Apr 25

Wie etabliere ich ein CSMS entlang der UN R155? Ein (kurzer) Praxis-Guide

How-to-implement-a-CSMS

Weltweit stehen OEMs und insbesondere auch ihre Zulieferer mit Blick auf den Stichtag Juli 2024 vor den mannigfaltigen Herausforderungen, die Vorrausetzungen und Anforderungen der UN Regulation No 155 in den Griff zu bekommen. Es geht darum, auch zukünftig Fahrzeuge in die entsprechenden Zielmärkte des Geltungsbereichs verkaufen zu können. Wichtigste Aufgabe dabei: die Einführung eines CSMS, worum es in diesem Artikel gehen soll.

Aktuell kommen auf internationaler und nationaler Ebene immer mehr Regulierungen und Standards auf, die direkt auf die Fahrzeugindustrie einwirken. Dabei ist die UN R155 als wichtigste regulatorische Auferlegung anzusehen, um Cybersicherheit in der Automotive-Entwicklung sicherzustellen. (Erfahren Sie mehr zum Hintergrund der UN Regulation No 155 und den lokalen Geltungsbereichen auch in unserem Hauptartikel zur UN Regulation No 155).

Um das Ziel der effektiv gewährleisteten Cybersicherheit zu erreichen, sieht es die geltende Rechtsprechung vor, dass hier direkt in den Prozess der Genehmigung für ein Fahrzeug eingegriffen wird.

Für den Vorgang der Typgenehmigung ist der OEM verantwortlich. Er muss als Hersteller im Zusammenspiel mit einem Technical service (welcher das Type Approval Testing übernimmt) und der Approval authority (welche die Genehmigung ausstellt) seine Fahrzeuge genehmigen lassen, wenn er sie in einem Zielmarkt verkaufen möchte. Standardmäßig geht dieser Typgenehmigungsprozess von statten mit Hilfe eines Sample vehicles und den zugehörigen technischen Dokumenten.

Bereits seit Juli 2022 gilt für komplett neue Fahrzeugtypen und ab Juli 2024 für alle neu zugelassenen Fahrzeuge (ausgenommen Kleinserien) in diesem Zusammenhang eine zusätzliche Vorrausetzung, um die Genehmigungen zu erhalten: Der Nachweis über ein erlangtes Certificate of Compliance (kurz CoC) für ein erfolgreich eingeführtes und offiziell auditiertes Cybersecurity Management System.

Entsprechend mehren sich die Fragen und Informationsbedürfnisse rund um die Fragestellung, was genau für ein Cybersecurity Management System (kurz CSMS) zu tun ist.

Was ist ein CSMS entlang der UN R155?

Bei einem CSMS handelt es sich entlang der UN R155 um nicht mehr oder minder eine vollständige Prozess-Landschaft in Organisationen, um Cybersicherheit in der Entwicklungsarbeit ganzheitlich einfließen zu lassen.

Hierbei spricht man vom professionellen Management von Cybersicherheit:

  • Risiko-Identifizierungen (also Assessment, Kategorisierung und Umgang mit Risiken),
  • kontinuierliches Monitoring,
  • das gesamte Zusammenspiel der Wertschöpfung mit angeschlossenen Zulieferern
  • und das alles im gesamten Produktlebenszyklus eines Fahrzeugs, also von der Entwicklung bis zur Post-Produktion.

Neben dem reinen CoC als Nachweis über das CSMS werden weitere Erforderlichkeiten im Typgenehmigungsverfahren erforderlich, wie etwa ein ganz konkreter Beleg über die in der Praxis gelebte Anwendung des CSMS während der Entwicklung – hierbei kommen entsprechenden technischen Dokumenten, Nachweisen und Belegen über die konkrete Anwendung eine besondere Bedeutung zu.

Während diese aufzeigten Notwendigkeiten organisatorisch zwar vordergründig vom OEM zu schultern sind, ist dieser ebenfalls verantwortlich für seine nachgelagerte Supply-Chain.

Das bedeutet in der Praxis, dass rund um die Anwendung der UN Regulation No 155 und des CSMS auf Ebene der Lieferanten immer häufiger Fragestellungen entstehen, inwieweit sie da genau was zu erledigen haben. Erst recht, wenn Hersteller hier bereits ihre entsprechenden Forderungen an ihre Supplier konkret adressieren. Finden Sie dazu auch unseren Informations-Webcast: How do UN Regulation No 155 / CSMS affect the supply chain? [Info Webcast] (Video)

Welche Auswirkungen hat das CSMS für Supplier?

Während regulatorisch nur der OEM in die Pflicht genommen wird, lässt sich gegenwärtig eine ganz eindeutige Marktentwicklung beobachten, in der Lieferanten vom OEM die Anforderungen des CSMS nahezu 1:1 durchgereicht bekommen: Regelmäßig sehen sich Lieferanten in der Pflicht, etwa um Geschäft überhaupt erst realisieren zu können, dass sie mehr oder minder auf dem Niveau des OEMs Management-Systeme und zugehörige Anforderungen in Bezug auf Cybersicherheit realisieren müssen.

