Entlang der gesamten Automotive-Wertschöpfungskette ist aktuell zu hören: Die gesamte Organisation muss Cybersicherheit im Rahmen der Entwicklungsarbeit neu lernen. Wie kann das gelingen? Händeringend werden dafür neue Stellen ausgeschrieben, Personaldienstleister arbeiten auf Hochtouren, externe Dienstleister sollen es richten. Neue übergreifende Kompetenzzentren für Cybersicherheit entstehen überall. Reicht das aus? In diesem Blog wollen wir konkrete Impulse für den Aufbau neuer Automotive-Cybersecurity-Kompetenz geben.
- I. Kompetenz-Management entlang ISO/SAE 21434 und UN R155
- II. Nicht zu unterschätzen: Cybersecurity ist ein Kultur-Thema
- III. Konkretes Fachwissen einholen, z.B. Cybersecurity-Know-How für Software-Development-Teams
- IV. Umschulungen und Neu-Einstieg ins Thema Automotive Cybersecurity? Einfach loslegen mit niedrigschwelligen ersten Lernangeboten
- V. Bedeutung von Automotive-Cybersecurity-Zertifzierung als Compliance-Thema
Qualitäts-, Risiko- und Engineering-Verantwortliche in der Automobilindustrie wissen: Der Druck, Cybersicherheit (und das zugehörige Wissen im Bereich Cybersecurity Management und Cybersecurity Engineering) in die Organisationen, die Teams und die laufenden (und besonders zukünftige) Entwicklungs-Projekte zu integrieren, steigt.
Egal ob aus Ebene der Management-Systeme (etwa mit Blick auf die Anforderung an das CSMS entlang der UN Regulation No 155), aus Prozess-Perspektive oder kommend aus der konkreten Entwicklungsarbeit: Es braucht Automotive-Cybersecurity-Know-How, und zwar viel und das am besten schon gestern.
Nachfolgend der Versuch diese allgemeine Herausforderung zu konkretisieren. Los geht’s.
Kompetenz-Management entlang ISO/SAE 21434 und UN R155
Auch wenn es den Eindruck macht, dass wir uns im völligen Firefighting-Modus befinden, gilt es kurz einen Schritt zurückzutreten und das große Ganze zu betrachten.
Wenn es um die Beschäftigung mit Automotive Cybersecurity Weiterbildung und Kompetenz-Aufbau geht, beobachten wir gegenwärtig diese drei Einflugschneisen als die häufigsten Startpunkte:
- Einzelpersonen, die ganz konkreten Wissensbedarf haben
- Entscheider, welche recht eigenständig die Kompetenzentwicklung für (Projekt-) Teams vorantreiben
- und zuletzt verantwortungsvolle Cybersecurity-Manager, die sich bemühen gesamtheitlich für Unternehmensbereiche Automotive-Cybersecurity-Kompetenz innerhalb der Organisation bedarfsgerecht aufzubauen.
Mit Blick auf die Spannbreite, inwiefern z.B. der ISO/SAE 21434:2021 Standard nahezu alle Strukturen, Abläufe und Prozesse entlang des gesamten Lebenszyklus betrifft, wird klar: In einem idealtypischen SOLL-Zustand braucht es ein unterschiedlich ausgeprägtes Automotive-Cybersecurity-Kompetenzniveau.
Für die jeweilige Organisation, ausgerichtet auf verschiedene Rollen und Funktionen sind die jeweils erforderlichen Kompetenzen aufzubauen.
Hierbei gilt es den eigenen Automotive-Cybersecurity-Reifegrad zu erhöhen: Weg vom punktuellen Wissenserwerb zur systematischen Kompetenzentwicklung. Dafür ist die Anwendung eines Automotive-Cybersecurity-Kompetenzmanagementrahmens unverzichtbar. Unter Berücksichtigung der ISO/SAE 21434 und der UN Regulation No 155 ist diese Erforderlichkeit sogar ganz konkret abzuleiten.
