Cybersecurity im Automobilbau – eine Bestandsaufnahme

Théo Tamisier und Robin Liebe, beide Senior Consultant bei Q_PERIOR, liefern für uns eine fundierte Analyse, wie Cybersecurity entlang des gesamten Wertschöpfungs- und Lebenszyklus durch die OEMs im Autobau gehandhabt wird.

Die Verordnung UN R155 wurde umgesetzt und Cyber Security Management Systeme (CSMS) eingeführt. Nun müssen die daraus resultierenden Security-Prozesse in den Entwicklungs- und Produktionsumgebungen etabliert werden.

Die OEMs haben in den letzten Jahren intensiv an der Umsetzung der UNECE Verordnung R155 gearbeitet, da diese zukünftig essenziell für die Zulassung neuer und bestehender Fahrzeuge ist. Die Verordnung befasst sich mit der Cyber Security für Fahrzeuge und der Implementierung eines Cyber Security Management Systems (CSMS). Sie regelt die Absicherung des Fahrzeugs über den gesamten Lebenszyklus und ist eng mit der ISO-Norm 21434 verbunden. Ziel ist es, dass die Fahrzeuge von der Entwicklung – inklusive der beteiligten Governance-Prozesse – bis hin zum fertigen Produkt auf potenzielle Cyber-Security-Risken untersucht und bewertet werden. Diese Risiken gilt es adäquat zu adressieren.

Marktbetrachtungen zeigen, dass der Großteil der OEMs und Zulieferer bereits die für die UN R155 Regulierung notwendigen Prozesse und Strukturen eingeführt haben – oder kurz vor der Einführung stehen. Ihr CSMS ist an dieser Stelle konform zur Regulierung oder sogar bereits zertifiziert. Lässt sich daraus schließen, dass sie bereits für alle Aspekte der Regulierung gewappnet und ihre Produkte abgesichert sind? Leider nicht ganz. Neben dem Roll-Out des CSMS, müssen die Organisationen sicherstellen, dass alle Prozesse für die Entwicklung und Produktion die jeweiligen Security-Aktivitäten auch vollständig in die Praxis umsetzen. Genau dort steht noch einiges an Arbeit bevor. Gerade im Bereich des Incident Management für Fahrzeuge im Feld – also auf der Straße. Die neuen Herausforderungen im Bereich der CSMS-Anforderungen können hier aber mit bereits bekannten Zielen aus dem Bereich Information Security Management System (ISMS) verbunden und dort integriert werden, um Cyber-Risiken End-to-End zu bekämpfen. Die Aufgaben des ISMS zur Verwaltung und Überwachung der Security von Assets innerhalb des Firmennetzwerks decken sich eng mit den Aufgaben des CSMS für die Produkte.

Der Zusammenhang zwischen ISMS und CSMS

Einige wichtige Aspekte des CSMS lassen sich bereits durch bestehende Erfahrungen und Tools aus den ISMS lösen. Ein ISMS sorgt für den Schutz des Firmennetzwerks von außen und innen und greift dabei auf Governance Policies, Monitoring Tools und etablierte Sicherheitsmaßahmen zurück. All diese bestehenden Prozesse lassen sich mit wenig Aufwand erweitern, sodass auch die zusätzlichen Anforderungen eines CSMS abgedeckt werden können. Dabei sichert das ISMS zum Beispiel die vom Fahrzeug notwendigen Zugriffe auf die internen Firmenservices ab und das CSMS verarbeitet diese Daten dann konform zur ISO 21434. Die OEMs vermeiden damit die Anbindung und Absicherung eines weiteren Systems an die und vor der Außenwelt. Die für die ISMS notwendige Expertise und Erfahrung ist bereits in der Organisation vorhanden und OEMs können bei der Einführung von CSMS darauf zurückgreifen. Der folglich nächste notwendige Schritt zur weiteren Absicherung der Fahrzeugflotte wird jedoch deutlich komplexer.

UN R156 – Adoption und Implementierung von Software Update Management Systemen (SUMS) bleibt eine Herausforderung

Abb. 1: UNECE WP.29 – UN R156: Worum geht es?

