News & Events

Security Governance: Alles eine Frage der Organisation

governance

Der Schutz vor Cyber-Angriffen ist ein entscheidender Erfolgsfaktor für die hochgradig digitalisierte Mobilität der Zukunft. Entsprechend hat sich der Stellenwert von Cybersecurity-Governance in der Automobilindustrie deutlich erhöht. Die Informationssicherheit ihrer Produkte ist für viele Automobilhersteller und -zulieferer zu einem Managementthema auf höchster Ebene geworden. Drei Schlüsseltrends bestimmen hier zunehmend das Denken und Handeln: Automotive-spezifische Spezialisierung, Aufbau von Security-Organisation und Prozessen, gesetzliche und regulatorische Anforderungen.

Wachsender Stellenwert von Automotive Security

In den letzten Jahren hat sich Cybersecurity im Automobilsektor immer mehr zu einem eigenständigen, bedeutsamen Thema entwickelt. Ausschlaggebender Grund ist die Entwicklung hin zum automatisierten und vernetzten Fahren. Eine wachsende Zahl von Gremien, Standards, Vorschriften und Best-Practice-Leitfäden widmet sich inzwischen sicheren Fahrzeugen – einige Beispiele:

  • Die Taskforce für Cybersecurity und Over-the-Air-Updates (TF-SC/OTA) der UNECE WP.29 als Teil der Arbeitsgruppe für autonomes und automatisiertes Fahren und vernetze Fahrzeuge (GRVA) [1].
  • Richtlinien für automatisierte Fahrzeuge und Cybersecurity der US-Bundesbehörde für Straßen- und Verkehrssicherheit NHTSA und des British Standards Institute (PAS 1885:2018) [2, 3].
  • Aktuell 16 beantragte oder bewilligte Standardisierungsprojekte im Bereich der Cybersecurity für intelligente, vernetzte Fahrzeuge in China.
  • Das von der Automobilindustrie in den USA gegründete Zentrum zum Austausch und zur Analyse von Security-relevanten Informationen mit bis Mai 2019 sieben veröffentlichten Best-Practice-Leitfäden [4].

Security-spezifische Organisation und Prozesse

Die Automobilindustrie hat erkannt: Ein angemessenes Schutzniveau der Produkte ist durch technische Maßnahmen in der Entwicklung alleine nicht zu erreichen. Es bedarf eines risikobasierten, ganzheitlichen Ansatzes, um geeignete organisatorische Maßnahmen und Prozesse zu schaffen. Dementsprechend rücken organisatorische Aspekten von Automotive Cybersecurity immer mehr in den Blickpunkt. Gefordert sind Prozesse, die sich durch den gesamten Lebenszyklus eines Fahrzeugs und durch die Lieferkette vom kleinsten Zulieferer über den Fahrzeughersteller bis hin zum Endkunden und die Vertragswerkstatt erstrecken. Der Hersteller und seine Zulieferer müssen in der Lage sein, auf Cybersecurity-Angriffe und -Schwachstellen zu reagieren, die nach Herstellung und Auslieferung des Fahrzeugs zutage treten. Hierfür müssen innerhalb der Zuliefererkette klare Prozesse und Schnittstellen zwischen den einzelnen Verantwortlichen für Cybersecurity definiert sein.

Die UNECE Taskforce TF-SC/OTA fordert daher unter anderem, dass Automobilherstellern ein zertifiziertes Cybersecurity Management-System (CSMS) betreiben und dessen Zertifizierung alle drei Jahre erneuern. Weite Teile der Automobilindustrie gehen derzeit davon aus, dass die voraussichtlich Ende 2020 veröffentlichte ISO/SAE 21434 eine wesentliche Grundlage für ein derartiges Automotive CSMS bildet [5].

Zunahme rechtlicher und regulatorischer Vorgaben

Durch die Entwicklung hin zum automatisierten Fahren rückt Cybersecurity für Fahrzeuge außerdem in den Fokus rechtlicher und regulatorischer Vorhaben. Insbesondere aufgrund der Safety-Relevanz gibt es Bestrebungen, künftig die Typzulassung von Fahrzeugen an die Erfüllung rechtlicher Anforderungen für Automotive Security zu koppeln.