Um besser zu verstehen, was das bedeutet, dafür kurz ausgeholt:

Unterscheidung: Der übergeordnete Part für die Organisation + der spezifische Part für das Projekt

„Hey wir wollen unsere gesamte Organisation umkrempeln und strukturell vollständig neu aufstellen, einfach um Cybersicherheit noch besser sicherstellen zu können.“ Solche Aussagen dürften sich in der Praxis selten finden.

Nachvollziehbar, schließlich geht es in jeder Firma erstmal primär um die Erbringung der eigenen Wertschöpfung. Die eigenen Entwicklungen voranbringen, den Verkauf selbiger sicherzustellen.

Und insbesondere im Metier der Cybersicherheit existieren in der Praxis Unklarheiten: über die Zuständigkeit für die Verantwortung, die unzureichende Ressource und allzu häufig sind Mittel und Rückendeckung seitens der Führung gar nicht gegeben, um hier ‚aus dem nichts‘ ein solches Vorhaben organisationsweit angehen zu können.

Entsprechend kommen Fragestellungen und Aufgaben zur Cybersicherheit fast immer ganz konkret aus einem konkreten Entwicklungsprojekt heraus. Dennoch, ganz deutlich: Auch wenn die Initiierung aus dem Projekt herauskommt, es gilt bei einem CSMS die Organisation, die Strukturen, Abläufe und Prozesse anzupacken.

Exkurs 1: Diese ISO/SAE 21434 und ihre Zertifizierung?!

Mittlerweile bekannt: Die Anwendung des ISO/SAE 21434:2021 Standards gilt als state-of-the-Art-Nachweis, um die Compliance zur UN Regulation No 155 belegen zu können.

Gleichzeitig ist es (Stand Q2/2023) ebenfalls wichtig zu wissen, dass es noch keine offizielle formale ausdefinierte Handhabe gibt, wie entsprechend dieses Settings, die Zertifizierung, bzw. ein Audit oder Assessment aussehen kann, um sowohl auf Ebene der Organisation, bzw. für das Projekt einen offiziell ausgestellten Nachweis zu erhalten.

Zwar ist die ISO/PAS 5112 zwischenzeitlich offiziell veröffentlicht worden, im Qualitäts Management Center des Verbands der Automobilindustrie lässt sich das Automotive SPICE for Cybersecurity Handbuch erwerben und institutionell werden auch bereits ISO/SAE 21434-Zertifizierungen angeboten, dennoch sind diese von einem formal offiziellen Nachweis im Sinne des regulatorischen Settings zu unterscheiden.

Gleichwohl können derartige Zertifizierungen natürlich bereits einen aussagekräftigen Charakter haben, insbesondere auch wenn OEMs hier selber aktiv werden und für ihre Zusammenarbeiten dort die Erforderlichkeiten so eruieren, wie es für die gemeinsame Arbeit erforderlich wird. Entsprechend zahlt es sich aus, hier Ressourcen einzusetzen für fundierte Assessments und konkrete Gap-Analysen (s. hierzu auch ISO/SAE 21434 Gap Analyse), um den Weg für Auditierungen und Zertifizierungen mit der richtigen Vorarbeit zu ebnen.

Exkurs 2: Ja, wir machen doch IT Security? Schnittmengen zwischen Automotive Cybersecurity Management Systems (CSMS) und Information Security Management System (ISMS)

Wesentliches Unterscheidungsmerkmal ist hierbei zunächst die Zielsetzung. Während das CSMS am Ende des Tages Cybersicherheit als Faktor für die Sicherheit und den Schutz von Fahrzeugen, Fahrer und Umfeld sicherstellen will, geht es beim ISMS zuvorderst um den Schutz von Information und Datensicherheit.

Involvierte Stakeholder, Departments und Team sind hierbei natürlich in Teilen dieselben, auch in Fragestellungen der Überlappungen, Verantwortungsbereiche und methodischen Ansätze gibt es sicher einige (und zukünftig wohl noch weitaus mehr) Schnittmengen – dennoch sind Ansätze hier autark voneinander zu sehen, insofern dass sie unterschiedlich in die Organisationsstrukturen und Prozesse greifen.

Vereinfacht ließe sich sagen, dass sich die ISO 27001 und das ISMS auf Informationssicherheit innerhalb der Organisation beziehen (hier auch relevant rund um TISAX), während das CSMS die Systematik etabliert für den strukturierten ganzheitlichen Umgang mit Cybersecurity-Risiken und Bedrohungen bezogen auf den Fahrzeuglebenszyklus.

Genug, der Vorgeschichte, nachfolgend nun der erste Versuch, die Dinge zu konkretisieren.

CSMS in der Schnellstartanleitung: 5 Tipps, um loszulegen

Selbstverständlich ist der Anspruch, ein organisationsweites Management-System größer als dass es möglich ist, hier sich vollumfänglich auf die Schnelle einzulesen, soweit klar.

Dennoch sollen die nachfolgenden fünf Aspekte wesentliche Handlungsfelder darlegen, um Verantwortlichen Impulse zu liefern, worauf es unter anderem ankommt.

