Security-Aktivitäten werden zulassungsrelevant. Im Gastbeitrag zeigt Dominik Strube, was Hersteller und Zulieferer zukünftig bei der Entwicklung von Cybersecurity-Managementsystemen beachten müssen.
Cybersecurity-Managementsysteme werden Pflicht
Kugler
Still und heimlich nachbessern, wenn wieder ein White-Hat-Hacker einen Weg gefunden hat, ein Fahrzeug unter seine Kontrolle zu bekommen – damit ist es vorbei: Mit UNECE hat ein transnationales Harmonisierungsgremium beschlossen, dass Security-Aktivitäten künftig zulassungsrelevant werden. Wir schauen uns genauer an, was mit dem geforderten Managementsystem für Cybersecurity auf die Entwicklungsbereiche von Herstellern und -zulieferern zukommt.
Bei Security denken wir an Verschlüsselung und dergleichen. Absicherungen im Projekt sind jedoch nur die halbe Miete: Genauso entscheidend sind Vorkehrungen auf Unternehmensseite. Denn Cybersecurity veraltet umgehend. Die Betriebsumgebung eines vernetzten Fahrzeugs ändert sich; Server werden aktualisiert, neue Funktionen aufgespielt. Im Laufe der Zeit bewegt sich ein anderer Wagen in einer anderen Cyberwelt. Security ist deshalb kein Zustand, den man abhaken kann. Sie ist vielmehr ein Prozess, der vom ersten Entwurf an berücksichtigt und über den Lebenszyklus hinweg aufrechterhalten werden muss – ein bewegliches Ziel. Hierfür sorgt das Cybersecurity-Managementsystem.
Der Gesetzgeber meint es ernst
Komfortfunktionen und Assistenzsysteme gehören heute zur Grundausstattung. Damit steigt auch die Verwundbarkeit für Angriffe. Daher hat eine Arbeitsgruppe der UNECE, dem für die Harmonierung von Fahrzeugzulassungen zuständigen UN-Gremium (Kasten), beschlossen, dass Hersteller in Europa über adäquate Managementsysteme für Cybersecurity (CSMS) und für Software-Updates einrichten müssen. Diese müssen regelmäßig nach dem PDCA-Prozess auditiert werden, wie wir es von Qualitäts-, Umwelt-, Projekt- oder Sicherheits-Managementsystemen her kennen.
Grundsätzlich geht es bei Cybersecurity darum, Fahrzeuge vor unberechtigtem Zugriff zu schützen. Andere Schutzkonzepte wie Funktionssicherheit (ISO 26262) zielen darauf, Anwender und Unbeteiligte vor ungewünschten Folgen aus dem Fahrbetrieb zu bewahren. Security, um die es hier gehen soll, bezieht sich auf den ausreichenden Schutz durch systematische Vorkehrungen der Organisation: Prozesse, Verantwortlichkeiten und Lenkung. Ein wesentlicher Teil des CSMS umfasst dabei den Umgang mit Risiken. Hierzu werden regelmäßig Bedrohungsszenarien erstellt. [Kasten] Die Erkenntnisse aus der Risikowertung fließen dann in ein Cybersecurity-Konzept. Dort werden Ziele definiert, wie die ermittelten Risiken reduziert werden sollen – auf Architekturebene oder durch andere Vorkehrungen. Cybersecurity wird so zu einer konkreten Produktanforderung, die es umzusetzen und zu überprüfen gilt. Cybersecurity-Ziele fließen also ins Anforderungsmanagement ebenso ein wie in die Teststrategien.
Damit sicher auch sicher bleibt
Im Kern geht es darum, die Produktsicherheit bis zum Support-Ende aufrechtzuerhalten. Im Feuer des Alltags braucht es dazu Disziplin. Ein Managementsystem verleiht dem Nachdruck. Zugleich sorgt das CSMS dafür, dass Security sich auch in der innerbetrieblichen (Budget-) Planung etablieren kann.
Ein CSMS setzt die Leitplanken, wie das Unternehmen für eine Cybersecurity-Kultur sorgen will:
- Management-Aufmerksamkeit,
- Entscheidungen und Budgetierung dürfen kein Lippenbekenntnis bleiben.
- die Aufbauorganisation gestalten will, die Entwicklungsprozesse und Verfahren dokumentieren und überwachen will,
- die erforderliche Infrastruktur sowie Fähigkeiten und Kompetenzen aufbauen will,
- ein kontinuierliches Monitoring der Bedrohungslandschaft aufsetzen und mit bekannt gewordenen Sicherheitslücken umgehen will sowie wie es
- mit Kunden und Lieferanten zusammenzuarbeiten gedenkt, um Security in der auch in der Lieferkette zu gewährleisten.
Keine schnelle Reaktion ohne Vorbereitung
Ein CSMS dient auch dazu, Cyberrisiken im Vorfeld zu erkennen und abzuwenden. Hierzu bietet sich auf Unternehmensebene der Betrieb eines Vehicle-Security-Operations-Center (SOC) an, das die Bedrohungslage im Cyberspace kontinuierlich überwacht und bewertet. Das SOC braucht eine Strategie, aus welchen externen Quellen Informationen über Risiken gewonnen werden sollen. Rauschen muss mittels Triage-Kriterien gefiltert werden. Liegen Bedrohungen vor, informiert das SOC die Projektingenieure und steht diesen mit Wissen und Best Practices zur Seite.
Ein hochqualifiziertes Incident-Response-Team dient als Feuerwehr, das Vorfälle von Anfang bis Ende durchspielen kann. Schwachstellen werden dokumentiert und mittels eines Bewertungsmodells eingeordnet. Hierum kümmert sich ein Team für Verwundbarkeits-Scans, das auch analysiert, ob erkannte Schwachstellen in anderen Produkten existieren. Mit einem Kommunikationsplan können Beteiligte effektiv informiert werden. Ohne organisatorische Vorgaben wie Lenkung, geregelte Arbeitsabläufe, Verfahrensprotokolle, Überprüfungsmaßnahmen und Risikomanagement gelingt dies nicht.
Cybersecurity ist nicht alles
Und dann gibt es da noch einen Zielkonflikt: Je sicherer ein Produkt, desto komplizierter gestaltet sich vielleicht die Bedienung, leidet die Performance oder attraktive Funktionen werden nicht implementiert. Und kontinuierliche Sicherheitsarbeit wie der Betrieb eines SOC hat ihren Preis. Cybersecurity muss daher von Anfang an mitgedacht werden ̶ nachträgliche Lösungen kommen teuer.
Entscheidend für ein wirkungsvolles Cybersecurity-Managementsystem ist die Integration ins Tagesgeschäft und in die Prozesslandschaft des Unternehmens. Gelungene Cybersecurity ist weder der Mantel, der schützend ums fertige Produkt gelegt werden kann, noch ein Parallelsystem zum bestehenden Unternehmen.