Leitfaden Automotive Cybersecurity Engineering

Dieser Abschnitt stellt die Motivation dar, warum Cybersecurity für Kraftfahrzeuge ein zunehmend wichtigeres Thema wird. Anschließend wird verdeutlicht, warum Cybersecurity einen strukturierten Entwurfsansatz benötigt. Abschließend wird die grundlegende Architektur des Prozessgebäudes eines Cybersecurity Engineering skizziert.

Das Management der Cybersecurity ist für die Beschreibung von Entwicklungsprozessen und der Methodenauswahl für das Cybersecurity Engineering im gesamten Unternehmen verantwortlich. Es wirkt am Aufbau der für die Entwicklung angriffssicherer elektronischer Steuerungssysteme erforderlichen Kompetenzen in der Organisation mit und wirkt aktiv auf die Unternehmenskultur ein. Die erforderlichen Kompetenzen sind in der Regel in den Managementsystemen verkörpert und unterliegen durch diese einem kontinuierlichen Verbesserungsprozess und einer externen Überprüfung (Audit).

Cyberabwehr oder Cyberverteidigung sind zunächst einmal defensive Maßnahmen zum Schutz vor Cyberangriffen und zur Erhöhung der Cybersecurity. Der Begriff proaktive Cyberabwehr betont dabei das aktive Durchführen schützender Maßnahmen, die in Antizipation von Cyberattacken getroffen werden. Ein Unternehmen der Automobilindustrie, welches elektronische Produkte in Verkehr bringt, muss seine Fähigkeiten zur wirksamen Cyberabwehr zukünftig kontinuierlich weiterentwickeln

Auch das konkrete Entwicklungsprojekt benötigt ein auf die spezifischen Belange zugeschnittenes Management der Cybersecurity. Für das Projekt sind die auf die Cybersecurity bezogenen Maßnahmen zu planen, wobei hier das Hauptaugenmerk neben einer verbindlichen Festlegung von Rollen und Verantwortlichkeiten auch auf dem bedarfsgerechten Zuschneiden der Entwicklungsaktivitäten liegt. Beim Zuschneiden wird vor allem zu betrachten sein, inwieweit es zu einer Wiederverwendung von Komponenten kommt.

Den Aktivitäten in der Systementwicklung liegt auch in Bezug auf die Cybersecurity ein risikoorientierter Ansatz zugrunde. Die Risikobeurteilung umfasst den systematischen, iterativen und kollaborativen Prozess der Risikoidentifikation, Risikoanalyse und Risikobewertung unter Verwendung der Kenntnisse über die Systemarchitektur. Hierbei ist es das grundlegende Ziel, einen angemessenen Umfang an Schutzmaßnahmen zu definieren (so wenig wie möglich, so viel wie nötig).

Grundsätzlich lassen sich die Aktivitäten in der Entwicklung sicherheitsrelevanter elektronischer Steuerungssysteme für Kraftfahrzeuge in spezifizierende Aktivitäten („downstream“) und nachweisende Aktivitäten („upstream“) unterscheiden – unabhängig von den jeweils betrachten Systemskalen (Produktentwicklung auf Systemebene, Produktentwicklung auf Hardwareebene, Produktentwicklung auf Softwareebene). In diesem Abschnitt werden zunächst die spezifizierenden Entwurfsaktivitäten dargestellt. Die nachweisenden Aktivitäten sind Gegenstand des Kap. 7.

Das Vorgehensmodell des Automotive Security Engineerings definiert im aufsteigenden Ast eines V-Modells auch das Vorgehen zur Qualitätssicherung (Test und unabhängige Begutachtung). Hierbei werden jeder einzelnen Entwicklungsphase Integrationsschritte und Testphasen gegenübergestellt. Die Implementierung des angriffssicher gestalteten elektronischen Steuerungssystems wird auf der rechten Seite des V-Modells gegen die entsprechenden Spezifikationen der linken Seite getestet.

Die Verantwortung für ein Produkt endet nach allgemein gültiger Rechtsauffassung (vgl. hierzu die Rechtsprechung des Bundesgerichtshofes im sogenannten Honda-Fall) nicht mit dem Zeitpunkt des Inverkehrbringens. Es ist insofern von den Herstellern ein ganzheitlicher Prozess zu definieren, bei dem täglich gemeldete IT-sicherheitsrelevante Vorkommnisse bewertet werden, entsprechende Korrekturmaßnahmen geplant werden, und ihre Realisierung in Entsprechung mit dem zu dem Zeitpunkt gültigen Stand der Technik stringent nachverfolgt wird. Dies ist insofern für die Cybersecurity relevant, als dass nach dem Start der Produktion (SOP, Start of Production) die Robustheit eines softwarebasierten technischen Systems gegen unberechtigte Zugriffe sukzessive abnimmt, da die Fähigkeiten der Angreifer zunehmen und der Aufwand, bzw. die Kosten für einen erfolgreichen Angriff abnehmen (beispielsweise durch günstigere und leistungsfähigere Computer sowie Wissensfortschritte im technischen und mathematischen Bereich).