Cyber Security und Software Updates
Die Automobilindustrie steht vor neuen Herausforderungen.
P3 PRODUCT AND PROCESS COMPLIANCE
Cyber Security und Software Updates – Die Automobilindustrie steht vor neuen Herausforderungen.
23. Juni, 2020 | T. Löhr, N. Khosrawi-Rad, S. Dorsch
Die Genehmigung neuer Fahrzeug-Typen in der Automobilindustrie unterliegt zahlreichen Regulierungen. Die Regulierungen zu Cyber Security und Software Updates stehen bei unserem Team im Fokus. Bei Nichterfüllung dieser Anforderungen droht ein vollständiger Verkaufsstopp für neue Fahrzeugtypen ab Mitte 2022 in mehr als 50 Märkten. Die betroffenen Fahrzeuge sind heute bereits in der Entwicklung.
Die Fahrzeughersteller sind mit diesen neuen rechtlichen Regularien konfrontiert, die das Ziel verfolgen, bei steigender Systemkomplexität weiterhin adäquate Sicherheitsstandards hinsichtlich Cyber Security und dem Aufspielen von Software Updates zu garantieren. Die Fähigkeit zu Software Updates in der Fahrzeugflotte ist integraler Bestandteil des Sicherheitskonzepts.
Durch unsere bisherigen Erfahrungen haben wir festgestellt, dass unsere Kunden häufig vor ähnlichen Herausforderungen stehen. Diese lassen sich in die Bereiche „Aufbau und Implementierung von Management Systemen“ und „Typgenehmigung von Fahrzeugmodellen“ sowohl bei SUMS (Software Update Management System) als auch bei CSMS (Cyber Security Management System) unterteilen und bedingen sich gegenseitig. Somit stellen außer der Erfüllung von Produktanforderungen auch Anforderungen an die Organisation des OEMs eine zusätzliche Herausforderung dar.
Die Lösungswege, die sich als Erfolgsfaktoren bewährt haben, möchten wir hier vorstellen.
CYBER SECURITY
Herausforderungen
Wie in der Abbildung dargestellt, gilt es bei der Betrachtung der Herausforderungen das Management System und die Typgenehmigung zu betrachten. Bei der Betrachtung des Management Systems spielen Prozesse zum Umgang mit Sicherheitsbedrohungen eine große Rolle. Diese müssen definiert und ausgerollt werden. Des Weiteren ist es essentiell, Mechanismen zur Reaktion auf Attacken und Schließung von Sicherheitslücken zu erarbeiten und zu etablieren.
Im Bereich der Typgenehmigung gibt es ebenfalls zahlreiche Herausforderungen. Vor allem zu nennen, ist hier unseres Erachtens die Identifikation der kritischen Systemkomponenten. Eine große Rolle spielt ebenfalls die technische Risikobewertung sowie die technischen Einrichtungen zur Risikominimierung im Fahrzeug (z.B. IDS/IPS) inkl. des Nachweises über eine geeignete technische Absicherung.
Erfolgsfaktoren
Im Umgang mit den genannten Herausforderungen haben sich die folgenden Erfolgsfaktoren bei unseren Projekten herauskristallisiert. Essentiell ist die frühzeitige Identifikation der betroffenen Fachbereiche, die Erzeugung von Betroffenheit sowie die Schaffung von Awareness in diesen Fachbereichen. Zudem ist eine zeitige Bereitstellung einer durchgängigen Toolchain für die rechtzeitige Fertigstellung von Arbeitsergebnissen (Security Artefakte) ein wichtiger Aspekt.
Für die Typgenehmigung kann eine frühzeitige Festlegung von Prüfkriterien für die kritischen Systemkomponenten und die Prüfung der Verfügbarkeit und Nutzung geeigneter Technologien zur proaktiven und reaktiven Absicherung von Sicherheitsbedrohungen zu einem großen Erfolgsfaktor werden.
SOFTWARE UPDATE
Herausforderungen
Auch bei den Regulierungen zum Software Update beziehen sich die Herausforderungen sowohl auf das Management System als auch auf die Typgenehmigung. Besonders hervorzuheben in Bezug auf die Herausforderungen an das Management System ist die Sicherstellung der Nachvollziehbarkeit durchgängiger Prozesse für Entwicklung und Auslieferung von Softwarekomponenten sowie die Gewährleistung der Kompatibilität und Abhängigkeiten von Softwarekomponenten über den gesamten Lebenszyklus des Fahrzeugs. Weiterhin müssen die in Fahrzeuge eingebrachte Softwarekomponenten zu jeder Zeit dokumentiert und nachweisbar sein.
Für die Typgenehmigung ist der Nachweis der Wirksamkeit technischer Einrichtungen gegen die Manipulation von Software von besonderer Bedeutung. Eine weitere Herausforderung ist, dass das Einspielen des Updates im Fahrzeug zu jeder Zeit sicher ist, kein Spielraum für Manipulation lässt und die Fahrzeughalter und Behörden darüber informiert werden.
Erfolgsfaktoren
Um diesen Herausforderungen zu begegnen, haben sich bei uns verschiedene Herangehensweisen als Erfolgsfaktoren erwiesen. Angefangen von der Erstellung eines integrierten Umsetzungsplans mit allen Zertifizierungsaspekten inkl. Voraudits, Mitarbeiterbefähigung, IT-Landschaft und Fahrzeugprojekte, hat sich der frühzeitige Aufbau der erforderlichen technischen Infrastruktur für ein geeignetes Asset Management (VIN-genaue Nachverfolgung von Software Komponenten) als kritischer Erfolgsfaktor erwiesen. Zudem hat sich die frühzeitige Einsteuerung technischer Anforderungen in Fahrzeug- / Plattformprojekte (RxSWIN, Schutz von Diagnosefunktionen, …) bewährt.
FAZIT
Unsere Kunden sind mit den Herausforderungen zahlreicher, neuer Regulierungen und Normen konfrontiert. Viele aktuelle Normen und Regulierungen befähigen und bedingen sich gegenseitig. Die orchestrierte Umsetzung ist ein wichtiger Erfolgsfaktor bei dem wir unsere Kunden mit unserer Erfahrung für die termingerechte Zertifizierungsfähigkeit befähigen können.
Interessiert? Nehmen Sie gerne unverbindlich Kontakt auf.
TOBIAS LÖHR
Projektleiter
P3 group GmbH
SONJA DORSCH
Consultant
P3 group GmbH
NASAFARIN KHOSRAWI-RAD
Manager Learning & Leadership Development
P3 group GmbH
