Nov 24

Warum Security by Design in der Automotive-Entwicklung scheitert?

security-by-design-automotive

Hand aufs Herz, Security by Design, das ist gegenwärtig branchenübergreifend in den meisten Abläufen der Produktentstehung viel mehr eine ideal-typische Vorstellung als ein festes Arbeitsprinzip. Insbesondere in den verschachtelten Zuliefererketten der Automobil-Industrie wird auch der ambitionierteste OEM schnell auf den Boden der Tatsachen geholt: Security-by-Design scheitert an der Komplexität der Fahrzeugentwicklung. In diesem Artikel wollen wir untersuchen, warum das so ist, und was dennoch möglich ist zu tun.

Fangen wir dafür an mit einer grundlegenden Definition von Security by Design.

Was ist Security by Design?

Die Idee von Security by Design ist eigentlich einfach erklärt. Im Grunde handelt es sich dabei um einen Ansatz, der vorsieht, dass bereits in allen Phasen der Entstehung eines Produkts von Anfang an sichergestellt wird, das Security-Anforderungen definiert und abgedeckt werden.

Konkret wäre es dabei so, dass im Design, also innerhalb der Entstehung, höchstes Augenmerk darauf gelegt wird, Security-Anforderungen im Entstehungsprozess von Anfang an vollständig zu berücksichtigen und entsprechende Maßnahmen zur Reduzierung von Schwachstellen frühestmöglich umzusetzen.

Was zunächst absolut erstrebenswert klingt, scheitert in der Automotive-Zulieferkette häufig aus ganz unterschiedlichen Business-Logiken, die wir nachfolgend aufzeigen möchten.

Was trivial klingt ist ein echtes Problem: Fehlende Awareness als folgenschweres Hindernis

Was der Kunde nicht konkret angefragt oder sauber als Anforderung definiert hat, das wird erstmal nicht gemacht. So oder ähnlich argumentieren generell viele Unternehmen, Teams und Einzelpersonen auf der ganzen Welt, um ihr Geschäft ressourcen-effizient anzuschieben – Konkrete Aufgabenstellungen der Cybersicherheit ändern daran nichts. In unserer Erfahrung mit Entwicklungsteams und Entscheidern auf Projektebene kann man da aus der jeweiligen Geschäftspraktik heraus auch gar keinen Vorwurf machen.

Eine solche Situation wird aber häufig verschärft durch unzureichende cybersicherheits-spezifische Sensibilisierung zum einen und unzureichende fachlichen Ausbildung zum anderen.

Gleichzeitig ist insbesondere entlang der nachgelagerten Lieferantenstruktur die operative Verantwortlichkeit für die Handlungsfelder der Fahrzeug-Cybersicherheit viel zu niedrig aufgehangen. (s. dazu auch der nächste Punkt)

Entscheidungsträger liegen häufig absolut nicht-realistische Informationen vor, die ihnen als Basis für eine sinnvolle Entscheidung dienen sollen.

Insbesondere auf organisationaler Ebene entsteht dadurch das Risiko eines unzureichenden oder überhaupt nicht gegebenen Zielbildes, wohin die Bemühungen rund um Cybersicherheit gehen müssen. Dieser Missstand, der oben beginnt, kaskadiert sich weiter nach unten.

Fehlende Struktur, um Security-Design überhaupt erst zu ermöglichen

Dem folgend die Konsequenz: Die bestehende Struktur innerhalb der Organisation, im Projekt, bzw. im konkreten Arbeits-Setting lässt die Berücksichtigung und konsequente Anwendung von Security-by-Design schlichtweg gar nicht zu.

Dieser Missstand ist häufig und vor allem schnell zu identifizieren: Die existierende Prozess-Landschaft (und insbesondere mit einem Blick auf die tatsächlich in der Praxis angewendeten Prozesse) berücksichtigt Security-by-Design völlig unzureichend.

Logischerweise tun sich hier einerseits kleinere Organisationen mit limitierten Ressourcen besonders schwer, zum anderen sind es häufig aber auch die Großorganisationen, in denen eine besonders hohe Diskrepanzen zwischen der zwar definierten Prozess-Landschaft und der Arbeitsrealität ausgemacht werden kann. („Papier ist geduldig“ sagt man, um zu verdeutlichen, dass sich Vieles zwar niederschreiben lässt, eine konkrete Auswirkung aber nicht zu erwarten sein muss.)

