We are on the move! This September this site will redirect to a new UL Solutions website. Stay tuned!
Stehen Sie vor der Aufgabe, in der Konzeptphase Ihres Entwicklungsprojekts für Automobilelektronik eine TARA durchzuführen, die Bedrohungsanalyse und Risikobewertung nach ISO/SAE 21434? Hier finden Sie die nötigen Informationen, einschließlich eines Videos und einem Whitepaper.
Zur Hauptseite Automotive CybersecurityRisikobewertungen bilden das Kernstück der Cybersecurity. Die TARA – Threat Analyses and Risk Assessment – ist die umfassende Risikobewertung für die Konzeptphase. Daher werden in Klausel 15* des kommenden Standards ISO/SAE 21434 die grundlegenden Elemente einer Risikobewertung beschrieben. Mit dem Nine2Five TARA-Navigator stellen wir Ihnen praxiserprobten Ansatz vor, wie Sie Ihre erste Risikobeurteilung auf clevere und strukturierte Weise durchführen können.
Das Connected Car und seine Komponenten müssen während dessen gesamter Lebensdauer sicher und geschützt sein. Dazu müssen Sie Ihre Produkte vor Cyberattacken schützen. Andernfalls akzeptieren Sie, dass Ihre Interessenvertreter Verluste in Bezug auf Funktionssicherheit, Finanzen, Betriebssicherheit oder Datenschutz hinnehmen müssen. Keine gute Option.
Aber kennen Sie wirklich alle potenziellen Bedrohungsszenarien, denen Ihr Fahrzeugprojekt ausgesetzt sein wird? Sie können weder die Motivation noch die Fähigkeiten eines Angreifers für die Zukunft vorhersehen.
Um diese Herausforderung zu meistern, müssen Sie ständig herausfinden, ob, wo und wie
* Das Video wurde kurz vor Veröffentlichung der ISO/SAE 21434 gedreht. In der ISO/SAE DIS 21434 wurde das Kapitel Risikoanalyse hingegen in Clause 8 beschrieben.
Sind Sie an einer Zusammenfassung des Nine2Five TARA Navigator interessiert? Unser kostenloses Whitepaper liefert Ihnen alle wichtigen Informationen, darunter auch Grafiken, die die angesprochene Durchführung einer TARA in der Konzeptphase Ihres Kfz-Elektronik-Entwicklungsprojekts zeigen.
Eine Risikoanalyse ist ein Verfahren, bei dem Erkenntnisse strukturiert und Schritt für Schritt überprüft und in Beziehung zueinander gesetzt werden. Der Nine2Five TARA-Navigator umfasst neun Schritte und fünf Ziele.
In diesem Video erklären wir Ihnen dieses Verfahren. Stellen Sie sich das TARA-Verfahren wie eine Perlenkette vor: Wie eine weitere Perle fügen wir der vorhergehenden immer einen weiteren Analyse- oder Identifizierungsschritt hinzu, und zwar von ganz links nach rechts auf der Schnur. Bei jedem Schritt dürfen Sie nur über ein Thema nachdenken.
Bevor Sie mit Ihrer TARA beginnen können, müssen Sie zunächst Ihren Untersuchungsgegenstand definieren. Dabei handelt es sich um ein Subsystem oder eine Reihe von Subsystemen, z. B. eine Funktion auf Fahrzeugebene oder ein Steuergerät. Beschreiben Sie die Umgebung dieses Systems, seine Funktionen, Interaktionen und welche Schnittstellen es gibt.
Ein Asset gehört zu Ihrem Untersuchungsgegenstand – und es ist schützenswert! Es definiert ein für einen Stakeholder entscheidende Eigenschaft. Nehmen Sie zum Beispiel den Internet-Kommunikationskanal – kaum ein elektronisches System ist ohne dieses Asset denkbar. Verschlüsselung oder Ziele der Funktionssicherheit sind weitere Beispiele.
Das Asset ist jedoch für zwei Seiten äußerst interessant: für Ihren Stakeholder, der dadurch die erforderliche Funktionalität erhält, sowie für einen Angreifer, der so gegebenenfalls Ihr System kompromittieren kann.
Daher besteht die erste Aufgabe darin, alle Ihre Assets aufzuzählen.
Was kann schief gehen? Hinterfragen Sie systematisch jedes der Assets im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit sowie auf Nichtabstreitbarkeit, Authentizität und Autorisierung. Die Norm ISO/SAE 21434 beschreibt diese Eigenschaften als Cybersecurity Properties.
Cybersecurity Properties
Wir empfehlen, drei zusätzliche Cybersecurity Properties in Ihre Untersuchung einzubeziehen.
Sie identifizieren jetzt die Schadensszenarien, indem Sie abschätzen, was passieren kann, wenn Cybersecurity Properties oder Assets in Bezug auf die Cybersecurity Properties kompromittiert werden.
Dies war, kurz gesagt, die Identifizierung der Assets.
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
Hier evaluieren wir die Schadensszenarien danach, welche Folgen sie für Ihre Stakeholder haben können. Dazu gehören funktionale Sicherheit, Finanzen, Betriebssicherheit und Datenschutz. Tabellen helfen, die Schwere des Schadens zu bestimmen. Der Haken dabei ist, dass nicht jeder Stakeholder von jedem Schadensszenario gleich stark betroffen ist.
