Alle vernetzten Geräte, auch Fahrzeuge, sind Sicherheitsbedrohungen ausgesetzt und müssen vor vielen Arten von Malware geschützt werden. Cyber Security Management Systeme (CSMS), die auf die aktuellen Herausforderungen ausgerichtet sind, können hierfür eine sinnvolle organisatorische und prozessuale Unterstützung der technischen Cyber Security Lösungen darstellen. Dieses und weitere Themen werden wir in diesem Artikel näher behandeln und unseren CSMS Regelkreis erläutern.

Es ist noch nicht lange her, dass Cyber Security für Fahrzeuge für Erstausrüster und Zulieferer keine hohe Priorität hatte. Da die Automobilindustrie jedoch weiterhin einen digitalen Wandel durchläuft, der durch die Verbreitung des ‘Software defined Vehicles’ und die Entwicklung neuer Mobilitätskonzepte vorangetrieben wird, ist Cyber Security zu einem kritischen Thema der Hard- und Software Wertschöpfungskette geworden und wird heute ernster denn je wahrgenommen. Neue und künftige elektronische Architekturen für Kraftfahrzeuge, die auf weniger und größeren Steuergeräten, den sogenannten Domain Controllern, basieren, werden dazu beitragen, die derzeit komplexen Strukturen zu vereinfachen. Aufgrund der zunehmenden Konnektivität mit mobilen Geräten, Wi-Fi-Netzwerken, Cloud-Plattformen, Smart Cities und weiteren Edge-Devices wird jedoch ein Großteil der aktuellen Komplexität weiter bestehen bleiben. Die folgende Tabelle fasst beispielhaft zusammen, welche Systeme innerhalb der Fahrzeugelektronik durch Cyber Security geschützt werden müssen:

Automotive cyber security, Vivek Beriwat

[Quelle: Automotive cyber security, 2021, Vivek Beriwat]

In der Summe muss allerdings die komplette End-to-End Lösung gesichert werden. Diese umfasst neben dem Fahrzeug auch das Backend, die Mobile Devices und die jeweiligen Telekommunikationsverbindungen. Weiterhin muss der Cyber Security Schutz über den kompletten Lebenszyklus (ca. 30 Jahre pro Fahrzeugbaureihe) in der Fahrzeugflotte eines Herstellers aufrecht erhalten werden. Hierdurch ergeben sich Anforderungen an die Updatefähigkeit der eingesetzten Software. Zudem muss auch die komplette Hard- und Software Value Chain gegen Cyber Security Risiken gewappnet werden.

Die Bedeutung von CSMS

Angriffe auf die Lieferkette sind schon seit vielen Jahren ein Sicherheitsproblem, aber seit 2020 finden geplant organisierte Angriffe auf B2B Firmen in größerer Zahl statt. Möglicherweise haben sich die Angreifer aufgrund des robusteren Sicherheitsschutzes, den die B2C Unternehmen eingeführt haben, auf die Zulieferer verlagert und es dadurch geschafft, erhebliche Auswirkungen in Form von Systemausfällen, finanziellen Verlusten und Rufschädigung zu verursachen, um nur einige der Schäden zu nennen.

Die verheerenden Folgen von Angriffen auf die SW-Lieferkette wurden durch den SolarWinds-Hack in vollem Umfang sichtbar. Der SolarWinds-Hack gilt als eine der größten Attacken auf die SW-Lieferkette in den letzten Jahren, insbesondere wenn man die betroffenen Einrichtungen berücksichtigt, zu denen Regierungsorganisationen und große Unternehmen gehören. Der Angriff fand in den Medien große Beachtung und führte zu politischen Initiativen auf der ganzen Welt. Erst kürzlich, im Juli 2021, wurde der Angriff auf Kaseya bekannt und machte deutlich, dass Attacken auf die SW-Lieferkette, die Anbieter von verwalteten Diensten betreffen, mehr Aufmerksamkeit erfordern. Leider sind diese beiden Beispiele keine Einzelfälle, vielmehr hat die Zahl der Angriffe auf die SW-Lieferkette auch im laufenden Jahr stetig zugenommen. Dieser Trend unterstreicht die Notwendigkeit für die politischen Entscheidungsträger und die Sicherheitsgemeinschaft, neue Schutzmaßnahmen zu entwickeln und einzuführen, um potenziellen Angriffen auch auf die Lieferkette in Zukunft zu begegnen und ihre Auswirkungen abzumildern.

