Der Paradigmenwechsel in der Automobilindustrie hin zum vernetzten und (teil-)autonomen Fahrzeug ist in vollem Gange. Neue Technologien mit deutlich zunehmenden Möglichkeiten der Vernetzung führen aktuell zu neuen Anforderungen an die regulativen Rahmenbedingungen. Gesetzgeber und Prüfinstitute haben in den letzten Jahren bereits die Etablierung entsprechender Standards in die Wege geleitet. Zulieferer von Software, Sensoren und Systemarchitekturen für die Automobilindustrie müssen jetzt schon diese Standards erfüllen können, um sich bei Ausschreibungen der Fahrzeughersteller erfolgreich zu positionieren. In Zukunft wird die Typgenehmigung von Fahrzeugen nur möglich sein, wenn ein zertifiziertes Cyber Security Management System (CSMS) vorhanden ist. 

Um welche Regelwerke geht es aktuell?

Neu sind in der Automobilindustrie die aufkommenden Normen zum Thema Automotive Cyber Security. Die Arbeitsgruppe WP.29 zur Harmonisierung von Fahrzeugvorschriften der UNECE (United Nations Economic Commission for Europe) hat ein Regelwerk erarbeitet, das neue Vorgaben zur Cybersicherheit von Fahrzeugen vorschreibt. Die Arbeitsgruppe entwickelt zur Zeit ein mehrstufiges Prüfverfahren, nach dessen Vorgaben in Zukunft alle Fahrzeuge mit smarten oder autonomen Technologien zertifiziert werden müssen. Der Fokus der WP.29 Regularien liegt erstens auf der Prüfung der Zuverlässigkeit von Systemen und zweitens auf einer ganzheitlichen Sicherstellung der Cyber Security aller im Fahrzeug verbauten Komponenten und Datenverbindungen. Alle Hersteller von Fahrzeugen, die mit dem Internet verbunden sind, sowie deren Zulieferer, müssen nach dieser Norm ein funktionierendes Cyber Security Management System (CSMS) implementiert haben. Die Integration eines CSMS ist die Voraussetzung dafür, dass die Typprüfung eines Fahrzeugs überhaupt beantragt werden kann. Gleichzeitig werden bei der ISO (International Organization for Standardization) die beiden Normen ISO/AWI 24089 und ISO/AWI 21434 entwickelt. Beide haben das Ziel, einen neuen Standard in der Automotive-Industrie für alle Cyber Security relevanten Themen zu etablieren. Alle Unternehmen der Branche stehen daher jetzt vor der Herausforderung sich schnellstens vorzubereiten und mit einem entsprechenden CSMS auszurüsten, um die schon bald kommenden Regularien von Anfang an erfüllen zu können. Dieses CSMS muss auch die Verwaltung von Lieferanten, Dienstleistern und anderen Dritten einbeziehen.

Was sind die technologischen Hintergründe?

Durch autonome und smarte Technologien werden Fahrzeuge deutlich verwundbarer für Cyber-Angriffe. Die hohe Anzahl unterschiedlicher Datenverbindungen sowie die digitalen und vernetzten Bauteile bieten Einfallstore für Hacker, die im Worst Case dazu benutzt werden können, das System Fahrzeug unberechtigt zu beeinflussen. Die Szenarien, die sich dadurch ergeben können, sind bekannt. Die Einfallstore können in drei Bereiche unterschieden werden:

  1. Telematics: über Wlan, Mobilfunk, GNSS-Datenverbindungen wie GPS und die dahinter geschalteten Server
  2. V2X Kommunikation: Vehicle-to-Infrastructure (Verkehrsleitsysteme), Vehicle-to-Device (Smartphones), Vehicle-to-Home (Smart-Home Geräte), Vehicle-to-Vehicle (Kommunikation zwischen Fahrzeugen)
  3. Infotainment: Wlan, Musik- und Videostreaming, Datenverbindungen von Apps für z.B. Wetter, Restaurantempfehlungen, Spiele etc.

Die aufgeführten Datenverbindungen sind potenziell verwundbar durch Hackerangriffe. Um die Gefahren im Voraus auszuschließen oder zumindest maximal abzuschwächen, ist die Etablierung und der Betrieb eines umfassenden Cyber Security Management Systems (CSMS) unverzichtbar und zukünftig auch von Gesetzgebern und Prüfinstituten vorgeschrieben. Die EU plant, den Betrieb eines zertifizierten CSMS sowie die Anwendung des CSMS auf den Fahrzeugtyp zum Zeitpunkt der Typgenehmigung ab circa Mitte 2024 verbindlich vorzuschreiben. Es bleiben den Unternehmen also noch etwa 4 Jahre, um die erforderlichen Maßnahmen zu ergreifen und ein entsprechendes CSMS ins Unternehmen zu integrieren. 