1. Denke auch an das Produkt.

In den wirklich allerseltensten Fällen wird etwas vollständig von Anfang an aus dem Nichts entwickelt. Es existiert ein Produkt-Design, es sind Entscheidungen getroffen worden, bestehende Hardware/Software, Implementierungen sind bereits realisiert. Aber sind die Requirements, welche durch Cybersicherheit zwangsläufig erforderlich werden, hier von Anfang an korrekt berücksichtigt? Ein einfaches Beispiel sind kryptografische Operationen, welche für den Fahrzeugbetrieb bestimmte Zeitvorgaben erreichen müssen – Kann dies bereits sichergestellt werden? Hier kann es durchaus passieren, dass der gesamte Scope einer bereits realisierten Entwicklung unter Gesichtspunkten der Cybersicherheit noch einmal erneut in Betracht gezogen werden muss.

Lesen Sie zum Prinzip Security by Design auch mehr in unserem Blogartikel: Security by Design in Automotive Development

2. Über die Entwicklung und das Produkt hinaus: Cybersicherheit in der Fertigung

Fertigungsstätten, Production plants, Verantwortlichkeiten für die Fertigung – einer der wesentlichen Phasen im gesamten Lebenszyklus ist aus Perspektive der Cybersicherheit die Produktion. Insbesondere Abläufe und Organisationsstrukturen der Fertigung unterliegen spezifischen Rahmen, die umfangreich dargelegt werden müssen, um Cybersicherheit in der Fahrzeugproduktion ordnungsgemäß sicherzustellen. Dies bedeutet nicht nur, dass Montagelinien zugangsbeschränkt sind, sondern auch, dass die Fertigungsinfrastruktur in der Lage sein muss, Sicherheitsobjekte sicher auszutauschen, zu handhaben und zu flashen, ohne die Effizienz des Fertigungsprozesses zu beeinträchtigen.

Ergänzend dazu finden Sie hier den Videokurs zum IEC 62443 standard and TISAX

3. Die Interaktionen zwischen Kunde (z. B. OEM oder Tier-1) und Lieferant (Tier-1 oder Tier-2)

Welche Schnittstellen gibt es zwischen OEM und Supplier, wie wird zusammengearbeitet im Distributed development? Bereits mit der ISO 26262 sind Agreements hierfür standardisiert worden, ebenso sind strukturierte Vorgaben für Leistungsschnittstellen in Fragestellungen der Cybersicherheit einzuhalten. Die ISO/SAE 21434 gestaltet mit dem Cybersecurity Interface Agreement dies hier aus. Aber auch darüber existieren spezifische Anforderungen an die Koordinierung und Interaktion von Backend-Infrastrukturen zwischen OEMs und Zulieferern, um beispielsweise die sichere und ordnungsgemäße Übertragung von Security-Objekten zwischen den beiden Einheiten zu gewährleisten.

4. Die Zeitachsen: vorher, mittendrin und danach

Sowohl wenn es um die umfangreichen Vorlaufzeiten geht, um organisationsweite CSMS-Strukturen und -Prozesse überhaupt ganzheitlich einführen zu können, als auch mit Blick auf das komplexe Zusammenspiel der Notwendigkeiten für die Auditierung oder die langen Vorhaltezeiten von zugehörigen Materialien und Dokumenten – für alles rund um das CSMS ist die Zeitachse eine der kritischsten Faktoren. Verantwortlichen muss dies frühzeitig klar werden, bevor es nach hinten raus mit Blick auf den eigentlichen SOP problematisch wird.

5. Nutze Pilotierungen

Oftmals zeigt sich durchaus frühzeitig, dass mit einer gegenwärtigen Handhabe im IST-Zustand eine handfeste Abweichung besteht von dem, wie es die Vorgaben in der Theorie verlangen. Hier ist es zum einen wichtig, dass Bewusstsein darüber bei Prozessbeteiligten zu schaffen, aber auch direkt mit der Anpassung von Prozessen entgegenzuwirken. Korrekt pilotiert, mit regelmäßigen Überprüfungen und wirkungsvollen Lessons learned können hier bestehende Prozesse bereits auf einen höheren Cybersicherheits-Reifegrad gebracht werden. Auch wenn das große Ganze weitreichend scheint, ist die Bedeutung von Pilotierungen verbunden mit ongoing alignment ein wirkungsvoller Hebel, um ganzheitliche Compliance erreichen zu können.

Neben der konkreten Eruierung eines Beratungsmandats hierfür oder der Nutzung der Weiterbildungs-Inhalte der CYRES Academy kann unser spezifisch für Entscheider geschaffenes Awareness-Angebot einen wichtigen Beitrag leisten. Erfahren Sie hier mehr über die Fundamental Principles of Automotive Cybersecurity for Executives and Managers

Sign up for our CYRES Consulting Automotive Cybersecurity Newsletter

Stay informed! Receive regular insights into current topics related to cybersecurity in the automotive industry directly to your inbox.

Sign up here for the newsletter, free of charge and with no obligations.

X