Cyber Security in der Automobilbranche

Cyber Security ist ein relativ neuer Bereich für die Automobilindustrie, der jedoch aufgrund der rasanten Verbreitung vernetzter Fahrzeuge stetig an Bedeutung gewinnt. Zukünftig werden alle Neufahrzeuge konnektiv sein. Mehr vernetzte Fahrzeuge bedeuten höhere Risiken, da die Konnektivität neue Herausforderungen mit sich bringt, die nicht ignoriert werden können. Automotive Cyber Angriffe führen innerhalb der Automotive Industrie zu einer Vielzahl von Unternehmensrisiken:

Management von Cyber Security Bedrohungen und Risiken in der Automotive Industrie_deutsch

[Quelle: Magility GmbH, Management von Cyber Security Bedrohungen und Risiken in der Automotive Industrie]

Vernetzte Autos brauchen deshalb einen Cyber Security Schutz. Dazu gehören eingebettete Software Programme zum Schutz vor Cyberangriffen auf Einzelfahrzeuge, die bereits beim Verkauf zur Verfügung stehen, aber auch cloudbasierte Cyber-Schutzdienste für die Fahrzeugflotte, die während der Nutzungsphase gezielt aktiv werden können. Diese Trends haben zu einem wachsenden Bedarf an Software- und Hardware-Cybersicherheitsprodukten und cloud-zentrierten Diensten geführt, die zu einem kritischen Kernprodukt und einem wichtigen Thema der Wertschöpfungskette für OEMs und deren Zulieferer geworden sind.

Deshalb haben die Gesetzgeber reagiert und ab 2022 müssen Automobilhersteller für die Typzulassung nachweisen, dass sie ihre Fahrzeuge und Flotten vor Cyberangriffen schützen können und fähig sind Cybersicherheit prozessual und organisatorisch zu managen. Aktuell gibt es bereits nationale und internationale Aktivitäten zur Standardisierung von Cyber Security Management Systemen und deren Auditierung. Wer sich mit diesen Herausforderungen beschäftigen muss, darf sich mit verschiedenen Regelungen und Standards befassen.

Beispielhaft wurden unten die formalen Regelkreise für den UNECE Raum aufgezeigt:

Quality Institute/VDA, UNECE standards and rules

[Quelle: Quality Institute/VDA, UNECE standards and rules]

Magility’s Cyber Security Management System (CSMS) 

Automotive Cyber Security entwickelt sich daher zu einer neuen interdisziplinären Unternehmenssystemfunktion. Magility setzt genau hier an und fokussiert sich nun umso stärker auf die Unterstützung von Automobilunternehmen und deren Lieferanten beim Umgang mit neuen Bedrohungen. Hierzu empfehlen wir unter anderem die Anwendung eines CSMS Tools zur nachhaltigen Sensibilisierung und Bekämpfung von Cyber Risiken, hier dargestellt als CSMS Regelkreis:

Übersicht CSMS

[Quelle: Magility GmbH, Management von Cyber Security Bedrohungen und Risiken in der Automotive Industrie, Automotive Cyber Security Management System (CSMS)]

Cyber Security Vorgaben des Top Managements – Ziele und Verhaltensregeln für Cyber Security

CSMS_Vorgaben des Top Managements

Cyber Security Organisation – Definition der Rollen und Verantwortlichkeiten

CSMS_Organisation

Cyber Security Risikoabschätzung – Identifizierung und Bewertung von Cyber Risiken

CSMS_Risikoabschätzung

Cyber Security Programm – Aufbau, Ausführung und Kontrolle der Cyber Security Policies

CSMS_Programm

Cyber Security Qualifikation und Kommunikation – Steigerung des Cyber Security Bewusstseins

CSMS_Qualifikation & Kommunikation

Cyber Security Implementierung – Nachhaltiger Schutz des Unternehmens und der Unternehmenskunden

CSMS_Implementierung

Cyber Security Effektivitätsmonitoring – Beurteilung der Wirksamkeit der Cyber Security Maßnahmen

CSMS_Effektivitätsmonitoring

Cyber Security Audit – Definition der Rollen und Verantwortlichkeiten für das Effektivitätsmonitoring von CSMS

CSMS_Audit

Magility empfiehlt Firmen die Einführung des oben dargestellten CSMS Regelkreises, um als Organisation agil auf neue potentielle Bedrohungen reagieren zu können, die Awareness aller Mitarbeitenden für das Thema Cyber Security zu steigern und um einen kontinuierlichen Cyber Security Verbesserungsprozess für Neufahrzeuge und die Bestandsflotte zu gewährleisten. 

Magility setzt stark auf den weiteren Ausbau der Cyber Security Fähigkeiten und CSMS Kompetenzen, um den Bedrohungen der Zukunft und Gegenwart zu begegnen. Für weitere Informationen zum CSMS Regelkreis oder eine persönliche Beratung stehen Ihnen unser Geschäftsführer Dr. Michael Müller (michael.mueller@magility.com) sowie unsere Cyber Security Beraterin Hanna Kahindi (hanna.kahindi@magility.com) gerne zur Verfügung. 

Folgen Sie uns für neue Artikel und weitere News rund um das Thema Cyber Security gerne auf LinkedIn, oder kontaktieren Sie uns bei Fragen gerne ganz einfach direkt über unser Kontaktformular. Wir freuen uns!