Mit Blick auf den technischen Wandel rund um das Fahrzeug erlebt die Automobilindustrie gegenwärtig dynamische und mit Blick auf Fragestellungen der Cybersicherheit herausfordernde Zeiten.
Insbesondere durch die UN Regulation No 155, welche die Weichen stellt in Richtung eines übergeordneten regulatorischen Frameworks rund um Cybersicherheit, entstehen neue Aufgabenstellungen zur Gewährleistung von Cybersicherheit. Sie wirkt dabei nicht nur auf bestehende Prozesse ein. Es gilt darüber hinaus gänzlich neue bisher völlig unbekannte Prozesse zu etablieren – und das entlang des gesamten Prozesslebenszyklus. Etwa rund um die sogenannten Continual cybersecurity activities, welche für viele Akteure, bzw. weite Teile der Automotive-Wertschöpfungskette weitreichend neue Organisationsstrukturen, Prozesse und Abläufe erfordern dürften. Wie kann das gelingen?
- I. Welche Dokumente bieten Informationen zu Continual cybersecurity activities?
- II. Continual cybersecurity acitivities entlang der ISO/SAE 21434
- III. Auf welche Herausforderungen treffen Organisationen rund um Continual cybersecurity activities?
- IV. Continual cybersecurity activities vs. Abhängigkeiten innerhalb der Lieferkette
- V. Das Problem der fehlenden Best Practices
- VI. Ausblick und vier Impulse zum Mitnehmen
Mit Continual cybersecurity activities wird im Automotive-Kontext die Gesamtheit der Strategien und Maßnahmen beschrieben, welche entlang des Produktlebenszyklus durchzuführen sind, um neu auftretende Bedrohungen zu erkennen, zu bewerten und wenn möglich zu beseitigen, bzw. sicherzustellen, dass sie keine negativen Auswirkungen auf die Cybersicherheit des betreffenden Fahrzeugs, bzw. seiner Bestandteile und darüber hinaus haben. Wichtig hierbei: Bereits die Arbeiten während der Entwicklung sind hier hinzuzuzählen.
Es ist kein besonderes Expertenwissen erforderlich, um die grundlegende Bedeutung von Continual cybersecurity activities zu erkennen: Je nach Schwachstelle und schlimmstenfalls nicht reibungslos ineinander-greifenden Abläufen sind nahezu alle möglichen Konsequenten denkbar – und entsprechend in den Griff zu bekommen.
Es geht also um das nachhaltige (Neu-)Aufsetzen von kontinuierlichen Überwachungs-, Analyse- und Incident Response-Aktivitäten.
Welche Dokumente bieten Informationen zu Continual cybersecurity activities?
The required scope of the (re)organization becomes particularly clear with a view on Continual cybersecurity activities (CCSA), as described in UN Regulation No. 155 in section 7.2.2.2 (g). Even if the used phrase „The vehicle manufacturer shall …“ and the significance of UN R155 for the type approval process on the part of the OEMs could create a perception that these CSMS-related processes are a job only for manufacturers – it is clear that UN Regulation No. 155 also means that requirements are cascaded down and arise on the side of the suppliers of components and systems. How OEMs pass on requirements to their suppliers and which CSMS principles have to be fulfilled on the suppliers‘ side was recently discussed in our webcast UN Regulation No. 155 is in force: Requirements affecting the supply chain [Full Recorded Webcast] You can also read about it in our article How to establish a CSMS in accordance with UN R155?
Grundsätzlich ist gegenwärtig festzuhalten: Wirkliche Guidelines rund um Continual cybersecurity activities sind am Markt so gut wie nicht vorhanden. Auch die UN R155 formuliert hier nur sehr allgemein und bietet nur einen begrenzt weiterhelfenden Detaillierungsgrad.
The topic of Continual cybersecurity activities is dealt with in more detail in ISO/SAE 2021:21434, more specifically in Clause 8 Continual Cybersecurity Activities.
Clause 8 of the ISO/SAE 21434 standard defines a specific approach to enable effective protection against cybersecurity threats for products throughout the product lifecycle.
Nicht außen vor zu lassen sind in diesem Zusammenhang auch die Verbindung zu Clause 10 Product Development – etwa Schwachstellen, die während der Produktentwicklung bereits erarbeitet wurden (Vgl. [WP-10-05]) – sowie auch zu Clause 13 Cybersecurity incident response, in dem der Cybersecurity incident response plan ausdefiniert wird als Teil der Continual cybersecurity activities.
