In nahezu allen Produktentwicklungen der Fahrzeugindustrie wird entlang der gesamten Wertschöpfungskette weltweit derzeitig an einem gewissen Punkt der ISO/SAE 21434-Standard (bereits 2021 in der „First Edition“ offiziell veröffentlicht) zu Rate gezogen. Schnell zeigt sich: Der Standard ist bewusst in erster Linie sehr abstrakt gehalten.
Aber wie wirkt sich das Fehlen von Details und die bewusst eher oberflächlich gehaltene Tiefe der ISO/SAE 21434 auf die Produktentwicklung konkret aus? Um diese Frage soll es in diesem Blog gehen.
Generell möchte man denken, dass es zunächst einmal deutlich einfacher sein müsste, etwas zu entwickeln und zu etablieren, wenn die Art und Weise, wie dies genau erfolgen kann, durch hohe Flexibilität geprägt ist.
In der Praxis ist dies jedoch ein zweischneidiges Schwert. Denn allzu häufig, wenn es um konkrete Fragestellungen geht, wie etwas denn nun genau erfolgen sollte, ist hohe Flexibilität auch ein Grund, weswegen man allzu häufig stecken bleibt. Wenn es keine ausreichend detaillierte Beschreibung gibt, die uns durch das führt, was wir wirklich erledigen sollen, dann kann dadurch ein Problem entstehen.
Einstieg in die ISO/SAE 21434
So ist es insbesondere bei der ISO/SAE 21434:2021 in der „First Edition“. Sie gibt zwar an, „was zu tun ist“, aber nicht entsprechend offen und umfangreich genug darlegt „wie es zu tun ist“, bzw. wie man konkret dahin kommt.
Wie wirkt sich dieses „Defizit an Informationen“ auf die Erstellung und Pflege von Cybersicherheitsprozessen, den Aufbau von Strukturen und Vorgehensweisen und das konkrete Abhaken der einzelnen ISO/SAE 21434-Work-Products aus?
Dafür ist wichtig, sich immer wieder konkret vor Augen zu führen, dass die ISO/SAE 21434 zunächst nicht verpflichtend zu befolgen ist, wie es bei anderen Standards auch der Fall ist.
Gleichzeitig erfährt der Standard in den letzten Monaten (und nun fast schon Jahren) weltweit enorme Beachtung. Der Standard ist einer der ersten, der das Problem adressiert, dass es keine konkret ausdefinierte Anleitung, bzw. Definition dafür gibt, welches Niveau an Cybersicherheit für ein Fahrzeug ausreichend ist.
Der Standard dient also als eine wesentliche Grundlage für den Aufbau eines cybersicheren Fahrzeugs. Entsprechend deckt er alle Schritte des gesamten Produktlebenszyklus ab – vom ersten Konzept bis zum Ende des Cybersicherheits-Supports und der Stilllegung. Er umfasst dabei sowohl Grundsätze für die Entwicklung als auch für die Phase des Post-Developments.
Neben technischen Prozessen beleuchtet der Standard (bezeichnet als „Cybersecurity Management“) auch die organisationalen Strukturen, Aktivitäten (u.a.) des Managements von Cybersicherheit auf organisatorischer und Projektebene sowie das wichtige Thema des Supplier Managements und die sogenannten Continual Cybersecurity activities.
Dabei etabliert die ISO/SAE 21434 eine Art von Mindestkriterien und führt durch die wesentlichen Grundlagen zur Entwicklung cybersicherer Automobilkomponenten.
Herausforderung mit der ISO/SAE 21434
Der Standard bietet jedoch kein detailliertes Verfahren oder eine spezifische Anleitung, wie diese aufgezeigte Cybersicherheit am Ende auch in der Praxis erreicht werden kann.
Vorteile der Flexibilität
Wie kann die fehlende Detailtiefe in der ISO/SAE 21434 nun zum Vorteil werden? Als einer der wichtigsten Vorteile kann hier Flexibilität genannt werden. Wahrscheinlich ist Flexibilität, also die gegebene Handlungsfreiheit für die konkrete Umsetzung, sogar der Hauptvorteil.
Für Verantwortliche in höchst unterschiedlichen organisationalen Settings, welche ganz unterschiedliche Items, Komponenten oder Produkte entwickeln, kann es besonderen Mehrwert haben, dieses Produkt eben nicht in einer exakten Reihenfolge der Prozesse oder entlang einer im Standard beschriebenen Gesamtmethodik entwickeln zu müssen.
Insbesondere in den heterogenen Organisationen der Automobilindustrie ist dies praktisch, da sie in der Regel bereits ihre eigene Strategie und Struktur für die Integration von Cybersicherheit in ihre Produkte definiert haben.
