Die Automobilindustrie beschäftigt sich mit der Implementierung von Cybersicherheit. Auf Ebene der Organisation, in Bereichen und Abteilungen sowie auf Projektebene werden neue Zuständigkeiten und Verantwortungsbereiche verankert. Viele unterschiedliche Rollen haben nun auf einmal mit Cybersicherheit zu tun. Häufig trifft es dabei Spezialisten aus dem Bereich Functional Safety/ISO 26262. Auf einmal haben sie mit Automotive Cybersecurity Engineering und der ISO/SAE 21434 zu tun. Wie gelingt der Einstieg?
Häufig beginnt die Auseinandersetzung mit Cybersicherheit im Automobilbereich mit Regularien, Standards, Normen und Vorschriften. Was zunächst verwirrend erscheint.
Aber das ist nachvollziehbar. Wie in anderen Branchen, etwa der Luftfahrt oder der Medizin, gilt auch für das Fahrzeug: Safety (im Deutschen auch zu verstehen als Gefahrlosigkeit) und Sicherheit sind unverzichtbar. Mit der richtigen Herangehensweise (beginnend bei der Entwicklung über die Produktion bis zum laufenden Betrieb auf den Straßen) gilt es diese Sicherheit konsequent zu gewährleisten. Und das eigentlich bereits seit der Erfindung des Automobils.
Ein Bereich, der in den letzten 15 Jahren hierbei enorme Professionalisierung erfahren hat – nicht zuletzt durch den mittlerweile bereits überarbeiteten ISO-Standard ISO 26262 Road Vehicles – Functional Safety – ist die Domäne der funktionalen Sicherheit.
Ganz kurzer Exkurs: Was ist Functional Safety in der Automotive-Entwicklung?
Funktionale Sicherheit beantwortet die Frage: Funktioniert das Fahrzeug so, wie es soll und ist dabei alles so sicher wie möglich? Am Ende des Tages geht es bei Funktionaler Sicherheit darum, nur gewünschte Abläufe sicherzustellen und dabei das Risiko von unbeabsichtigten Gefahren, z.B. Fehlfunktionen, so weit wie möglich zu reduzieren.
Cybersicherheit als neue Domäne im Fahrzeug
Mit neuen Technologien im Auto, voranschreitender Vernetzung und dem Bestreben nach autonomen Funktionen entstehen natürlich neue Herausforderungen. Cybersicherheit wird zum Qualitätsfaktor. Für cybersicheres Engineering lautet die Leitfrage: Wie lässt sich alles so weit absichern, dass sich Risiken (resultierend aus absichtlich herbeiführten sowie ungewollten Fehlern) so gut es geht in den Griff bekommen lassen?
Funktionale Sicherheit und Cybersicherheit in der Automobilindustrie
Was in der Theorie runtergeschrieben noch recht ähnlich klingt, sind in der Praxis der Automotive-Entwicklung aber auch unterschiedliche (Schutz-)Ziele und damit verbundene Arbeiten.
Entsprechend intensiv wird in der Branche, in einzelnen Organisationen und sogar in den Köpfen jeweils Verantwortlicher die Frage gestellt, inwiefern Functional Safety und Cybersicherheit ähnlich oder unterschiedlich sind.
Konträr stehen sich dabei häufig die Annahmen gegenüber
- Alles völlig unterschiedlich, Functional Safety und Cybersicherheit sind zwei ganz verschiedene voneinander abzugrenzende Bereiche, auf der einen Seite,
- und, klar, lässt sich beides beherrschen und bewältigen, quasi identisch, auf der anderen Seite.
Fest steht: Funktionale Sicherheit und Cybersecurity haben zwar eine ähnliche Basis, sie gehen im Lebenszyklus eines Fahrzeugs (und darüber hinaus) aber auch in unterschiedliche Richtungen.
Die HARA und die TARA
Sowohl für Functional Safety als auch für die TARA (Threat Analysis and Risk Assessment, kurz TARA) im Bereich der Cybersicherheit gilt: Basis für das systematische Herantasten ist die genaue Betrachtung von möglichen Gefahren und Risiken. Es gilt eine strukturierte Identifizierung und Analyse von Gefahren und Risiken vorzunehmen.
Hazard Analysis and Risk Assessment
Im Bereich der funktionalen Sicherheit nennt sich dieser konkrete Schritt Hazard Analysis and Risk Assessment (HARA). Hierbei werden potenzielle Gefahren ermittelt, die potenzielle Schadensquellen darstellen. Das mit den ermittelten Gefahren verbundene Risiko wird bewertet. Aus der HARA werden dann Sicherheitsziele abgeleitet. Dabei handelt es sich um Sicherheitsanforderungen der obersten Ebene auf Fahrzeugebene. Jede identifizierte Gefährdung erhält entlang des Risiko-Klassifizierungs-Schemas eine ASIL-Sicherheitsstufe (Automotive Safety Integrity Level, kurz ASIL).
