen Katalog für Information Security Assessments (ISA) entwickelt. Mit dem auf diesem Katalog basierende TISAX-Modell (Trusted Information Security Assessment Exchange) können OEMs dann den Umgang der Zulieferer mit sensiblen Daten, beispielsweise bei der Entwicklung von Prototypen, überprüfen. Neben die Aspekte der Informationssicherheit in TISAX setzt die ISO/SAE 21434 nun Anforderungen an die Cybersicherheit der Produkte selbst.

Mit Bestandsaufnahmen zum Verbesserungsfahrplan

Die Automobilindustrie hat seit dem Jeep-Hack 2015 den Schutz von Fahrzeugen zwar verstärkt, mit der UN-Regulierung und dem neuen ISO/SAE-Standard jedoch wird Cybersicherheit über den unverbindlichen Status hinauswachsen und zur Voraussetzung für die Geschäfts- und Wettbewerbsfähigkeit von Herstellern und Zulieferern. Vor dem Hintergrund des digitalen Wandels gilt es, dabei nicht nur die regulatorischen Vorgaben zu erfüllen, sondern gemäß der eigenen Unternehmensstrategie und Produkt-Roadmap den optimalen Security-Ansatz mit der höchsten Wirksamkeit zu finden. Die Unternehmen müssen ganzheitlich organisatorische und technische Maßnahmen implementieren, die es ermöglichen, Cybersicherheit in der gesamten Wertschöpfungskette dauerhaft zu definieren, zu kontrollieren, zu steuern und zu verbessern. Folgerichtig wächst seit längerem der Bedarf an Bestandsaufnahmen oder „Gap-Analysen“, die den Stand der Umsetzung eines CSMS ermitteln. Idealerweise ermittelt die Bestandsaufnahme nicht nur etwaige Lücken, sondern identifiziert auch vorhandene Stärken, beispielsweise aus einem Qualitätssicherungssystem oder Prozessen zur Erreichung funktionaler Sicherheit. Nur wenn der Zustand relevanter Cybersicherheitsaspekte in der Organisation vollständig transparent ist, kann ein optimaler Fahrplan erstellt werden, der Maßnahmen priorisiert, die bereits vorhandenen Potenziale voll ausschöpft und weiterschreibt und so innerhalb der kurzen Zeitspanne bis zur Umsetzung der UN-Regulierung sicher zum Ziel führt.

Eine besondere Herausforderung stellen darüber hinaus die technischen Implikationen der Regulierung auf Bestandarchitekturen dar. Komponenten und Systeme, die fertig entwickelt und eigentlich bereits in der Gewinnphase des Produktlebenszyklus sind, müssen nun einer Eignungsuntersuchung unterzogen und gegebenenfalls mit neuen Investitionen für Cybersicherheit nachgerüstet werden. Eine technische Lückenanalyse der E/E-Architektur, ähnlich der Prozess-fokussierten Lückenanalyse für das CSMS, kann eine solide Entscheidungsbasis für die wirtschaftlichen Abwägungen schaffen.

Automotive- und Cybersicherheits-Kenntnisse gefragt

Wie viele andere Branchen wird auch die Automobilindustrie auf einen Fachkräftemangel blicken: Experten, die sowohl Cybersicherheit als auch die speziellen Anforderungen der Automobilindustrie verstehen, sind rar. Gleichzeitig wachsen die Cyberrisiken aufgrund der Digitalisierung so rasant, dass das eigene Wissen der Unternehmen auf dem Gebiet der Cybersicherheit typischerweise nicht ausreicht, um alle Herausforderungen rechtzeitig allein zu bewältigen. Denn aufgrund der Typgenehmigungsrelevanz ist es dringend geboten, bereits im ersten Anlauf alle Anforderungen sicher und möglichst effizient umzusetzen.

Angesichts der komplexen Aufgabenstellung ist es durchaus ratsam, hierbei auf die Hilfestellung externer Cybersicherheitsexperten zurückzugreifen. OEMs und Zulieferer benötigen Security-Partner, die einerseits spezielle Erfahrung darin haben, Cybersicherheit in der Automobilindustrie von der Konzeption bis hin zur Serienreife zu führen und anschließend im Betrieb das gewünschte Sicherheitsniveau aufrecht zu erhalten, und andererseits große Fachkenntnis in Assessment und dem Ausrollen von Sicherheitsmanagementsystemen mitbringen. Eine derartige Symbiose komplementärer Expertise ermöglicht es, die – im Sinne eines holistischen Ansatzes – notwendigen Änderungen auf der Organisations- und Prozessebene so zu gestalten, dass Auswirkungen auf die Entwicklung und den wirtschaftlichen und effektiven Betrieb der Sicherheitslösungen berücksichtigt und optimiert sind.

(wi)