Entsprechend kann dies mit guter Zeit- und Kosteneffizienz einhergehen.
Auch existierende Prozesse, etwa im Incident Management (aus der IT), dem Requirements Management (aus dem Functional-Safety-Bereich) oder bestehende Test-Konzepte für Software, Hardware und Systeme und nicht zuletzt auch generelle Management- und Supplier-Prozesse können einfach eine Basis für die Integration von Cybersicherheit bilden.
Es muss nicht alles umgekrempelt werden. Es besteht die Möglichkeit, mit bereits etablierten Verfahren und Strukturen, welche in Unternehmen bereits aufgesetzt und gelebt werden, weiterzuarbeiten. Möglicherweise gilt es nur noch, einige Anpassungen vorzunehmen, um die Anforderungen des Standards vollständig zu erfüllen.
(Die Überprüfung dieser Notwendigkeiten der Anpassung machen derzeit unseren Beratungsansatz der ISO/SAE 21434 Gap Analyse beliebt).
Was sind die Nachteile?
Wie bereits erwähnt, bietet die ISO/SAE 21434 keine streng vorgegebene Methodik, welche die Automobilindustrie im Hinblick auf die Cybersicherheit so 1:1 anwenden kann. Aus diesem Grund ist es unverzichtbar, auch mit aufzuzeigen, inwiefern dies nachteilig sein kann.
Vor allem für Erstausrüster (OEMs), welche sich selber gar nicht in der Notwendigkeit wiederfinden, die Anwendung des Standards in der eigenen Organisation sicherstellen zu müssen, kann diese fehlende Eindeutigkeit ein Problem darstellen. In der Natur der Wertschöpfungskette liegend sind OEMs einer ganz anderen Arbeitssituation ausgesetzt als die Akteure der nachgelagerten Lieferkette. Insbesondere in den verzweigten Entwicklungsabläufen eines Fahrzeugs sind die Verteilung von Aufgaben und Verantwortlichkeiten, die zugehörigen Informationsflüsse und Dokumentationen von besonderer Bedeutung. Mit der UN Regulation No. 155, ist ebenfalls klar, dass das zulassungsrelevante Thema CSMS und entsprechende Compliance eben nicht nur auf Seiten des OEMs liegt, auch die Zulieferer müssen „ihre Cybersicherheit“ entsprechend im Griff haben. Und dies ist keine theoretische Herausforderung: Wenn die Anforderungen an die Cybersicherheit nicht erfüllt werden, können keine Autos in den UNECE-Mitgliedstaaten verkauft werden.
Mittlerweile rumgesprochen hat sich, dass die Anwendung der ISO/SAE 21434 ein wichtiger Schritt für die UN R155-Compliance darstellen kann.
Was passiert also, wenn OEMs nun hingehen und ihrer Verpflichtung innerhalb der UN R155/CSMS nachkommen und ebenfalls die Cybersicherheit ihrer Zulieferer gewährleisten müssen?
Sie fordern pauschal „die Anwendung und Einhaltung der ISO/SAE 21434“.
Das Problem dabei ist, dass die mangelnde Information der Vorgaben bezüglich präziser Verfahren zur Gewährleistung der Cybersicherheit in einem Produkt zu besonderer Unschärfe führen kann.
Wenn es kein dediziert ausformuliertes „Rezept“ gibt, dann wird es komplexer zu beurteilen, inwiefern alles korrekt erledigt wurde. Ein kritisches Problem, dass sich durch den gesamten Produktlebenszyklus fortführt.
Über die aufeinander aufbauenden Zusammenhänge im Produktlebenszyklus, wenn beispielsweise etwas in einer frühen Phase versäumt wird, sei an dieser Stelle gar nicht gesprochen. Fehlend oder nicht ausreichend berücksichtigte Requirements, die erst in späteren Phasen der Entwicklung, bzw. innerhalb des Produktlebenszyklus sichtbar werden, gehen in der Regel zu Lasten der ursprünglichen Zielvorstellungen, der Zeitplanung und nicht zuletzt der Wettbewerbsfähigkeit.
Klar ist, die erfolgreiche Umsetzung von Cybersicherheit stellt immense Anforderungen an die Organisation und kann leicht von einem eigentlichen Detail-Thema zu einer weitreichenden Einflussgröße auf Kosten, die letztendliche Qualität und darüber hinaus hoch kaskadieren.
