Okt 10

Der Cybersecurity plan in der Automotive-Entwicklung entlang der ISO/SAE 21434: Alles was Sie wissen müssen

cybersecurity-plan-iso-21434

Wie gelingt die gesamtheitliche Organisation all der Dinge, die in Bezug auf Cybersicherheit innerhalb eines Automotive-Entwicklungsprojekt getan werden müssen? Ein zentraler Dreh- und Angelpunkt dafür ist das Aufsetzen des sogenannten Cybersecurity plan. In diesem Beitrag wollen wir (in Ergänzung zu unserem zugehörigen Lernvideokurs) erklären, inwiefern der Cybersecurity plan von so enormer Wichtigkeit für die Strukturierung, Umsetzung und Dokumentation aller cybersicherheitsrelevanten Aktivitäten in einem Entwicklungsprojekt ist.

Vorab sei die Abgrenzung eingeschoben: In diesem Beitrag geht es ausschließlich um den sogenannten Cybersecurity plan, wie er in Bezug auf die Sicherstellung von Cybersicherheit im Automotive-Entwicklungskontext vorgesehen ist. Die allgemeine Betrachtung von Planungen zu Cybersicherheit, etwa mit Blick auf IT-Security o.ä., wird hier außen vorgelassen.

Los geht’s.

Im Nachfolgenden wollen wir uns zum einen natürlich orientieren an der Theorie des ISO/SAE 21434-Standards, welche allgemeingültig die Anforderung an den Cybersecurity plan skizziert, aber darüber hinaus auch eine etwas konkretere Perspektive aus der Praxis und gegebenen Best Practices einfließen lassen.

Was ist der Cybersecurity plan in der Automotive Entwicklung?

Neben den organisationalen Fragestellungen zur Cybersicherheit im Automotive-Kontext, welche sich beziehen auf Strukturen, Prozesse, Management sowie ganz allgemeine Handhabe, sind darüber hinaus natürlich insbesondere für jedes einzelne Entwicklungsprojekt spezifische Cybersicherheits-Aspekte und -Aktivitäten wichtig, insbesondere mit Blick auf den gesamten Lebenszyklus bis zur fertigen Komponente, bzw. zum fertigen Fahrzeug.

Sie betreffen die gesamte Entwicklung eines (neuen) Items, bzw. einer Komponente, welche unter die Relevanzkriterien der Automotive Cybersicherheit fällt.

Für diese Entwicklungsarbeit gilt der sogenannte Cybersecurity plan als das wichtigste Dokument in Bezug auf die ganzheitliche Einbeziehung, vollumfängliche Planung sowie die dokumentierte Realisierung von Cybersicherheits-Aktivitäten innerhalb eines Automotive-Entwicklungsprojekts.

Neben den eigentlichen anzugehenden Cybersecurity objectives für das jeweilige Item, bzw. die Komponente soll der Cybersecurity plan eine Übersicht über Abhängigkeiten, sowie über Verantwortungen, Ressourcen und die geplante und tatsächliche Zeitachse der Umsetzung liefern. Und, mit am wichtigsten, der Cybersecurity plan soll identifizieren, welche einzelnen ISO/SAE 21434-Aktivitäten und die daraus resultierenden Work Products, die vom Standard in Bezug auf Cybersicherheit für das jeweilige Item, bzw. die Komponente eingefordert werden (dies gilt es nachvollziehbar zu analysieren und zu argumentieren!), umgesetzt werden sollen, und wie es damit aussieht.

Der Cybersecurity plan als Work Product des ISO/SAE 21434-Standards

Gleichzeitig gilt sich klar zu machen: Der Cybersecurity plan selber ist bereits ein Work Product der ISO/SAE 21434. Das bedeutet, den Cybersecurity plan aufzusetzen ist kein optionales Unterfangen, sondern ein konkret von der ISO/SAE 21434 (s. dazu Clause 6 im Standard) definiertes Dokument, welches es so aufzusetzen gilt, dass alle geforderten Inhalte entlang der Requirements im Standard abgedeckt werden.

Klarheit über Ressourcen, Zuständigkeiten und Verantwortungsbereiche

Wer in der Praxis nicht nur mit der theoretischen Auseinandersetzung, sondern bereits mit der ganz konkreten Umsetzung von Cybersecurity-Aktivitäten zu tun gehabt hat, der weiß: Cybersecurity erfordert Zeit. Und Kompetenz. Und Ressourcen.