Zuverlässigkeit und Geschwindigkeit bei der Bereitstellung von Updates ist von entscheidender Bedeutung

Fahrzeuge werden immer digitaler und vernetzter. Entsprechend müssen OEMs und ihre Zulieferer dafür sorgen, dass Updates für Systeme wie Advanced Driver-Assistance Systems (ADAS) und On-Demand-Funktionen zur Verfügung gestellt werden können. Diese Systeme bieten die Chance, den Nutzern zusätzlichen Komfort und Funktionen anzubieten. Allerdings implizieren Updates dabei auch neue Risiken in Bezug auf Cybersicherheit und Kompatibilität. Diese können Einfluss auf die Sicherheit des Fahrzeugs haben können. Die Geschwindigkeit der Bereitstellung dieser Updates ist für den Kunden dadurch von entscheidender Bedeutung.

Théo Tamisier: „Es ist von entscheidender Bedeutung, zu wissen – und zu dokumentieren – wie die tausende von Softwareteilen im Fahrzeug miteinander interagieren.“

Um dieser Herausforderung gerecht zu werden, wurde die Verordnung UN R156 für Softwareupdates und ein Software Update Management System (SUMS) veröffentlicht. Ein SUMS basiert auf dem gleichen Modell wie ein CSMS und fungiert als zentrale Kontrolleinheit für Softwareupdates. Es zielt darauf ab, alle Arten von Aktivitäten und Prozessen, die für die Updates unerlässlich sind, zu entwickeln, zu kontrollieren und im Laufe der Zeit kontinuierlich zu verbessern. Es bildet somit eine Brücke zwischen dem strategischen Update-Plan und dem täglichen Betrieb. Dabei stellt das SUMS die OEMs aber vor eine noch deutlich größere Aufgabe, da es das Management und die Verteilung von Over-The-Air (OTA)-Updates verantworten muss. Die Strukturen und Verantwortlichkeiten innerhalb von Organisationen sind bei diesem Thema oft nicht klar geregelt. Die meisten Ressourcen konzentrieren sich heute auf die Softwareentwicklung, während der Einsatz und die Überwachung der Software im Fahrzeuginneren eine mindestens ebenso wichtige Rolle in der Wertschöpfungskette spielen sollte. Daher ist es notwendig, diese Aktivitäten aufzubauen. Die Verordnung UN R156 weist genau in diese Richtung. Der Schlüssel zur Einhaltung der UN R156 liegt darin, die Herausforderungen hinter den Softwareupdates zu verstehen. Das heißt, OEMs benötigen einerseits Wissen über die Software und andererseits Wissen über die laufenden Systeme beziehungsweise die Flotte.

Das Wissen über die Software ist der erste Schlüssel zum Erfolg

Moderne Fahrzeuge sind komplex und beinhalten eine Vielzahl von Steuergeräten. Diese wiederum bestehen aus tausenden von Softwareteilen auf Basis verschiedener Hardwarekomponenten. Es ist von entscheidender Bedeutung zu wissen – und zu dokumentieren – wie diese miteinander interagieren. Dabei kommt es vor, dass unterschiedliche Softwarestände auf gleichen Komponenten laufen, beispielsweise durch ein Update während der bereits laufenden Produktion. Hier muss der OEM also ein Variantenmanagement einführen und dokumentieren, auf welcher Komponente welche Software mit welchen Randbedingungen für den Betrieb und die Wartung läuft. Das gilt vor allem auch für zugelieferte Komponenten. Zur erfolgreichen Umsetzung der UN R156 bedarf es, wie bereits erwähnt, jedoch noch eines weiteren Elements: OEMs benötigen Wissen über die laufenden Systeme respektive die Flotte im Feld.

