So funktioniert ein effektives Cybersecurity-Management-System

Ihr Cybersecurity-Managementsystem regelt, von wem, wann und welche Maßnahmen ergriffen werden müssen, um das vernetzte Fahrzeug bis zum Ende seiner Nutzungsdauer sicher zu halten. Hier zeigen wir Ihnen, was Sie tun müssen, um Cybersecurity effektiv in Ihre Prozesswelt zu integrieren.

Zurück zu Automotive Security

Die UNECE-Regulierung fordert von der Fahrzeugindustrie die Einrichtung von Cybersecurity-Managementsystemen (CSMS). Diese sind für die Typgenehmigung aller ab 2024 hergestellten Neufahrzeuge notwendig. Mit einem CSMS sollen die laufenden Cybersecurity-Bemühungen sowohl auf Unternehmens- als auch auf operativer Ebene umfassend koordiniert werden.

    Stellen Sie sicher, dass

    • Ihre Produkte so konzipiert sind, dass sie über den gesamten Lebenszyklus hinweg sicher sind. 
    • neue Informationen über Sicherheitslücken ständig ausgewertet werden.
    • und dass entsprechende Maßnahmen ergriffen werden.
    Abspielen

    Die Anforderungen an ein CSMS sind etwa in der ISO/SAE 21434 beschrieben. Anstatt ein zusätzliches isoliertes Managementsystem einzuführen, empfehlen wir, die Cybersecurity-Anforderungen in Ihre bestehende Prozessumgebung zu integrieren.

    Ihr kostenloses whitepaper

    Wünschen Sie einen detaillierteren Überblick über die Implementierung eines Cybersecurity Managementsystems? Unser kostenloses Whitepaper enthält alle wichtigen Informationen, einschließlich hilfreicher Illustrationen, zur effektiven Implementierung eines Cybersecurity-Managementsystems nach ISO/SAE 21434.

    Was ist ein CSMS?

    Bei einem Managementsystem geht es um Strukturen, Prozesse, Maßnahmen und Zuständigkeiten.

    Nach Definition der UNECE-Verordnung R.155 ist ein CSMS ein systematischer, risikobasierter Ansatz, der organisatorische Prozesse, Zuständigkeiten und Führungsstrukturen definiert, um Risiken im Zusammenhang mit Cyber-Bedrohungen für Fahrzeuge zu behandeln und sie vor Cyber-Angriffen zu schützen.

    Mit anderen Worten: Ein Managementsystem strukturiert den Ansatz Ihres Unternehmens für Sicherheit und Schutz. Ihre Mitarbeiter können sich auf die verschiedenen anstehenden Aufgaben konzentrieren. Mit dem Managementsystem führen sie diese zusammen und bedienen die Schnittstellen.
     

    Abspielen

    Bestandteile eines CSMS sind

    • die Cybersecurity-Kultur,
    • die Organisationsstruktur,
    • die Dokumentation der erforderlichen Entwicklungsprozesse und -verfahren
    • Überwachung, ob die tatsächlich durchgeführten Arbeiten mit den Prozessen und Verfahren übereinstimmen,
    • die Überwachung, ob diese Arbeit zu angemessen sicheren Produkten führt,
    • die erforderliche Infrastruktur,
    • die erforderlichen Fähigkeiten und Kompetenzen. 
    So setzen Sie ein Softwareupdate-Managementsystem auf

    Ein Software-Update-Managementsystem wird benötigt, um Bedrohungen aus dem Cyberraum durch Update abzuwehren. Erfahren Sie in unserem Tutorial, wie Sie Ihr Software-Update-Managementsystem aufsetzen können.

    In Kooperation mit TÜV Nord

    Zusammen mit dem TÜV Nord qualifizieren wir Sie zum »Cybersecurity Engineer (Automotive)«. In der Schulung erfahren Sie, wie Sie die erforderliche End-to-end-Absicherung erreichen. Als TÜV Nord-qualifizierter Cybersecurity Engineer wissen Sie, wie die ISO/SAE 21434 Ihre Arbeit unterstützt und welche Homologationsanforderungen durch UNECE an Ihre Aufgabe gerichtet werden.

