Cybersicherheit

GAP-Analyse und Aufbau eines Cybersicherheits-Managementsystems (CSMS)

Die von GAES angebotene GAP-Analyse vergleicht die bestehenden Cybersicherheitspraktiken Ihrer Organisation mit den Anforderungen der ISO/SAE 21434 und UNECE R155 und deckt systematisch Lücken und verbesserungswürdige Bereiche auf.

Als Ergebnis der Analyse:

• Kann der Grad der Übereinstimmung der aktuellen Organisationsstruktur mit den relevanten Vorschriften bestimmt werden,
• Werden Schwachstellen in Prozessen, Dokumentation und technischen Lösungen deutlich,
• Wird ein strategischer Fahrplan zur Erreichung des angestrebten Konformitätsniveaus erstellt.

Nach der GAP-Analyse und aufbauend auf den identifizierten Erkenntnissen entwickeln wir eine maßgeschneiderte CSMS-Infrastruktur für Ihre Organisation. Dabei werden:

• Führungsrichtlinien und eine Verantwortlichkeitsmatrix erstellt,
• Der TARA (Threat Analysis and Risk Assessment)-Prozess integriert,
• Die Rückverfolgbarkeit von Cybersicherheits-Arbeitsprodukten sichergestellt,
• Die konsistente Dokumentation der Prozesse gemäß ISO/SAE 21434 gewährleistet,
• Mechanismen für interne Audits, Korrekturmaßnahmen und kontinuierliche Verbesserung etabliert.

Warum ist das wichtig?

Ein CSMS ist nicht nur eine Ansammlung von Dokumenten, sondern eine Sicherheitskultur, die sicherstellt, dass die Organisation über den gesamten Lebenszyklus des Fahrzeugs hinweg systematisch auf die Bewältigung von Cyberbedrohungen vorbereitet ist. Die erfolgreiche Einführung eines CSMS ist eine Voraussetzung für die R155-Typgenehmigung und bietet einen erheblichen Wettbewerbsvorteil bei Kooperationen mit OEMs.

Freegan Chia Ullamco Reprehenderit Chicharrones, Echo Park Esse Tilde. 90er-Jahre-Hängematte Do
Cupidatat, Edison Bulb Mumblecore Vape Cloud Bread Put a Bird on It Dreamcatcher Artisan
Lomo Raw Denim.

Anwendung der Bedrohungsanalyse (TARA) und Entwicklung eines Cybersicherheitskonzepts

Die in modernen Fahrzeugen verwendeten elektronischen Steuergeräte (ECUs), drahtlosen Kommunikationsprotokolle und Softwaresysteme sind zunehmend komplexen Bedrohungen ausgesetzt. Daher ist die Identifizierung von Cyberbedrohungen und die Kontrolle von Risiken in einem frühen Stadium des Fahrzeugentwicklungsprozesses eine grundlegende Voraussetzung für Sicherheit und gesetzliche Konformität.

Bei GAES bestimmen wir durch TARA-Anwendungen, die im Einklang mit der ISO/SAE 21434 durchgeführt werden, inwieweit Systemkomponenten gegenüber potenziellen Bedrohungen anfällig sind. Während des Prozesses:

• Definieren wir Systemressourcen und wertvolle Assets,
• Modellieren wir mögliche Angriffswege (Attack Paths),
• Berechnen wir Risikobewertungen auf Basis von Schadensszenarien und Wahrscheinlichkeitsanalysen,
• Definieren und priorisieren wir Cybersicherheitsziele (Cybersecurity Goals) entlang der Ergebnisse.

Die TARA-Ergebnisse dienen als Grundlage für die Erstellung von Arbeitsprodukten der Cybersicherheitstechnik und werden gemäß den Anforderungen des UNECE R155 Anhang 5 strukturiert.

Die zur Reduzierung identifizierter Sicherheitsrisiken entwickelten Lösungen integrieren wir als Cybersicherheitskonzept in die Systemarchitektur. In diesem Rahmen:

• Definieren wir technische Kontrollen und Gegenmaßnahmen im Zusammenhang mit den Sicherheitszielen,
• Entwickeln wir Lösungsvorschläge unter anderem in den Bereichen Kommunikationssicherheit, Datenintegrität, Zugriffssteuerung und Software-Update-Mechanismen,
• Stellen wir die Rückverfolgbarkeit von Sicherheitsanforderungen während des Designprozesses sicher.

Dieser Ansatz legt den Grundstein für eine nachhaltige Cybersicherheit über den gesamten Produktlebenszyklus hinweg.