Wissen über den Softwarestand der laufenden Systeme

Die laufende Softwareversion innerhalb eines Fahrzeugs muss zu jedem Zeitpunkt bekannt sein. Denn laut UN R156 muss vor einem Update sichergestellt werden, dass dieses kompatibel zu dem Zielsystem ist, auf das es ausgeliefert werden soll. Die hohe Anzahl der theoretisch möglichen Kombinationen von Software und Hardware führt zu einer komplexen Anzahl an validen Konfigurationen auf einem zu aktualisierenden Steuergerät. Es ist daher essenziell, die tatsächliche Konfiguration der eigenen Flotte zu jeder Zeit zu kennen und zu wissen, welcher Stand einer Software auf welchem Steuergerät in welchem Fahrzeug läuft. Angesichts der Probleme mit der Konnektivität und gegebenenfalls offline vorgenommenen Modifikationen (z.B. in einer Werkstatt) stellt diese Anforderung die nächste große Herausforderung dar.

SUMS erfolgreich implementieren: Was können Automobilhersteller tun?

Was sind nun die notwendigen Schritte, die OEMs aktuell und in den nächsten Monaten angehen müssen, um die UNECE R156 zu erfüllen und die Sicherheit ihrer Fahrzeuge weiter zu verbessern?

Robin Liebe: „Ist das Fahrzeug softwareseitig dokumentiert und nach UN R 156 zertifiziert, bieten sich ganz neue Lösungen, z.B. für das Flottenmanagement, an.“

Für das Variantenmanagement gibt es zwei mögliche Ansätze: entweder durch eine Integration des CSMS mit dem SUMS oder durch den Aufbau zweier separater Systeme mit gegebenenfalls doppelter Datenhaltung. Die Integration von CSMS und SUMS kann Synergien heben, denn das CSMS hat bereits Zugriff auf einige, für das SUMS wichtige Daten wie zum Beispiel aktuelle Informationen zum Fahrzeug im Feld. Allerdings entsteht so auch ein sehr komplexes System, welches dennoch robust genug sein muss, um Software zuverlässig und sicher auf die korrekten Systeme zu verteilen. Die beiden Systeme separat zu betreiben, scheint aus reiner Systemsicht zunächst weniger komplex. Allerdings muss in diesem Fall das SUMS Aufgaben übernehmen, die das CSMS bereits ausführt. Hierfür müssen Redundanzen aufgelöst oder koordiniert werden – beispielsweise das Schwach­stellen­management für im Feld befindliche Fahrzeuge.

Das Thema Flottenmanagement könnte über sogenannte Digital Twins gelöst werden. Die Idee hinter diesem Konzept besteht darin, eine digitale Version des verbundenen Objekts (hier ein Fahrzeug) zu erstellen, auf die jedes Update beziehungsweise jeder Befehl angewendet werden kann. Anschließend erfolgt die Synchronisierung mit dem Fahrzeug, um die neue Software bereitzustellen. So wird die Überwachung und Verwaltung des eigentlichen Fahrzeugs einfacher, da man nur einen Blick auf den Digital Twin werfen muss, um den Systemzustand zu kennen und Änderungen vorzunehmen. Es ist auch möglich, den Digital Twin des Fahrzeugs direkt mit anderen Systemen – zum Beispiel mit denen, die für die Überprüfung der Kompatibilität verantwortlich sind – zu verbinden. Somit wird die Bereitstellung von Updates durchgängig sichergestellt, auch wenn das eigentliche Fahrzeug zeitweise offline ist. Mögliche Konflikte, die zum Beispiel durch Offline-Modifikationen am Fahrzeug auftauchen, könnten durch den Digital Twin aufgelöst und getestet werden, bevor kritische Updates auf das eigentliche Fahrzeug übertragen werden.

Abb. 2: Wie können die Anforderungen der UN R156 umgesetzt werden?

Die beschriebenen Lösungsansätze werden bei ersten OEMs bereits verprobt. Die nächsten Monate werden zeigen, ob sich diese Ausrichtung am Markt etabliert oder ob doch noch anderen Konzepte gefunden werden müssen. Klar ist, dass das Thema CSMS und SUMS die gesamte Automobilbranche noch eine Weile beschäftigen wird. Sobald die ersten Systeme im Feld verwendet werden, müssen sich die Konzepte in der Praxis bewähren, indem sie aktiven Angriffen standhalten sowie Updates zuverlässig und möglichst reibungslos verteilen.

Weitere Informationen unter:
https://www.q-perior.com/


Bildquelle / Lizenz: Photo by Chris Liverani on Unsplash