„Cybersecurity wird Voraussetzung für die Typzulassung“

Herr Doktor Minzlaff, die Schaffung verbindlicher Standards und Regularien im Bereich der Automotive Security hat inzwischen richtig Fahrt aufgenommen. Welche Entwicklungen verdienen hier besonderes Augenmerk?

Es gibt zwei Initiativen, die im Moment alle gebannt verfolgen: Zum einen die ISO/SAE 21434, die Standards setzt auf der Prozessebene. Zum anderen die Aktivitäten der UNECE WP.29, die Cybersecurity für die Typzulassung von Fahrzeugen zur Voraussetzung machen wird. Beide, UNECE-Regularien und ISO-Vorgaben, werden schon innerhalb der nächsten drei Jahre in Kraft treten. Es bleibt also wenig Zeit, sich darauf vorzubereiten.

Das heißt, die Informationssicherheit der Fahrzeuge wird in naher Zukunft tatsächlich typzulassungsrelevant?!

Das ist richtig. Gemäß UNECE-Vorgaben werden die OEMs künftig in Märkten wie der EU oder Japan Fahrzeugtypen nur noch zulassen können, wenn sie eine angemessene Risikobehandlung nachweisen. Die ISO/SAE 21434 ist dann das Puzzlestück in Form gemeinsamer Security-Standards der Automobilindustrie, das über die Hürde hinweg helfen soll. Gleichzeitig entwickeln sich auf regionaler Ebene ständig weitere Regelwerke und Gesetze, die es ebenfalls im Blick zu behalten gilt.

Welche Herausforderungen kommen da denn jetzt konkret auf die Autohersteller und Zulieferer zu?

„Fahrzeughersteller werden für die gesamte Plattform kritische Elemente identifizieren und absichern müssen – und das bis zum Phase-out“

Die große Herausforderung besteht darin, dass Security künftig ganzheitlich über die Lieferkette und den Lebenszyklus angegangen werden muss. Es reicht nicht mehr, zwei oder drei zentrale Steuergeräte mit Security-Funktionen zu versehen. Fahrzeughersteller werden für die gesamte Plattform kritische Elemente identifizieren und absichern müssen – und das bis zum Phase-out. Lifecycle-Management ist daher in Zukunft ein entscheidendes Thema: Wie lässt sich nach Start of Production risikobasiert für einen angemessenen Schutz sorgen? Und zwar für vernetzte Fahrzeuge, die über viele Jahre im Feld einer sich kontinuierlich ändernden Bedrohungslandschaft ausgesetzt sind.

Was sollte ich als OEM oder Zulieferer denn jetzt schon tun, um den Schutz von Fahrzeugen in meinem unternehmerischen Handeln und meiner Organisation nachhaltig zu verankern?

Sie sollten aus zwei Richtungen aktiv werden. Zum einen sollten Sie den Security-Bedarf ihres Produkts ermitteln: Fahrzeuge und Komponenten mit unterschiedlichem Vernetzungsgrad, unterschiedlicher Funktionalität, unterschiedlicher Safety-Relevanz und unterschiedlichem Grad des automatisierten Fahrens brauchen jeweils angepasste Schutzmaßnahmen. Um das so identifizierte Security-Niveau zu erreichen, müssen Sie alle Beteiligten einbinden: Von Entwicklung und Produktion über die Qualitätssicherung bis hin zu Vertrieb und Kundenkommunikation müssen im eigenen Unternehmen und entlang der Lieferkette Verantwortlichkeiten und Rollen klar definiert werden.

Gleichzeitig können Sie eine „Bestandsaufnahme“, also ein klassisches Audit oder Assessment durchführen. In welchen Bereichen sind Sie gut aufgestellt, welche Teile der künftigen regulatorischen Anforderungen erfüllen Sie bereits? Auf welche vorhandenen Prozesse können Sie aufbauen? Solch eine Gap-Analyse zeigt auf, wo Investitionen in die Weiterentwicklung des Themas Security die größte Wirkung entfalten.

Ist es sinnvoll, sich hier einen Security-Spezialisten wie ETAS an die Seite zu holen?

Ja, denn unser unabhängiger Blick und unser globales, branchenweites Know-How ist die optimale Ergänzung zur hausinternen Kompetenz. Der kontinuierliche Schutz vernetzter Fahrzeuge gelingt nur miteinander und mit einem ganzheitlichen Ansatz. Bei ETAS haben wir daher heute bereits klassische Enterprise-IT-Sicherheit mit eingebetteter Sicherheit zusammengeführt. Denn nur domänenübergreifend vom Fahrzeug über Apps bis hin zur Cloud lässt sich Cybersecurity in Zukunft meistern.

„Der kontinuierliche Schutz vernetzter Fahrzeuge gelingt nur miteinander und ganzheitlich.“

Aufgrund unserer vielfältigen Projekterfahrung mit Herstellern und Zulieferern in allen großen Märkten können wir zudem ein „Benchmarking“ bieten. Wir identifizieren genau die Aspekte der gelebten Security-Praxis, die weiterentwickelt werden sollten, und helfen, die notwendigen Investitionen in Cybersecurity zielgerichtet zu bestimmen. Die Zeit ist knapp und das Risiko ist zu groß, die Typzulassung gemäß UNECE-Vorgaben nicht oder nur mit Verspätung oder Kostenüberlauf zu erreichen. Dank tiefer Engineering-Erfahrung wissen wir bei ETAS, wie man Automotive Security am Ende in Serie bringt. All das erhöht die Chance drastisch, die bevorstehenden Herausforderungen erfolgreich zu bewältigen.