Eine der wichtigsten Aktivitäten in diesem Kontext ist die bereits erwähnte TF-SC/OTA und ihr Entwurf einer UN-Regulierung [6]. Des Weiteren regelt der kürzlich erlassene Delegated Act for the Deployment and Operation of European Cooperative Intelligent Transport Systems and Services (C-ITS) der Europäischen Union, wie vernetzte Fahrzeuge schon ab diesem Jahr sicher miteinander kommunizieren sollen [7]. Hinzu kommen nationale Initiativen: So sind etwa im US-Kongress der SELF DRIVE Act [8] oder der AV START Act [9] zwar ausgelaufen, ohne verabschiedet zu werden. Es ist aber zu erwarten, dass schon bald vergleichbare Entwürfe eingebracht und beschlossen werden. Auf bundesstaatlicher Ebene indes hat beispielsweise der kalifornische Senat im August 2018 das Gesetz SB-327 zur “Security of Connected Devices” verabschiedet [10]. Automobilhersteller und -zulieferer, die in vielen Märkten weltweit gleichzeitig agieren, sind also gezwungen, sich über global abgestimmte Rechtsvorhaben hinaus mit lokalen rechtlichen Vorgaben auseinander zu setzen.

Fazit: Security-Governance erforderlich

Das automatisierte und vernetzte Fahren bringt eine Vielzahl von Cybersecurity-Herausforderungen mit sich, und in den beteiligten Unternehmen der Lieferkette laufen bereits zahlreiche Aktivitäten zu weiteren Verbesserungen des Fahrzeugschutzes. Besonderer Aufmerksamkeit bedürfen die UNECE TF-CS/OTA und die kommende ISO/SAE 21434. Deren Inhalte werden künftig für Typzulassungen verpflichtend und setzen Leitplanken der Zulassungsvoraussetzung im Bereich Automotive Cybersecurity. Zugleich müssen Automobilhersteller und -zulieferer stets einen aktuellen, umfassenden Überblick über national und regional geltende Regularien und Gesetzesvorgaben haben. Eine neu gegründete Security-Governance-Rolle hilft dabei, auf die anstehenden Entwicklungen gut vorbereitet zu sein.

 


Abb.: Automotive Cybersecurity muss über den gesamten Fahrzeuglebenszyklus hinweg organisiert werden.

 

_______________________

[1]         UNECE WP.29, „Vehicle Regulations,“ [Online]. Available: http://www.unece.org/trans/main/welcwp29.html.
[2]         National Highway Traffic Safety Administration, „Federal Automated Vehicles Policy - Accelerating the Next Revolution In Roadway Safety,“ September 2016. [Online]. Available: https://www.nhtsa.gov/sites/nhtsa.dot.gov/files/federal_automated_vehicles_policy.pdf. [Zugriff am 5 March 2019].
[3]         British Standards Institute (BSI), „PAS 1885:2018 -- The fundamental principles of automotive Cybersecurity. Specification,“ British Standards Institute (BSI), 2018.
[4]        Auto-ISAC, „Automotive Information Sharing And Analysis Center,“ [Online]. Available: https://www.automotiveisac.com/. [Zugriff am 8 Mai 2019].
[5]         ISO, „ISO/SAE CD 21434 Road Vehicles -- Cybersecurity engineering,“ [Online]. Available: https://www.iso.org/standard/70918.html.
[6]         TF-CS/OTA, „Final Draft Recommendation Cybersecurity,“ [Online]. Available: https://wiki.unece.org/download/attachments/60362218/GRVA-01-xx%20%28UN%20TF-CS_OTA%29%20Final%20Draft%20Recommendation%20on%20Cyber%20Security%20incl.%20Annex%20A-D.docx?api=v2.
[7]         E. Commission, „Delegated Act for the deployment and operation of cooperative Intelligent Transport Systems and Services (C-ITS),“ Brussels, 2019.
[8]         US Congress, „Safely Ensuring Lives Future Deployment and Research In Vehicle Evolution Act,“ 2017.
[9]       US Congress, „American Vision for Safer Transportation through Advancement of Revolutionary Technologies Act“.
[10]        California State Senate, "SB-327 Information privacy: connected devices.," 2018.

Language:
ISO 9001:2015 Home