Continual cybersecurity acitivities entlang der ISO/SAE 21434
Der Blick der Continual cybersecurity acitivites entlang aller Phasen des Lebenszyklaus besteht in der ISO/SAE 21434:2021 aus vier übergeordneten Schritten:
- Überwachung („Cybersecurity Monitoring“)
- Ereignisauswertung („Cybersecurity event evaluation“)
- Schwachstellenanalyse („Vulnerability analysis“)
- und Schwachstellenmanagement („Vulnerability management“)
Was ist Cybersecurity Monitoring?
Das Cybersecurity monitoring stellt die Grundlage dar für sämtliche Strukturen, Schritte und Maßnahmen die entlang der Continual cybersecurity activities aufzubauen und umzusetzen sind. Dabei geht es darum eine Prozedur aufzusetzen, um die umfassende Informations-Sammlung und -Auswertung zu allen Gegebenheiten, die mit der Cybersicherheit der betreffenden Objekte in Verbindung stehen, sicherzustellen. Besondere Aufmerksamkeit erfordern hier (quantitativ und qualitativ) die Quellen, welche die Grundlage für diese Informationsbeschaffung darstellen.
Was ist die Cybersecurity event evaluation?
Mit dem Cybersecurity Monitoring direkt im Zusammenhang stehend ist die Cybersecurity event evaluation. Bei dieser Bewertung, die hier vorgenommen wird, geht es darum, systematisiert festzustellen, ob eines der gegebenen Assets aus dem Portfolio tatsächlich betroffen ist.
Was ist die Vulnerability analysis?
Bei der Analyse der Schwachstelle (in der ISO/SAE 21434 bezeichnet als „Vulnerability analysis“) geht es darum, systematisiert eine Quantifizierung vorzunehmen, inwiefern die entdeckte Schwachstelle eine tatsächliche Angreifbarkeit darstellt und wie folgenreich das daraus resultierende Risikos sein kann. Hierbei geht es darum eine Arbeitsgrundlage zu schaffen, um nachfolgend bestimmen zu können, inwiefern das Risiko akzeptiert werden kann oder Abhilfemaßnahmen zu ermitteln sind.
Was ist das Vulnerability management?
Beim Management der Schwachstelle liegt das Ziel darin, diese Abhilfemaßnahmen konkret zu identifizieren. Hier wird etwa auch der Incident response plan aufgesetzt, um das vorab ermittelte Risiko zu kommunizieren (in Deutschland etwa müssen diese vom OEM an die zuständige Behörde gemeldet werden) und zu reduzieren.
Was erfordert diese Prozedur von den dahinterstehenden Organisationen? Was sind die wichtigsten Herausforderungen, die es zu bewältigen gilt?
Auf welche Herausforderungen treffen Organisationen rund um Continual cybersecurity activities?
Zunächst gilt die Integration von Continual cybersecurity activities in die bestehende Infrastruktur strategisch sinnvoll zu erdenken. Sprechen wir von einer eigenen Organisationseinheitheit, die hier zuständig wird? Werden Projekte individuell betrachtet? Wie steht es um Verantwortungen, insbesondere mit Blick auf die langen Laufzeiten?
Wenn organisationsspezifisch die allgemeinen Rahmenbedingungen (Strukturen, Zuständigkeiten, Prozesse, Abläufe) für die Gewährleistung von kontinuierlichen Cybersicherheitsaktivitäten festgelegt sind, zeigt sich die größte Herausforderung: Unternehmen müssen (neue, bzw. zusätzliche) Ressourcen bereitstellen, um die erdachten Prozesse nachhaltig mit Leben zu erfüllen.
In Anbetracht der Tatsache, dass Ressourcen in der Automobilindustrie aus weiterhin gegebenen Gründen der Kosteneffizienz knapper werden und das Fachwissen, insbesondere rund um die Gewährleistung Cybersicherheit von Fahrzeugen, im Allgemeinen nicht leicht zu beschaffen ist, stehen die meisten Unternehmen bereits in der Phase der Vorbereitung ihrer Continual cybersecurity activities vor dem ersten großen Hindernis.
Continual cybersecurity activities vs. Abhängigkeiten innerhalb der Lieferkette
Ein weiterer Aspekt, den es zu berücksichtigen gilt, sind die Abhängigkeiten und die daraus resultierenden Verantwortlichkeiten innerhalb der Lieferkette, die frühzeitig und umfassend geklärt und definiert werden müssen.
Häufig wird dies erschwert dadurch, dass auf Seiten der OEMs oft nicht das notwendige technische Wissen über die eingebauten Systeme in der erforderlichen Tiefe vorhanden ist. Gar nicht Mal weit seitens der OEMs dieser Anspruch nicht da wäre, sondern häufig auch weil Fragestellungen der Intellectual Property die Transparenz erschweren. Auch in diesen Bereichen werden häufig z.B. Überwachungsaktivitäten nur an die jeweiligen Lieferanten weitergeleitet, sodass diese vollumfänglich eigenständig (und das nicht selten über Jahrzehnte!) auf Seiten des Lieferanten durchgeführt werden müssen.