    Zum Qualifikations-Training

     

    Automotive Cybersecurity survey

    Wie beurteilen Experten den Stand von Cybersecurity-Aktivitäten in der Automobilbranche? In dem Branchenbarometer »Automotive Cybersecurity. State of Practice 2020« geben Experten aus der E/E-Entwicklung ihre Einschätzung, mit welchen Fragen insbesondere Einsteiger im Bereich Cybersecurity gefordert sind. 

    Hier geht's zur TARA-Schulung.

    In diesem Kurs machen wir Sie mit theoretischem und praktischem Wissen über TARA und Risikobewertungen vertraut. Nach der TARA in der Konzeptphase werden Risikobewertungen zum Dreh- und Angelpunkt von Cybersecurity orientierten Prozessen. Wir empfehlen Ihnen daher, sich von Anfang an mit der TARA intensiv auseinanderzusetzen.

    Cybersecurity by design

    Bei den Cybersecurity-Vorgaben für Typenzulassungen durch das UNECE-Gremium WP.29 geht es nicht um technische Anforderungen, sondern um den Nachweis solider Ingenieurskunst. Klingt einfach, wird aber anspruchsvoll. Mehr dazu bei Springer Professional.

    Ein integriertes Managementsystem

    Bild   Ein in die Prozesswelt des Unternehmens integriertes CSMS

    Auf jeder Unternehmensebene sind auch die Risiken unterschiedlich. Der Detaillierungsgrad eines Managementsystems hängt mit der Art der Risiken zusammen. Auf den entsprechenden Ebenen sollten Sie entsprechende Teilsysteme mit Strukturen, Prozessen, Maßnahmen und Kompetenzen ableiten.

    Kontinuierliche Cybersecurity-Aktivitäten

    Mit Ihrem Cybersecurity-Management-System stellen Sie sicher, dass alle notwendigen Cybersecurity-Aktivitäten für

    • Entwicklung, 
    • Produktion und 
    • Post-Produktion

    gründlich und bis zum Serviceende der Fahrzeugserie durchgeführt werden – Cybersecurity muss von Anfang an einbezogen werden.

    Zu diesem Zweck werden in Abschnitt 15 der ISO/SAE 21434 insbesondere kontinuierliche Risikobewertungen gefordert, um zu prüfen, ob die Risikoannahmen und Gegenmaßnahmen noch aktuell sind. 

    Setzen Sie das Managementsystem sorgfältig ein, um eine Cybersecurity-Kultur in Ihrem Unternehmen zu fördern und zu etablieren: Cybersecurity-Anliegen werden für Sie und Ihre Kollegen zur Gewohnheit – dann entwickeln Sie tatsächlich Cybersecurity by Design. 

    Wir sind für Sie da.

    Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.

    Steffen Herrmann und das Sales-Team

    Wir unterstützen Sie dabei,

    • Awareness für eine End-to-End-Absicherung zu schaffen.
    • zielgerichtete Bedrohungsanalysen zu erstellen. 
    • Ihr Cybersecurity-Konzept auf Prozess-, Produkt- und Informations-Ebene zu erstellen und die beteiligten Spezialisten zu steuern. 
    • Ihre Entwicklungsorganisation in Bezug auf Security-Aspekte zu bewerten und zu verbessern.
    • bestehende Arbeitsabläufe und Vorgehensweisen anzupassen, um auch Cybersecurity-Aspekte abdecken zu können.
    • sorgen für Homologations-Konformität gemäß UNECE
    • neue Entwicklungsprozesse konform zu den Anforderungen der ISO/SAE 21434 zu definieren und zu erstellen. 
    • Cybersecurity-Management-Systeme zu bewerten, zu konzipieren und einzuführen. 
    • relevante Sicherheitstechniken und Branchenstandards für Ihre Anforderungen auszuwählen.

    Download Whitepaper