Wichtig: Einführung eines CSMS

Um die Komplexität aller Risiken im Bereich Cyber Security für Fahrzeuge erfolgreich zu steuern, muss jedes Unternehmen zukünftig über ein CSMS verfügen. Der Cyber Security-Ansatz eines Unternehmens muss ganzheitlich über den gesamten Produktlebenszyklus umgesetzt werden. Das umfasst sowohl die organisatorischen als auch die technischen Bereiche eines Unternehmens bzw. eines Produkts. Dazu zählen der Produktentwicklungsprozess, die Produktion sowie alle Service-, Wartungs- und Unterhaltsleistungen nach der Inbetriebnahme eines Bauteils oder einer Software. Das gesamte Automobil-Ökosystem muss sich sorgfältig abstimmen um den kommenden Cyber Security Vorgaben Folge leisten zu können. Daher gilt es sowohl in der Organisations- als auch in der Prozessstruktur des Unternehmens die richtigen Rahmenbedingungen zu schaffen und entsprechende Maßnahmen einzuleiten. Zertifizierungen nach WP.29 bzw. nach den o.g. ISO-Normen werden die regulatorische Basis für die zukünftige Zusammenarbeit von Fahrzeugherstellern und den Dienstleistungsunternehmen der Automobilbranche bilden. 

Wie ist ein Cyber Security Management System aufgebaut?

Die Cybersicherheit muss über den gesamten Produktlebenszyklus gewährleistet und aufrechterhalten werden. Dazu gehört es, das Design der Produkte unter Cyber Security Vorgaben zu entwickeln. Die Anzahl der Einfallstore von Hackern muss dabei von Anfang an so gering wie irgendwie möglich gehalten werden. Nur so sind die Angriffsflächen und somit die Gefahr, Opfer eines Cyber-Angriffes zu werden, reduzierbar. Jedes Unternehmen hat sich daher an den Best Practices für eine wirksame Cyber Security zu orientieren. Diese Best Practices betreffen vor allem zu befolgende Grundsätze in der Produktentwicklung, in der Produktion, in der Organisation des Unternehmens und in der  Zuweisung von Verantwortlichkeiten. 

Möglicher Leitfaden für entsprechende Best Practices 

Grundsätze in der Herangehensweise 

Security by Design, Privacy by Design sowie die Einführung eines Risiko- und Bedrohungsmanagements. Dies bedeutet die regelmäßige Durchführung von Analysen möglicher Bedrohungslagen über die gesamte Entwicklung hinweg.

Grundsätze für die Organisation

Einbeziehung aller Zulieferer und Dienstleister in die Aspekte der Cyber Security. Durch Trainings und Beratungen ist ein Bewusstsein für Cyber Security in der eigenen Unternehmenskultur über alle Schnittstellen hinweg zu schaffen. Leitfäden für den effizienten Umgang mit cyber-relevanten Sicherheitsvorfällen sind zu entwickeln und im Unternehmen zu etablieren.

Grundsätze in der technologischen Umsetzung

Ständiges Monitoring auf Sicherheitslücken und unberechtigte Zugriffen sowie größtmöglicher Schutz der eigenen Netzwerke durch Verschlüsselung und strikte Zugangskontrollen (Faktor Mensch). Mittels der Nutzung von Big-Data und KI-Methoden sind Unregelmäßigkeiten im Datenfluss früh zu erkennen.

Die Zeit zu handeln? Genau jetzt!

Wir von magility begleiten unsere Kunden aus dem Automobilbereich vorausschauend und haben schon vor Jahren ein CSMS entwickelt, welches fortlaufend an die neu aufkommenden Regularien angepasst wird.

Wir wirken als Systemintegrator für CSMS für mittelständische Betriebe im deutschen und europäischen Markt und sind durch unsere Partnerschaften mit Technologieunternehmen wie Argus Cyber Security, einem der international bekanntesten Unternehmen für Automotive Cyber Security, und dem unabhängigen Zertifizierungsdienstleister DEKRA, bestens aufgestellt.

So können wir unsere Kunden bei der Implementierung eines Cyber Security Management Systems umfassend begleiten. In den letzten Jahren haben wir uns zu Experten für alle Fragen und Lösungen rund um das Thema Automotive Cyber Security am Markt etabliert und zahlreiche Projekte mit namhaften Unternehmen aus der Automotive-Branche umgesetzt. 

Wie sehen Sie Ihr Unternehmen aktuell aufgestellt bezüglich Cyber Security? Kontaktieren Sie uns gerne für einen fachlichen Austausch, wir unterstützen Sie mit einer ersten Bewertung Ihrer Risikosituation. Dabei begleiten wir ihr Unternehmen bei der Implementierung eines CSMS, das die neu aufkommenden Regularien von Anfang einbezieht.