Die Bedeutung des richtigen Verständnisses
Es wird deutlich, welche entscheidende Bedeutung zum gegenwärtigen Zeitpunkt das richtige Verständnis rund um die Inhalte der ISO/SAE 21434 hat. Dabei sind zwei Richtungen als Startpunkte fest zu machen:
- Kenntnisse auf Entscheider- und Management-Ebene über den weitreichenden Impact der ISO/SAE 21434 weit über das eigentlich zu entwickelnde Produkt hinaus
- Spezifisches Fachwissen zu Prozessdefinition und -planung sowie in der Bewertung der Requirements, Recommendations und Permissions des Standards auf Ebene des Engineerings und im Projekt.
Beide Stoßrichtungen greifen dabei ineinander über. Nur so kann es gelingen, die Unklarheiten und hier und da vermisste Präzision in den Details des Standards organisationsspezifisch für die eigene Arbeit auszugleichen, um belastbare Cybersicherheit entlang des jeweiligen Produktlebenszyklus zu erreichen.
Allgemein statt spezifisch: Welche Vorteile ergeben sich auf Ebene der Implementierung?
Die fehlende Detailtiefe des Standards wird besonders in Organisationen weniger als Nachteil ausgelegt, in denen bereits höhere Reifegrade in der Etablierung der Prozesse, bspw. im Supplier Management, oder natürlich auch konkret in Bezug auf Cybersicherheit gegeben sind.
Wer bereits ausgereifte Strukturen, Strategien und eine entsprechende Prozesslandschaft hat, bestenfalls nicht nur niedergeschrieben, sondern auch gelebt, der tut sich leichter diese anzupassen entlang der neuen, gegebenenfalls zusätzlichen und/oder abgeänderten Anforderungen. Vorrausetzung dafür ist an den entsprechenden Stellen über das erforderliche Fachwissen in den unterschiedlichen Fragen der Cybersicherheit zu verfügen.
Dem gegenüber stehen Unternehmen, die erst beginnen – etwa ausgehend von einer adressierten Kundenanforderung – allgemeine Cybersecurity-Requirements, bzw. CSMS-Requirements umzusetzen. Es fehlt an Erfahrung, Best Practices sind am Markt weiter rar, entsprechend ist die „Ungenauigkeit“ des Standards keine Hilfe, eher ein Hindernis.
Klar, hier würde es zunächst wohl vorteilhaft rüberkommen, mehr konkrete Guidance und Leitplanken über das „Wie“ im Standard bereit zu stellen. Doch dies würde gleichzeitig bedeuten, dass Organisationen möglicherweise der Spielraum für die Entwicklung ihrer eigenen Strategien, Vorgehensweisen und Lösungen in Bezug auf die Umsetzung von Cybersicherheit genommen werden würde.
Dem folgend kommt innerhalb der ISO/SAE 21434 eine besondere Bedeutung den Anhängen zu. Hier wünschen sich viele Spezialisten, unabhängig davon, wie weit fortgeschritten ihre eigene Arbeit ist, weitaus umfangreichere und konkretere Beispiele, welche in den Anhängen diskutiert werden sollten.
Über die Bedeutung bestehender Prozess-Strukturen
Was wir in der Beratungspraxis immer wieder feststellen und versuchen frühzeitig aufzuzeigen: Gut definierte und sauber angewendete Prozesse sind einer der wichtigsten Erfolgsfaktoren für die Umsetzung der Cybersicherheit. Wer hier auf eine bestehende Prozesslandschaft schauen kann, die in anderen Bereichen bereits gut funktioniert, der hat einen Ausgangspunkt, von dem aus die ganzheitliche Integrierung von Cybersicherheitsprinzipien gelingen kann.
Wer sich mit Automotive Cybersicherheit auskennt und die ISO/SAE 21434 richtig liest, der wird zustimmen, dass nicht davon auszugehen ist, dass man idealtypisch an einen Punkt kommt, in dem alle Risiken jeweils vollständig eliminiert sein werden.
Aus dieser Perspektive betrachtet wird es um so wichtiger, den wesentlichen Prozessen (von der Incident Response über Vulnerability Management über die TARA und natürlich mit Blick auf das CSMS uvm.) besondere Aufmerksamkeit zu schenken.
Wer hier sinnvolle Vorgehensweisen konsistent aufsetzt und diese konsequent korrekt umsetzt, liegt weit vorne.
Dabei dürfen angrenzende Prozesse und Domänen nicht aus den Augen verloren werden.
Korrekt aufgesetzte verwandte Prozesse und Management-Systeme sind ein Stellhebel, um neue Anforderungen der Cybersicherheit in die bestehende Prozesslandschaft zu implementieren.
