Das beherrschende Thema auf der diesjährigen VDA QMC Automotive Sys Conference ist die Cyber Security. Und hier die Absicherung sowohl des Fahrzeugs, als auch der gesamten Lieferkette und zwar über den gesamten Lebenszyklus.
Spannend ist das aus verschiedenen Gründen:
- Der Gesetzgeber wird aktiv
- US-Kongress, EU, China, Japan bringen Gesetze auf den Weg
- Ab Mitte 2022 sind in der EU für neue Fahrzeuge bereits Regelungen geplant, die ab Juli 2024 auf ältere Fahrzeuge ausgedehnt werden sollen.
- Eine Vielzahl von Normen sind entstanden
- TISAX (bereits länger etabliert, basiert auf der ISO 27001)
- ISO/SAE 21434 (Managementsysteme zum Schutz von Fahrzeugen)
- A-SPICE (Programmierung)
- UN R155 (Managementsystem zum Schutz von Fahrzeugen – CSMS)
- UN R156 (Software-Update Managementsystem – SUMS)
- ISO/DPAS 5112 (Richtlinie für die Auditierung von Cybersecurity Engineering)
- Die Sicherheit muss bei den Lieferanten und Dienstleistern durchgesetzt werden, sonst ist sie wirkungslos.
- Viele Zulieferer sind nicht nur im „Automobil“ unterwegs und die Standards sind schon zum Eigenschutz auch sinnvoll.
- Die Bedrohung für den Kern der Unternehmen wird mit jedem Tag größer (MS Exchange, Öl-Pipelines, …).
- Der Trend zum Homeoffice und zu Office 365 verstärkt die Abhängigkeit von den IT-Systemen immer weiter.
Aktueller Stand:
- Die Kluft zwischen den OEM bzw. der Groß-Industrie und den kleineren Unternehmen wird immer größer. Während die einen sich in der Tiefe mit den Themen auseinandersetzen und Standards definieren, haben die anderen nicht mal die absoluten Grundlagen (z.B. eine Liste der Anwender)
- Die ISO-Management-Systeme werden häufig nicht gelebt. Definition des Anwendungsbereichs, Risiko-Betrachtung und Verantwortlichkeiten sind nicht gepflegt.
- Die Anwender gewöhnen sich im privaten Umfeld an immer niedrigere Sicherheitsstandards (automatisches Klicken bei jeder Gelegenheit).
Fazit:
- ALLE müssen aufpassen; Cyber-Security muss auditiert werden und so aufgebaut sein, dass man revisionieren (z.B. muss man die Rechte der Benutzer einfach überblicken können)
- Nur umgesetzte Maßnahmen sind wirksam; Pläne schützen nicht, deshalb einfach anfangen. Die ISO 27001 ist ein super einfacher Einstieg (TISAX = super Checkliste).
- Wo möglich, Vorgaben machen. Die Umsetzung von Anforderungen in Vorgaben stellt viele Unternehmen vor Probleme.
- Den Menschen nicht vergessen; Ziel > Bewusstsein > Wissen; Privacy by Design ist besser.