Aus Sicht der Zulieferer bedeutet dies, dass sie enorme Ressourcen aufbauen müssen, um diesen zugesagten kontinuierlichen Cybersecurity-Support für ihre Produkte, Komponenten und Systeme zu gewährleisten.
Bereits heute werden Vertragswerke aufgesetzt, bei denen zugesagt wird, dass entdeckte Cybersicherheitsverletzungen auch in 15 Jahren binnen weniger Tage gefixt werden. Dabei kann der Eindruck aufkommen, dass perspektivische Cybersicherheitsherausforderungen ausgeblendet werden. (Von theoretisch möglichen Szenarien wie dem weitläufig gefürchteten „Q-Day“, der Tag, an dem Quantencomputer-Technologien herkömmliche Verschlüsselung werden bewältigen können, noch gar nicht gesprochen.)
Wie ist dies dennoch sinnvoll und vor allem realistisch umsetzbar anzugehen?
Das Problem der fehlenden Best Practices
Es lässt sich nicht leugnen, die Auseinandersetzung mit Fragestellungen der Continual cybersecurity acitivites sind für die Automotive-Branche neuer als für die Kollegen aus der IT. Es gibt keine Best Practices, an die sich Unternehmen halten können.
Veranstalter von Fachkonferenzen und Messen – welche nach der Pandemie ihre Bemühungen wieder hochschrauben, den Automotive-Cybersecurity-Wissens-Austausch in der Branche zu fördern – stellen fest: Die Inhalte, die sie gerne auf ihren Bühnen präsentieren (und Zuhörer sehr gerne auch hören) würden, es gibt sie einfach noch nicht.
Da es noch keine ausdefinierten und etablierten Arbeitsweisen gibt, wird es gegenwärtig unverzichtbar, unzählige Diskussionen und Abstimmungen innerhalb der gesamten Lieferkette zu führen, um hier ein stabiles Ineinandergreifen zu realisieren.
Auf der anderen Seite ist es nicht nur der Markt, sondern vor allem sind es auch die Zulassungsbehörden, der technische Dienst und weitere für den Automotive-Markt relevante Institutionen, welche rund um Continual cybersecurity activities derzeit technisches Neuland betreten.
Das verschärft die aktuelle Situation: Bestehende Unklarheiten innerhalb der Branche werden durch unklare Erwartungen der Zulassungsbehörden und Technischen Dienste an die Auslegung und Umsetzung der Verordnung eher verstärkt als beseitigt.
Ausblick und vier Impulse zum Mitnehmen
Angesichts der beschriebenen Umstände stellt sich die Frage, wie die betroffenen Organisationen mit dieser enormen Herausforderung umgehen sollen?
In erster Linie sind Organisationen in der Pflicht, ein Verständnis für die Herausforderung, das gegebene Ausmaß und die gegenseitigen Abhängigkeiten zu entwickeln. Beim Aufsetzen von Lösungen gilt es neben der kurzfristigen Umsetzung vor allem auch die strategisch sinnvolle und langfristige Perspektive im Blick zu haben.
Basierend auf den Arbeiten, welche wir gegenwärtig für unsere Automotive-Kunden realisieren, um Continual-cybersecurity-activity-Fähigkeiten Schritt für Schritt aufzubauen und die Reife im Umgang mit kontinuierliche Cybersicherheitsaktivitäten zu erhöhen, zum Abschluss noch vier Impulse, welche unverzichtbar werden.
Es gilt,
- ausgeprägtes Bewusstsein und Verständnis für die enorme Spannweite der Continual cybersecurity activities für das eigene Item, System, bzw. Komponenten aufzubauen
- – die Etablierung und den Aufbau von Infrastrukturen und Prozessen zur effizienten Informationseinholung (neben der internen Infrastruktur, bzw. vom Fahrzeug generierten Informationen, auch unter Einbeziehung externer Quellen) frühzeitig anzustoßen,
- die Anlage eines zentralen Speichers über gesammelte Informationen für sofortige oder zukünftige Analysen anzugehen
- und den organisationsspezifischen Aufbau eines Security Operation Centers anzustoßen. Dies fungiert als zentrale Instanz, um Ereignisse analysieren, Risiken bewerten und das Anstoßen von Maßnahmen zur Risiko-Reduzierung vornehmen zu können.
CYRES Consulting provides cybersecurity services and consultancies, with a focus on engineering and development, particularly in the automotive sector. With a team of experts from all over the world, we bring deep knowledge and hands-on experience to each project. From helping global automotive pioneers to collaborating with top-tier technology providers, we help organizations secure their future through innovative cybersecurity solutions.
Comments are closed.