Ebenfalls nicht außer Acht gelassen werden sollte die generelle Idee der ISO/SAE 21434, die mehr in die Richtung geht, eben nicht spezifische konkrete Vorgaben zu machen, welche nacheinander einfach abgehakt werden können, etwa, um für den Kunden einen schnellen Aktivitäts-Nachweis zu erbringen. Vielmehr versucht der Standard von diesem „Security for the paper“-Gedanken weg zu kommen, und versucht mehr das Bewusstsein für einen korrekten Weg und die Bedeutung der Erreichung der Cybersicherheit zu vergegenwärtigen.
In der Phase der konkreten Umsetzung sollte es für Organisationen und im Projekt eigentlich keine besondere Herausforderung, darstellen, dass der Standard hier nur begrenzt Informationen überreicht. Schließlich sollten es in diesen jeweiligen Bereichen erfahrene Mitarbeiter sein, welche das Know-How über die korrekte Umsetzung von Security-Themen mitbringen. Klar, ohne jegliche Fachkenntnisse, da wird es schwer, da würde man sich wünschen, der Standard würde tiefergehend Anleitungen bieten.
Ein Ausblick auf zukünftige Entwicklungsarbeit
Wichtig zu verstehen ist die besondere Schnelllebigkeit, welche gegenwärtig rund um das Fahrzeug stattfindet. Dies betrifft nicht nur das sich verändernde Fahrzeug an sich (mit Blick auf genutzte Komponenten u.a.), sondern auch die entsprechenden Akteure und verwendete Technologien.
Parallel dazu ist in Fragen der Cybersicherheit nie ein Stillstand zu erwarten: Neu entdeckte Schwachstellen, aufkommende Sicherheitslücken, all dies passiert jeden Tag, zu jeder Stunde. Das Entdecken und die Veröffentlichung entsprechender neuer cybersicherheitsrelevanter Risiken erfolgt – ausgehend von der Perspektive eines ISO-Standards – in der Regel eher ‚un-standardisiert‘. Entdeckt durch Dritte, unzureichend geheim gehalten, unklar dokumentiert … Schreckensszenarien in der Cybersicherheit, dafür reicht der Blick in die benachbarte Domäne der Informationssicherheit.
Was sich bereits heute aber sagen lässt: Aufgesetzte (und sich kontinuierlich weiterentwickelnde) etablierte Prozesse werden in diesen Handlungsfeldern der Cybersicherheit weiter reifen.
Diese erste „First Edition“ der ISO/SAE 21434 liefert hierfür den Ausgangspunkt. Auch wir können heute schon sagen, dass sie sich wohl weiterentwickeln wird. Aber in ihrer jetzigen bewusst abstrakt gehaltenen Weise, legt sie bereits heute die Fundamente für die wichtigsten Aktivitäten und ihre weitreichenden Auswirkungen.
Nicht zu vernachlässigen ist hier auch der erweiterte Blick auf relevante Informationsquellen (VDA-Publikationen,VDA-Information Security Asessment-Katalog rund um TISAX, über Auto-ISAC oder OICA-Ressourcen uvm.)
Fazit
Unabhängig von der Abstraktheit des Standards, zusammenfassend lässt sich sagen, dass die Umsetzung der Anforderungen und Empfehlungen der ISO/SAE 21434 von wesentlicher Bedeutung ist, um sicherzustellen, dass ein Produkt während seines Lebenszyklus ein Mindestmaß an Cybersicherheit erfährt. Gleichzeitig dient der Standard als erster zentraler Baustein zur strategischen Ausrichtung von Cybersicherheit in Organisationsstrukturen, organisatorischen Management-Themen und Prozessen.
Entsprechend bemühen sich Organisationen der Automobilindustrie die im Standard definierten Anforderungen und Arbeitsaufträge umzusetzen, um mit Blick auf ihre Produkte die Ergebnisse bezüglich Cybersicherheits-Level und ISO/SAE 21434-Compliance zu erreichen, die ihre Kunden erwarten.
Die fehlenden Details und daraus resultierende Flexibilität können von Vorteil sein, sofern das entsprechend benötigte Fachwissen sowie bereits etablierte ausgereifte Prozesse vorhanden sind.
Ist dies nicht der Fall, entsteht das Risiko nicht-lückenloser Cybersicherheit, welche sich auf ein Produkt negativ auswirken kann.
Auch aus der Perspektive der Beratung können wir bestätigen, das Erreichen des Ziels, das eigene Produkt ‚cybersecure‘ aufzustellen, kann nur gelingen, wenn die Bedeutung der Tragweite der wesentlichen Prozesse bekannt ist.
Darja Boiko is Senior Analyst at CYRES Consulting. She is an experienced specialist not only in project management, but also establishing CSMS. She is involved in a variety of projects dealing with ISO/SAE 21434, UN Regulation No. 155, and ASPICE for Cybersecurity.
Comments are closed.