Defizite finden sich meist wie folgt:

  • Unzureichende Governance: Grundsätze, Richtlinien, Leitbilder und insbesondere ihre sichergestellte Anwendung werden im Bereich der Implementierung von Cybersicherheit häufig absolut vernachlässigt.
  • Verantwortlichkeiten und die zugehörige Autorität werden organisations-strukturell unzureichend aufgehängt.
  • Global fehlende Zielsetzungen in Bezug auf die organisationsweite Anwendung von Cybersicherheit – Wenn sie zwar gegeben sind, dann mangelt es an konkreten Systematiken zur nachhaltigen Durchsetzung und Kontrolle.
  • Entsprechend sind Budgets und Ressource unzureichend allokiert und/oder die erforderliche Unterstützung und das Engagement seitens der Entscheider sind ungenügend.

Parallel zu diesen organisationalen Schwierigkeiten kommen die konkreten Rahmenparameter im Projekt: Bietet der Entwicklungsplan überhaupt ausreichend Machbarkeit, um Security-by-Design zu realisieren? Wie sehen die Voraussetzungen in der Praxis konkret aus?

Im Effizienzgetriebenen Automotive-Alltag sind ‚delivery‘-orientierte Richtungen mit Fokus auf Output ein besonderer Grund für unzureichende Ressource in Bezug auf Cybersecurity-Implementierung.

Es mangelt letztendlich ganz banal an der Zeit, um einen integrierten Security-by-Design-Ansatz aufzusetzen und anwenden zu können.

Der konkrete Business Case zieht Security unzureichend in Betracht

Ein weiterer Störfaktor ist ein klassisches Problem: Der Verkauf verkauft, die Entwicklung entwickelt und auf einmal hat Cybersecurity seinen Auftritt verpasst.

Ganz so schlimm ist es natürlich glücklicherweise häufig nicht, dennoch ist immer wieder festzustellen, dass Cybersecurity (und die dahinterstehende Tragweite des Impacts) unzureichend mitgedacht wird, wenn es um das Aufsetzen von neuen Möglichkeiten und konkreten Ausarbeitungen im Kerngeschäft geht.

Fragen, die sich hier viel häufiger gestellt werden sollten:

  • Was ist in Bezug auf Cybersicherheit zu tun?
  • Wieviel davon ist wirklich effektiv zu erledigen?
  • Was muss konkret überhaupt erreicht werden?
  • What are the concrete consequences of this?

Häufig bleibt es hier bei unklaren Definitionen und vagen Richtungen, die in der Konsequenz zur Folge haben, dass unzureichende Ressourcen in Bezug auf Cybersecurity für einzelne Entwicklungsvorhaben vorhanden sind.

Erschwerend wird auch der Kosten-Nutzen-Faktor von Cybersicherheit allzuhäufig falsch eingeschätzt, was dem altbekannten Szenario „Business need vs. Cybersecurity need“ Tür und Tor öffnet.

Cybersicherheit hat in Organisationen immer auch eine politische Dimension

Insbesondere aus der Perspektive von Endanwendern eines jeden Fahrzeugs ist eine Forderung absolut legitim: Die erforderlichen Maßnahmen zur Abschwächung von Cybersicherheitsrisiken müssen bis ins letzte umgesetzt sein.

Fairerweise muss man festhalten: In der Regel ist ebenso auf Seite der Unternehmen dieser Anspruch gleichwertig gegeben. Gemeinhin weiß man an entsprechender Stelle, was das Richtige wäre.

Aber dennoch findet man auf Organisationsebene häufig ganz konkrete Interessenskonflikte vor, die zu einer Blockade in der Umsetzung führen können.

Etwa finden sich formal Zuständige für die Realisierung von Cybersicherheitsfragestellungen, welche an sich verantwortlich wären, die die konkrete Umsetzung aber nicht angestoßen bekommen.

Sagen wir, wie es ist, die Automobil-Industrie ist extrem hierarchisch geprägt.

