Cybersecurity - Melster Consulting GmbH

Automotive Cybersecurity

Die Cybersecurity verfolgt das Ziel, technische Systeme vor dem Menschen sicher zu machen. Es geht um die Störung dieser Systeme, um das Auslösen von Fehlerfällen, um die Sicherung von Daten, am Ende um die Sicherheit der Gesellschaft vor den Auswirkungen krimineller Handlungen. Dieser Fakt zeigt, wie weitgreifend dieses Thema zu behandeln ist. Angreifbar sind technische Systeme über ihre Schnittstellen oder auch Schwachstellen in der technischen Entwicklung selbst. D.h. Hardwarebauteile sind angreifbar, eine falsche oder schlechte Programmierung führt zu Einfallstoren in den Systemen oder auch eine nicht strukturierte Systementwicklung. Diese Angriffe haben im Automobilbereich bereits gezeigt, dass auch Systeme kompromittiert werden, die so ausgelegt wurden, dass sie im Fehlerfall dem Menschen Schutz bieten sollten.

Cybersecurity fängt allerdings nicht erst bei der Entwicklung an, vielmehr ist die Sicht auf das Gesamte erforderlich. Cybersecurity in der Entwicklung macht wenig Sinn, wenn sie nicht schon auf Organisationsebene eingeführt wird. Daher fordern die OEMs berechtigterweise den Nachweis eines Informationssicherheitsmanagementsystems, z.B. auf Basis von TISAX. Ist diese Forderung umgesetzt, kann die Entwicklung mit der Umsetzung der Anforderungen beginnen.

 

Die Umsetzung von Projekten mit Cybersecurity-Anteilen ist nicht trivial. Die Forderungen der Automotive Cybersecurity beschreibt ein methodisches Vorgehen für die Entwicklung selbst. Verfahren zur Umsetzung sind auf weitere Normen, technische Dokumentationen und weitere technische Anforderungen verteilt, die es zu kennen gilt. Erschwerend hinzu kommt, dass Systeme mit Cybersecurity-Anteilen auch häufig Anteile von umzusetzender funktionaler Sicherheit beinhalten. Jetzt wird es spannend, denn jetzt werden die Anforderungen all dieser Normen zusammengeführt. Hier wird man erkennen, dass Cybersecurity zwar Ähnlichkeiten zur funktionalen Sicherheit aufweist, aber dieses eben nur Ähnlichkeiten sind: die Durchführung der Risikoanalyse und das Erstellen von Sicherheitskonzepten und -Nachweisen. Die umgesetzte funktionale Sicherheit ist dabei quasi statisch, hier wird es im Produktlebenszyklus keine Änderungen geben. Die Cybersecurity hingegen ist dynamisch, hier wird es durch die Änderung oder Neu-Einführung von Technologien auch künftig neue Wege geben, ein System zu knacken. Die Kombination dieser Themen ist somit eine spannende Herausforderung.