Dabei geht es um
die Schwere der Auswirkung („Severity“ / S),
die Häufigkeit („Exposure“ / E),
und die Beherrschbarkeit der Fehlfunktion („Controllability“ / C)
Sind die Sicherheitsziele abgeleitet, dienen sie als Grundlage für das Konzept der funktionalen Sicherheit.
Threat Analysis and Risk Assessment
Bei der Cybersicherheit hingegen wird eine sogenannte Bedrohungsanalyse und Risikobewertung (TARA) durchgeführt, um potenzielle Bedrohungen zu identifizieren, das mit ihnen verbundene Risiko zu bewerten und ihre Angriffswege zu eruieren. Daraus ergeben sich Ziele und Ansprüche an die Cybersicherheit. Die Ziele dienen dann als Grundlage für das Cybersicherheitskonzept.
Da wir uns im Rahmen der Cybersicherheit in einer etwas anders gearteten Materie bewegen, unterscheiden sich die Betrachtungen der TARA von denen der HARA. Etwa nimmt die TARA mit ins Visier die Beschreibung von Angriffen und Angriffswegen, berücksichtigt das erforderliche Fachwissen und Zugriffsmöglichkeiten eines Angreifenden sowie die Dauer des Eindringens in das System.
Gleichzeitig lassen sich aber auch Outputs aus der HARA (z.B. Erarbeitungen rund um die Schwere der Auswirkungen / Severity) für die Arbeit mit der TARA wiederverwenden.
Außerdem ist zu beachten, dass die HARA auf Ebene des Fahrzeugs durchgeführt wird, während die TARA sowohl auf der Fahrzeug- als auch auf der Komponentenebene durchgeführt werden kann.
Sum Up: Functional Safety und Cybersicherheit. Was ist der wichtigste Unterschied?
Ganz allgemein gesprochen gilt für beide aufgezeigten Vorgehensweisen: Natürlich sind bestimmte Schritte auf konzeptioneller Ebene hier vergleichbar:
- Definieren,
- identifizieren,
- bewerten
- und dann Ziele setzen.
Beide Disziplinen erfordern Überprüfungen und Bewertungen, unabhängig von in der Regel performance- und effizienz-getriebener Entwicklung, um zu bestätigen, dass die Ziele der funktionalen Sicherheit und der Gefahrenabwehr erreicht wurden.
Zusammenfassend lässt sich sagen: In beiden Domänen sind Erfahrung und umfassendes Know-how erforderlich, welches je nach Organisation, Struktur und Prozess den Weg in Automotive-Entwicklungsprojekte findet.
Mit wachsendem Verständnis für die Inhalte der ISO/SAE 21434 und die UN Regulation No 155/CSMS wird darüber eine Erkenntnis deutlich: Die Breite und Tiefe der Aspekte, welche in Bezug auf Cybersicherheit in Betracht gezogen werden müssen, übersteigt in einigen Aspekten die Fragestellungen der Funktionalen Sicherheit.
Sei es
- eine unentdeckte Fehlerquelle in der Entwicklung,
- der während der Produktion eingeschleuste schadhafte USB-Stick,
- während der Laufzeit im Feld ein fehlerhaftes Over-the-Air-Update
- oder unzureichender Datenschutz bei Außerbetriebnahme.
Je tiefer man in die Materie der Automotive Cybersicherheit einsteigt, desto klarere Aussagen lassen sich treffen.
Dieser erste allgemeine Überblick kratzt natürlich nur an der Oberfläche dieser beiden großen Themen für die Automobilindustrie.
Möchten Sie Ihr Fachwissen im Bereich der angewandten Cybersicherheit in der Automobilindustrie erweitern? Bitte beachten Sie hierzu auch die Einstiegsangebote der Online-Lernplattform CYRES Academy
Aicha Zayane is a Cybersecurity & Functional Safety Associate Analyst at CYRES Consulting while majoring in Electrical Engineering at the Technical University of Munich (TUM). Her knowledge in ISO26262 and ISO/SAE 21434 has been put into practice in cybersecurity and functional safety projects at CYRES Consulting covering work products such as item definitions, Hazards Analysis and Risk Assessments, and Threat Analysis and Risk Assessments.
Comments are closed.