Angefangen bei kleinen Fragestellungen bis zu ganz großen strukturellen Entscheidungsfindungen lassen sich in kleinen und größeren Organisationen immer wieder Machtspiele, Intrigen und Eigeninteressen beobachten, welche die Umsetzung von Cybersicherheit auf Organisations- und Projektebene massiv behindern können.

Nicht lustig, weil es wahr ist: Produkte sind schon in der Entwicklung, bzw. im Feld im Einsatz

Informationsveranstaltungen, Webinare, Podiumsdiskussionen – Regelmäßig kommt dabei immer wieder eine Frage auf: Wie werden eigentlich die ganzen wachsenden Ansprüche an Cybersicherheit umgesetzt bei den Millionen Fahrzeugen, die sich bereits in der Entwicklung, bzw. auf der Straße befinden?

Ja, die Frage ist berechtigt.

Mit Übergangsfristen, etwa durch die UN Regulation No. 155, soll sichergestellt werden, dass zu einem späteren Zeitpunkt dann Mal ganzheitlich die Maßnahmen greifen, die Cybersicherheit verbindlich einfordern. Aktuell sind wir davon noch entfernt.

Und ja, logisch, die Prinzipien des Security-by-Design können entsprechend so nicht mehr greifen, sobald Produkte die entsprechend fortgeschrittenen Phasen im Lebenszyklus erreicht haben.

Gerade deshalb, wenn der Groschen gefallen ist, entstehen gegenwärtig immense Ressourcenaufwendungen, um zumindest für die Zukunft hier entgegen zu steuern und eher in Richtung Security-by-Design arbeiten zu können.

Nicht zu unterschätzen ist in diesem Zusammenhang auch die lange Lebensdauer in der Fahrzeugindustrie: Es ist als nahezu sicher anzusehen, das während eines etwa zwanzig-jährigen Produktlebenszyklus jederzeit neue Bedrohungen und veränderte Risikolagen entstehen werden, welche die andauernde Weiterentwicklung von Cybersicherheit weit über den Entstehungsprozess hinaus unverzichtbar machen.

Ebenfalls schwierig für Security by Design: Regionalspezifische Unterschiede

Nehmen wir die UN Regulation No 155, welche von den 64 Mitgliedsstaaten der UNECE WP.29 mitgetragen wird. Werden hier in diesen Märkten Fahrzeuge verkauft, ist die Einhaltung der UN R155 verpflichtend.

Nehmen wir aber die Absatzmärkte USA und China, hier gilt die UN R155 offiziell nicht.

Beginnt man mit der Recherche, was genau der Chinesische Markt oder die Vereinigten Staaten hier als Pendant einfordern, wird es direkt kompliziert.

Das zeigt: Regional unterschiedliche Anforderungen erschweren einen stringenten Security-by-Design-Ansatz ungemein.

Ein ähnliches Lied können Zulieferer singen, die beginnen, mit ihren (Neu-)Entwicklungen Fuß zu fassen in der komplex verzweigten Automotive-Industrie. Globale Zulieferer müssen mit ihren Produkten teilweise absolut unterschiedlichen Anforderungen gerecht werden. Nicht selten fehlt das Bewusstsein über diese heterogene Anforderungsstruktur in den frühen Anfangsstadien einer Entwicklung sogar völlig.

Diese Situationen erschweren den Anspruch, Security-by-Design konsistent umsetzen zu können, selbst wenn das Ambitionslevel und organisationalen Möglichkeiten gegeben wären.

Fazit

Zusammenfassend lässt sich sagen, dass die aufgeführten Punkte jeweils bewusst Extreme aufzeigen sollen. Gleichzeitig ist die Branche aber auch von ganzheitlichen und konsistent vereinheitlichten Security-by-Design-Ansätzen noch weit entfernt. Spezifische Methoden werden hier auch von der UN Regulation No 155 und der ISO/SAE 21434:2021 nicht eingefordert.

Entsprechend gilt es aktuell weiterhin organisations-spezifische Antworten zu finden, um auf Ebene der Organisation, im Projekt und im Engineering frühzeitig die richtigen Weichenstellungen vorzunehmen.

Sign up for our CYRES Consulting Automotive Cybersecurity Newsletter

Stay informed! Receive regular insights into current topics related to cybersecurity in the automotive industry directly to your inbox.

Sign up here for the newsletter, free of charge and with no obligations.

X