Die Automobilindustrie befindet sich mitten im Paradigmenwechsel vom klassischen Einzelfahrzeug hin zur konnektiven und (teil-) autonomen Fahrzeugflotte. Durch den Einsatz von neuen Technologien sowie der Vernetzung von Fahrzeugen, Infrastruktur und Backends, sind in den letzten Jahren zahlreiche neue Angriffsflächen für Cyber Kriminalität entstanden. Die stetige Zunahme von Hackerangriffen zeigt, welch hohes Risiko nicht ausreichend geschützte Fahrzeuge für die Fahrer, Fahrzeughalter, Hersteller, Versicherungen und Verkehrsteilnehmer bergen. Schlagzeilen über spektakuläre Hacker-Angriffe zierten international viele Titelseiten und viele Stimmen sind laut geworden, die regulative Rahmenbedingungen für mehr Sicherheit über den gesamten Lebenszyklus eines Fahrzeuges forderten.

Jetzt ist es soweit, die UNECE setzt neue Standards in der Automobilindustrie und hat erst kürzlich die UN-Regelungen zu Cybersicherheit und für Cyber Security Management Systeme (CSMS) veröffentlicht.

Die EU plant, die Einhaltung der neuen Standards für neue Fahrzeugtypen im PKW und Nutzfahrzeugbereich  bereits ab Mitte 2022 einzufordern und in Folge auch auf die Bestands-Flotte auszudehnen. Wir haben mit unserem CEO, Dr. Michael Müller ein „Interview CSMS“ durchgeführt. Im Interview zu Cyber Security Management Systemen beantwortet Herr Dr. Michael Müller wichtige Fragen zu den neuen Regularien der UNECE für die Automobilindustrie.

Dr. Michael Müller, CEO magility

Q: Herr Dr. Müller, die Informationssicherheit von Fahrzeugen wird jetzt für die Typzulassung relevant. Ist das richtig? 

A: Ja, genau so ist es. Die Typgenehmigung von Fahrzeugen ist künftig verbindlich nur noch möglich, wenn der Hersteller ein zertifiziertes CSMS nachweisen kann und seine Fahrzeugflotte aktiv gegen Cyber-Bedrohungen schützt.“

Q: Welche Bedeutung hat das ganz allgemein für die Automobilindustrie? 

A: Diese neuen Regulierungen der UNECE WP.29 sind die ersten international verbindlichen Normen, die vorschreiben, wie den Cyber-Risiken über die gesamte automobile Wertschöpfungskette hinweg zu begegnen ist. Jetzt ist es nicht mehr reine Selbstverpflichtung den Cyber-Risiken zu begegnen sondern ein gesetzliches Erfordernis mit klaren Prüfungs- und Leistungsanforderungen. Die Automobilindustrie stellt das vor große Herausforderungen. Sämtliche Prozesse innerhalb des OEM und entlang seiner gesamten Supply Chain müssen nachweisbar an die durch WP.29 veröffentlichten gültigen Normen zu Cyber Sicherheit angepasst werden. Dazu gehört z.B. sicheres Lieferantenmanagement, sichere Beschaffungsprozesse, die Beschaffung von cyber-sicherer Software, ein ganzheitliches “End-to-End” Risikomanagement, die Absicherung sämtlicher Entwicklungs- und Produktionsprozesse bis hin zu sicheren After Sales-Prozessen sowie der cyber-sicheren Wartung der Fahrzeuge über den gesamten Lebenszyklus, welche die Bereitstellung von sicheren “Over-the Air”-Updates mit einschließt.“  

Sämtliche Akteure, die in der Automobilindustrie in die Supply Chain oder in den Aftermarket eines Fahrzeugs involviert sind, stehen jetzt vor der Aufgabe alle Prozesse in ihrem Unternehmen auf die Cyber Security-Vorgaben hin anzupassen. Die UNECE empfiehlt dabei den Unternehmen bei der Integration eines CSMS, die Orientierungung an der ISO/SAE 21434 (Road vehicles – Cybersecurity engineering) sowie der ISO/AWI 24089 (Road vehicles – Software update engineering), die sich momentan noch im Entwurfsstadium befinden aber in Ihrer Endfassung noch 2020 zu erwarten sind. Weitere bereits vorhandene Cyber Security Normen sind ebenfalls zu beachten. 