Definition und Durchführung der Test- und Validierungsstrategie

Die Wirksamkeit von Cybersicherheitsmaßnahmen hängt nicht nur von theoretisch definierten Richtlinien ab, sondern auch davon, wie effektiv diese Maßnahmen in der Praxis sind. GAES gewährleistet im Einklang mit den Anforderungen der ISO/SAE 21434 und UNECE R155 nicht nur die Entwicklung der Teststrategie, sondern auch deren professionelle Durchführung, wodurch die Cybersicherheit von Fahrzeugen messbar wird.

Definition der Strategie

Der erste Schritt im Testprozess ist die Entwicklung von Validierungsplänen, die auf die Sicherheitsanforderungen und die Systemarchitektur abgestimmt sind. In diesem Rahmen:

• Ordnen wir jedem Sicherheitsziel geeignete Testmethoden zu,
• Identifizieren wir die Angriffsflächen kritischer Systemkomponenten (CAN, TCU, OTA, Bluetooth, Wi-Fi usw.),
• Definieren wir den Testumfang, die Methodik und die Erfolgskriterien,
• Optimieren wir bei Bedarf wiederholte Tests mit Automatisierungsinfrastrukturen.

Die Durchführung

Aufbauend auf der definierten Strategie führen die Experten von GAES umfassende Testaktivitäten vor Ort oder im Labor durch:

• Funktionale Tests: Untersuchung, ob die definierten Sicherheitsanforderungen im System funktional korrekt umgesetzt sind.
• Fuzz-Tests: Messung der Fehlertoleranz von Software an Schnittstellen und Protokollen durch die Anwendung unerwarteter Dateneingaben.
• Penetrationstests: Aufdeckung von Systemschwachstellen durch die Simulation realer Angriffstechniken.
• OTA- und drahtlose Sicherheitstests: Untersuchung von Software-Updates sowie Bluetooth- und LTE-Verbindungen hinsichtlich Verschlüsselung, Authentifizierung und Zugriffssteuerung.

Nachweis der Sicherheitsleistung

Die Dokumentation der Testergebnisse ist entscheidend für die Stärkung des Kundenvertrauens und den Nachweis der technischen Konformität im Rahmen der R155-Typgenehmigungsprozesse. Die Testexpertise von GAES umfasst nicht nur die Identifizierung von Problemen, sondern bietet auch Entwicklungs- und Verbesserungsvorschläge zur Unterstützung einer nachhaltigen Cybersicherheit.

Lieferantenmanagement

In der Automobilindustrie beschränken sich die Cybersicherheitsverpflichtungen der Fahrzeughersteller nicht ausschließlich auf ihre eigenen Systeme. Die UNECE R155 schreibt einen sicherheitstechnischen Ansatz vor, der die gesamte Lieferkette umfasst, und erwartet von den Herstellern, dass sie Strukturen entwickeln, mit denen sie auch die Prozesse ihrer Zulieferer überwachen können. In diesem Zusammenhang wird das Lieferantenmanagement zu einer strategischen Verantwortung im Hinblick auf die Cybersicherheitskonformität.

Die von GAES angebotenen Lieferantenmanagement-Dienstleistungen unterstützen OEMs und Tier-1-Zulieferer dabei, ihre technischen und prozessualen Kooperationen mit Subunternehmern im Einklang mit den Anforderungen der ISO/SAE 21434 und UNECE R155 zu gestalten. In diesem Rahmen:

• Definieren wir die Konformitätserwartungen und Mindestsicherheitskriterien für Zulieferer,
• Überprüfen wir die Genauigkeit und Konsistenz von Arbeitsprodukten (Cybersicherheitsziele, TARA-Ergebnisse, V&V-Dokumentationen),
• Analysieren und priorisieren wir die Risikostufen der Zulieferer,
• Entwickeln wir Auditpläne und Bewertungskriterien,
• Führen wir den CIA (Cybersecurity Interface Agreement)-Prozess durch.

Lieferantenaudit und Schulungsunterstützung

GAES beschränkt sich nicht nur auf die Bewertung technischer Dokumentationen, sondern organisiert auch interne Audits, Schulungen und Sensibilisierungsprogramme für Zulieferer. Dadurch:

• Erhöht sich die Cybersicherheitsreife der Zulieferer,
• Wird der Beitrag zu den Sicherheitszielen der OEMs gestärkt,
• Können unerwartete Konformitätsabweichungen während der Typgenehmigungsprozesse verhindert werden.

Vorteile und Auswirkungen

• Sicherheitslücken, die von Zulieferern stammen, können minimiert werden,
• Die gesetzliche Konformität wird über die gesamte Lieferkette hinweg gewährleistet,
• Die technische Kompetenz und das Verantwortungsbewusstsein der Zulieferer werden gestärkt.

GAES betrachtet das Lieferantenmanagement nicht nur als Kontrollmechanismus, sondern als integralen Bestandteil einer langfristigen Cybersicherheitskultur.