Offensichtlich also, dass eine ganz stringente Planungsstruktur erforderlich ist, um genau diese Zuordnungen für jede einzelne erforderliche Aktivität, die in Bezug auf Cybersicherheit für das jeweilige Entwicklungsvorhaben umzusetzen ist, gewährleisten zu können. Ebenso offensichtlich sollte sein, dass es unverzichtbar wird, konsequent die Pflege und Aktualisierung im Cybersecurity plan vorzunehmen, etwa bei sich ändernden Rahmenbedingungen. (Welche extrem vielfältig sein können: von neuen Lieferanten, über Umstrukturierungen der Cybersecurity-Organisation uvm. – Der Blick auf die Zusammenhänge ist daher so wichtig.)

Der Cybersecurity plan als Arbeitswerkzeug: Erkennen, wenn überzogen wird

Fast nichts ist wichtiger in der Realisierung von Cybersicherheits-Aktivitäten als der konsequente Blick auf Zeit, Qualität und Kosten. Etwaige Versäumnisse und Zeitüberschreitungen in der Fertigstellung und Umsetzung von Cybersicherheit können mit einem akurat und fortlaufend gepflegten Cybersecurity plan aufgedeckt werden.

Es gilt sich stets vor Augen zu führen: Die Umsetzung von Cybersicherheit ist immer eng verzahnt mit den Fortschritten im Produktentstehungsprozess. Verzug im Cybersecurity plan kann direkten Impact auf die gesamte Entwicklung haben, was die engmaschige Verlinkung so unverzichtbar macht.

Die Bedeutung der Dokumentation von Fortschritt

Der Cybersecurity plan beinhaltet nicht ausschließlich statische Informationen. Im Gegenteil, der Cybersecurity plan bietet als lebendes Dokument eine hervorragende Informationsquelle, um erreichte Fortschritte ganzheitlich darzustellen. Etwa können Cybersicherheits-Aktivitäten entlang der Phasen im Lebenszyklus des Items, bzw. der Komponenten in ihren erforderlichen Reifegraden (und wie es um die Erreichung steht) nachgehalten werden.

Häufig dient der Cybersecurity plan auch als miteinander geteiltes Reporting-Tool, um auch organisationsübergreifend gegenüber externen Stakeholdern in der Entwicklungsarbeit die erreichten Meilensteine darzulegen.

In der Automotive-Entwicklung: Der Projekt-Plan vs. Cybersecurity plan?

Der Cybersecurity plan benötigt in jedem Fall stets eine direkte Verknüpfung zum übergeordneten Projektplan eines Entwicklungsvorhabens. Dabei ist es in der Regel unerheblich, ob der Cybersecurity plan

  • ganzheitlich integriert ist in den gegebenen Projektplan,
  • oder aber der Projektplan auf den zugehörigen Cybersecurity plan referenziert.

Diese enge Verbindung zwischen dem klassischen Projektmanagement des Entwicklungsprojekt auf der einen Seite und den Fragestellungen der Cybersicherheit auf der anderen Seite verdeutlicht bereits, dass es in der Praxis nicht möglich sein kann, Cybersicherheit so zu betrachten, als ob die gesamte Domäne aus dem Projektmanagement herauslösbar sei und nur als separate Funktion betrachtbar ist. (Lesen Sie hierzu auch unseren Blogartikel How to integrate cybersecurity throughout development projects in automotive)

Tiefergehende Unterstützung rund um den Cybersecurity plan

Sprechen Sie uns für den weiteren Austausch rund um den Cybersecurity plan gerne an. Etwa zur Aufbereitung von konkreten Arbeitstemplates und/oder die zugehörige Unterstützung aus Cybersecurity-Perspektive im Entwicklungsprojekt.

Lernen Sie darüber hinaus mehr über den Cybersecurity plan und seine Bedeutung in unseren zugehörigen Lernvideos:

Planning of cybersecurity the project (Lernvideo)

Planning of cybersecurity in project video course

What is a Cybersecurity Plan (Lernvideo)

Sign up for our CYRES Consulting Automotive Cybersecurity Newsletter

Stay informed! Receive regular insights into current topics related to cybersecurity in the automotive industry directly to your inbox.

Sign up here for the newsletter, free of charge and with no obligations.

X