Lernen Sie mehr dazu auch in unserem kürzlich neu erschienen „Automotive Cybersecurity Competence Management„.
Nicht zu unterschätzen: Cybersecurity ist ein Kultur-Thema
Mit dem voranschreitenden Bewusstsein für Cybersicherheit setzt sich vermehrt die Erkenntnis durch, dass die korrekte Berücksichtigung von Cybersicherheit auch ein Kultur-Thema ist. Was aus technisch-versierter Ingenieursperspektive möglicherweise abstrakt klingen mag, wird sogar im ISO/SAE 21434 Standard explizit aufgezeigt: Eine Kultur der Cybersicherheit ist zu etablieren.
Wer in vielfältigen Entwicklungsprojekten bereits gearbeitet hat, der weiß, dass in Teams folgenschwere Eigendynamiken entstehen können – insbesondere im allgegenwärtigen Spannungsfeld zwischen Performance und Sicherheit.
Neben dem kontinuierlichen Bestreben, inhaltlich die korrekten Dinge zu tun, sind Grundhaltungen, Verhalten und Arbeitsweisen (also eben Ausprägungen der Unternehmenskultur) die wichtigsten Treiber für die Etablierung von Cybersicherheit. Hier systematisch anzusetzen, wird zur unverzichtbaren Aufgabe für Cybersicherheitsverantwortliche.
Lernen Sie mehr dazu auch in unserem Videolernkurs Cybersecurity Culture in the Automotive Industry.
Konkretes Fachwissen einholen, z.B. Cybersecurity-Know-How für Software-Development-Teams
Die Entwicklungsarbeit in Automotive-Organisationen verdeutlicht: Die Schwerpunkte liegen mit der Weiterentwicklung von Fahrzeugen heute anders als in der Vergangenheit. Nirgends wird das deutlicher als im Bereich der Software-Entwicklung. In der gegenwärtigen Transformation der gesamten Industrie in Richtung Digitalisierung und IT werden On-Demand-Lernangebote zu konkreten Fach-Themen unverzichtbar.
Mit der CYRES Academy Online Lernplattform ist die mittlerweile weltweit größte Video-Lerndatenbank zum Thema Automotive Cybersecurity entstanden. Ziel der Plattform ist es, einfach konsumierbare Wissens-Inhalte direkt an Spezialisten zu bringen. Bereits über 100 Lernvideos sind in den letzten Monaten dafür online gegangen.
Verschaffen Sie sich einen ersten Eindruck, z.B. mit unseren erst kürzlich fertig gestellten Video-Lernkursen zu diesen Themen:
- Wie die Qualität von Software die Performance und Cybersicherheit in der Automobilindustrie beeinflusst: in Videolernkurs Software Quality.
- Über die Sicherstellung von guten und zuverlässigen Code in der Software-Entwicklung: im Videolernkurs Coding Guidelines, Rules and Standards
- Automotive-Entwicklungsarbeit mit AUTOSAR im Kontext der Cybersicherheit: im Videolernkurs AUTOSAR Cybersecurity
Neben den Self-Service-Lernangeboten auf der Plattform entwickeln wir gegenwärtig mit Kooperationspartnern weitere Deep-Dive-Trainings, um perspektivisch auch Nischen-Lernangebote weiterführend anbieten zu können.
Umschulungen und Neu-Einstieg ins Thema Automotive Cybersecurity? Einfach loslegen mit niedrigschwelligen ersten Lernangeboten
Umschulung, Re-Training und Neueinstieg in neue Themenfelder, das klingt in Unternehmen erst einmal nach einer größeren Herausforderung. Wie kann so etwas gelingen im Arbeitsalltag?
Hierbei gilt es sich mit Blick auf Automotive Cybersecurity vor Augen zu führen: Wenn es um die Implementierung von Cybersicherheit in Automotive-Entwicklungsprojekten geht, ist Automotive Cybersicherheit eine größtenteils neue Domäne, die mehr und mehr nahezu alle Aspekte der Entwicklung betrifft.