Das gesamte Ökosystem Fahrzeug mit jedem potentiellen Einfallstor muss also jetzt verbindlich abgesichert werden. Ein integriertes CSMS ermöglicht ein genormtes Monitoring sowie die Überprüfung ob die dazu notwendigen Anforderungen erfüllt sind. Wenn das CSMS den Anforderungen der UNECE nicht entspricht, wird es auch nicht zertifiziert, und dann gibt es auch keine Typzulassung mehr für den OEM. Das könnte ein ähnliches Desaster werden wie beim WLTP.“ 

Q: Wie können sich die OEMs jetzt sinnvoll vorbereiten?

A: „Durch die Entwicklungszeiten im Automobilbereich müssen sich die OEMs und auch die Zulieferer spätestens jetzt mit den Anforderungen an die Cyber Security ihrer Produkte intensiv befassen damit sie bis 2024 die Anforderungen für die Typprüfung erreichen. Die Unternehmen sollten dabei einen risikobasierten Ansatz, “End-to-End” verfolgen um ein angemessenes Schutzniveau ermitteln, erreichen und erhalten zu können. Und das nebenbei bemerkt nicht nur für den Fahrzeugtyp sondern auch für dessen externe Schnittstellen und die Subsysteme. Sowohl die Hersteller, als auch die Zulieferer haben jetzt die Aufgabe, sich selbst soweit zu ertüchtigen, dass sie auf Cyber-Attacken und Cyber Security-Schwachstellen, auch wenn sie nach Herstellung und Auslieferung der Fahrzeuge auftreten, umgehend reagieren können. 

Hierzu ist der Aufbau von Automotive Cyber Security Operation Center (ASOC) notwendig um die gesamte Fahrzeugflotte 24/7 weltweit zu überwachen. Der prozessuale und organisatorische Part von Automotive Cyber Security rückt dementsprechend mehr und mehr in den Fokus. Was den Unternehmen jetzt hilft, sind Cyber Security- Experten und Berater, die in der Lage sind, ein zum Unternehmen und zum Produktportfolio passendes ganzheitliches CSMS einzuführen. Wir bei magility unterstützen unsere Kunden bei der Entwicklung einer ganzheitlichen Cyber Security-Strategie und der dazugehörigen CSMS-Maßnahmenplanung. Natürlich begleiten wir auch bei der Umsetzung sowie Implementierung dieser Maßnahmen.“

Q: Welche Unternehmen sind außer den Fahrzeugherstellern von den neuen Regularien betroffen? 

A: „Es trifft nicht nur die OEM sondern auch Softwarefirmen und z.B. Zulieferer von Hardware, Sensoren und Systemarchitekturen. Wirklich jeder Akteur, der in den Lebenszyklus eines Fahrzeuges wie auch immer eingebunden ist, ist betroffen und muss jetzt handeln und seine Prozesse und Organisation anpassen.“

Q: Welche Maßnahmen schreiben die neuen Regularien noch vor? Können Sie uns die dringendsten nennen? 

A: „Den genauen Maßnahmenplan zu erläutern würde unsere Zeit sprengen. Alle Maßnahmen sind dringend und wichtig – wenn es um Cyber Security geht gibt es keine Kompromisse. Lässt man eine Maßnahme außen vor und in der Folge ist ein Einfallstor nicht abgesichert, kann es fatale Folgen haben. Jeder kennt die Horror-Szenarien, die sich dadurch ergeben können. Die Maßnahmenpläne können auf der Webseite der UNECE eingesehen werden und stehen jedem zur Verfügung. Auch auf unserer Webseite magility.com finden Sie weiterführende Informationen.“

Q: Wir haben gelernt: Die Integration eines ganzheitlichen CSMS ist ein entscheidender Faktor für die Typzulassung eines Fahrzeugs in der Zukunft. Wie ist ein solches CSMS aufgebaut? 