Entsprechend ist Automotive Cybersecurity auch nicht als abgrenzbare Zuständigkeit zu betrachten: Vielmehr ist Kompetenzentwicklung in diesem Bereich für allen Positionen und Rollen auf der einen Seite nicht nur allgemein sinnvoll, sondern auch bereits heute einfach möglich und umsetzbar.
Etwa mit den ersten einführenden Videos der oben genannten Lernplattform (s. dazu auch unsere Übersichtsseite zu Kapitel 01 Cybersecurity Awareness Online Courses oder Kapitel 02 Automotive Cybersecurity Standards and more) oder über die Teilnahme an den zweimal dreistündigen (Online-)Live-Trainings der ersten Automotive Cybersecurity Trainingsstufe ACP Level 1 „Foundation“ (s. dazu auch Automotive Cybersecurity Training).
Darüber hinaus finden erste praxis-relevante Publikationen zum Eigenstudium den Weg in die Bücherregale, etwa The Essential Guide to ISO/SAE 21434 (CYRES Consulting, 2021) oder (nur in deutscher Sprache) Automotive Cybersecurity: Security-Bausteine für Automotive Embedded Systeme (Manuel Wurm, 2022)
Bedeutung von Automotive-Cybersecurity-Zertifzierung als Compliance-Thema
Neben den organisationsweiten Fragestellungen zu Audit und Zertifizierung entlang der ISO/SAE 21434 (s. dazu auch unser aktuellster Blog zur ISO PAS 5112:2022), erlangen Personenzertifizierungen als Nachweis über Automotive Cybersecurity Kompetenz mehr und mehr Bedeutung.
Hier gilt sich vor Augen zu führen, dass relevantes Wissen gegenwärtig erst weiter entsteht.
Die offizielle Publikation der ISO/SAE 21434:2021 ist erst vor nicht einmal einem Jahr erfolgt, während etwa auch die ISO 24089 (zugehörig zum Thema SUMS und der UN Regulation No 156) noch aussteht (Stand: Juni 2022).
Zugehörige Weiterbildungsangebote und erst recht die entsprechenden Zertifizierungsmöglichkeiten werden zwar von der Automobilindustrie bereits gefordert, sind aber noch rar gesät.
In der Evaluation von Weiterbildungsangeboten ist immer auch klar zu unterscheiden: Es gilt spezifisch für die Automobilindustrie relevantes Fachwissen zu trainieren und zu zertifizieren. Allgemein generalistisches Know-How aus dem Bereich der Informationssicherheit ist immer hilfreich aber für die Automotive-Entwicklungsarbeit in der Regel unzureichend.
Lernangebote, Kenntnisnachweise und beliebige Auszeichnungen finden sich natürlich auch zum Thema Cybersicherheit. Aber inwiefern entsprechen diese den hohen Qualitätsanforderungen der Automobilbranche? Unabhängige Prüfungsinstanzen, die betrugs- und fälschungssichere Prüfungs- und Zertifikatsausstellungsprozesse sicherstellen, sind für den zuverlässigen Nachweis von Automotive-Cybersecurity-Kompetenz unverzichtbar. Mit mittlerweile weltweit hunderten ausgestellten Zertifikaten beginnt sich das ACP Framework mit den zugehörigen Automotive Cybersecurity Professional Zerfitikate mit TÜV Rheinland Certified Qualification weiter durchzusetzen. Im FAQ-Bereich auf der zugehörigen Seite so wie auch in der Certipedia, der Personenzertifizierungsdatenbank des TÜV Rheinland, finden Sie weiter Informationen.
Manuel Sandler is Partner at CYRES Consulting. He has many years of experience in global project and process management in various parts of the value chain, including OEMs and Tier-1. He is ASPICE Provisional Assessor and an expert in Engineering Process Development, ISO 26262, ISO/IEC 15288 and ISO/SAE 21434 Road Vehicles – Cybersecurity Engineering.
Comments are closed.