A: „Cyber Security Management System (CSMS)“ beschreibt einen systematischen risikobasierten Ansatz zur Definition der organisatorischen Prozesse, der Verantwortlichkeiten und der Steuerung, um Risiken im Zusammenhang mit Cyber-Bedrohungen für Fahrzeuge zu steuern und um vor Cyberattacken zu schützen. Ein CSMS umfasst auch die sichere Integration von Dienstleistern, Lieferanten und weiteren Dritten.“ 

Q: Sehen Sie durch die gesetzlich geforderten Neuerungen die Chance für positive gesamtwirtschaftliche Anreize, oder anders gefragt: Könnten die negativen Auswirkungen von Corona wenigstens zum Teil kompensiert werden indem durch UNECE WP.29 neue Beschäftigungsmöglichkeiten entstehen?

A: „Insbesondere aus dem IT-Sektor sind, induziert durch die neuen Anforderungen der UN zur Cybersicherheit und CSMS, technische Innovationen zu erwarten. Auch Nischenunternehmen und Startups könnten eine bedeutende Rolle einnehmen. Außerdem ergeben sich neue wirtschaftliche Möglichkeiten bei den Zulieferern. Das Erfordernis, Automotive Cyber Security abzusichern, wird zu bedeutenden Investitionen in den folgenden Jahren führen. Ich denke das wird sich im im Milliardenbereich abspielen. Die Antwort auf die Frage lautet also demzufolge JA!“

Q: Sie sind geschäftsführender Gesellschafter der magility GmbH, einem Beratungsunternehmen, welches sich seit vielen Jahren mit Automotive Cyber Security-Themen auseinandersetzt. Sie verfügen über ein großes Netzwerk in der Branche. Wie sehen Sie die Rolle von magility in diesem tiefgreifenden Neuerungs- Prozess? 

A: „Wir verstehen uns als Systemintegrator von CSMS für den deutschen und europäischen Markt. Durch unsere Partnerschaften mit dem unabhängigen Zertifizierungsdienstleister DEKRA, mit Technologieunternehmen wie Argus Cyber Security und mit High-Tech Startups und vor allem aufgrund unserer Erfahrung in der Automobilindustrie sehen wir uns bestens aufgestellt, um unsere Kunden in der Strategie und Maßnahmenplanung zu beraten, den Implementierungsprozess des CSMS im Unternehmen zu begleiten und bei der Umsetzung der Maßnahmen unterstützend zur Seite zu stehen.“ 

Q: Vielen Dank für die ausführlichen Antworten im „Interview CSMS“. Geben Sie uns zum Abschluss des Interviews noch einen persönliche Einschätzung Herr Dr. Müller? Wo geht die Reise der Automobilindustrie jetzt unter diesen neuen Rahmenbedingungen hin? 

A: „Die Automobilindustrie, die bisher sehr stark auf die Entwicklung, Produktion, Vertrieb und Wartung von Einzelfahrzeugen fokussiert war, wandelt sich zu einem Fahrzeug-Flottenbetreiber mit einem starken Fokus auf Software-Entwicklung. Die Automobilindustrie wird durch die vernetzte Fahrzeugflotte Teil der IoT-Industrie und befindet sich damit im Wettbewerb mit Google, Amazon, Baidu und weiteren Internetgrößen, was die Sache auch nicht einfacher macht. Gegenüber diesen neuen Wettbewerbern hat die Automobilindustrie, auch im Themenfeld Cyber Security einen massiven Aufholbedarf. Die Automobilindustrie wird zukünftig Teil der Mobility-Branche (TaaS und MaaS) und muss aufpassen nicht zum B2B Fahrzeuglieferant reduziert zu werden. Branchenübergreifende Geschäftsmodelle werden in der Zukunft ganz besonders wichtig.“ 

In einigen Wochen werden wir ein weiteres Interview durchführen. Hierzu sammeln wir Ihre dringende Fragen aus der Praxis zum Thema CSMS. Schicken Sie gerne Ihre Fragen direkt an Nada Lea Welker (CMO magility) nada.welker@magility.com