Übrigens haben wir auch unser erstes Ziel erreicht: Wir haben die Auswirkungen des Schadens bewertet.
Im ersten Schritt haben wir über den potenziellen Schaden gesprochen, der zum Beispiel durch ein kompromittiertes Cybersecurity Property entstehen kann. Nun schauen wir uns die ausgewählten Assets noch einmal an und fragen, welches Bedrohungsszenario sich ergeben könnte. Um dies zu verdeutlichen, wählen wir einen kompromittierten Schalter. Aus diesem Schadensszenario ergibt sich ein mögliches Bedrohungsszenario, nämlich verursacht durch Spoofing oder Überflutung des CAN-Busses.
Der kompromittierte Schalter aus unserem Beispiel liegt irgendwo in der Mitte des Fahrzeugs. Um den CAN-Bus zu kompromittieren, muss ein Angreifer allerdings erst einen Weg durch das System finden. Der ISO-Standard denkt jetzt rückwärts: Welchen Weg muss ein potentieller Angreifer gehen, damit das Bedrohungsszenario eintreten kann? Diese Strecke wird als Angriffspfad bezeichnet.
Die ISO/SAE 21434 ignoriert den Angreifer mit seiner möglichen Motivation. Stattdessen regt sie zu grundlegenden Überlegungen über die technische Möglichkeit eines Angriffs an. Das heißt, zu untersuchen, wie ein Angriff auf ein kompromittiertes Asset mit seinen Properties konfiguriert werden müsste, um erfolgreich zu sein. In gewisser Weise ist dies eine Form von Reverse Engineering.
Sie finden eine Liste von Beispielen für Schwachstellen in den UNECE-Regulierungen. Überprüfen Sie entsprechend, ob diese Sie bei der Identifizierung weiterer Bedrohungsszenarien unterstützen können.
So weit die Theorie. Aber ist dieser Angriff realistisch?
In der Praxis kann nicht jeder Angriff durchgeführt werden. Vielleicht steht eine Verschlüsselung im Weg. Deshalb betrachten wir nun das tatsächliche Angriffspotenzial.
Es gibt fünf Schlüsselparameter für Ihre Beurteilung:
Sobald wir wissen, ob ein Angreifer einen Angriff erfolgreich durchführen kann, haben wir Ziel Nummer zwei erreicht: Bewertung der Durchführbarkeit eines Angriffs.
Dies wird auch als Ease of Attack bezeichnet.
Für diesen Schritt kombinieren wir die Ergebnisse der beiden Ziele – Auswirkungen des Schadens (1. Ziel) und Bewertung der Durchführbarkeit des Angriffs (2. Ziel).
Wir haben also zwei Ratings, die den Risikowert bestimmen:
Risikowert = Auswirkung des Schadens x Durchführbarkeit des Angriffs
Normalerweise haben wir jedoch unterschiedliche Stakeholder. Einige von ihnen bewerten die Risiken sehr unterschiedlich. Das macht die Sache schwierig – wahrscheinlich müssen wir für jeden Interessenvertreter einen anderen Risikowert anwenden.
In jedem Fall haben wir das dritte Ziel erreicht: Wir kennen den Risikowert.
Wenn die Risiken erst einmal auf dem Tisch liegen, stellt sich die Frage, wie man mit ihnen umgeht.
Es gibt grundsätzlich eine Reihe von Optionen für den Umgang mit Risiken:
Ein geeigneter Modus zur Risikominderung ist die Festlegung einer Security-Kontrolle (technisch oder organisatorisch) oder die Einführung von Redundanz. Dritte, die an einem Risikotransfer interessiert sind, sind beispielsweise Versicherungsgesellschaften.
Entscheiden Sie nun, wie Sie das Risiko managen wollen.
Achtung: Es ist sehr schwierig zu beurteilen, wie effektiv eine Cybersecurity-Kontrolle ist. Hier steht und fällt jedoch jede Risikobeurteilung.
Die Ziele und Claims der Cybersecurity spezifizieren Sie aus
Wenn Sie sich entscheiden, dass Sie ein Risiko vermeiden wollen, dann geht es zurück auf Los – Sie sollten eine alternative technische Lösung in Betracht ziehen.
Die Cybersecurity-Ziele bilden das vierte Ziel der TARA.
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
Das Cybersecurity-Konzept leitet sich aus den Cybersecurity-Zielen ab. Es beschreibt, wie Sie diese Ziele in die Praxis umsetzen wollen: Leiten Sie aus den Zielen Anforderungen ab und ordnen Sie diese Ihrer Architektur zu, d.h. den relevanten Komponenten Ihrer Systeme oder Bereichen Ihrer Organisation. Diese Anforderungen und deren Zuordnung zur Architektur sind alle im Cybersecurity-Konzept beschrieben.
Das Cybersecurity-Konzept erfasst alle Anforderungen an die Cybersecurity und deren Zuordnung, dies ist unser letztes Ziel.
Sie haben gesehen, dass alle Schritte aufeinander aufbauen. Wie eine Perlenkette bezieht sich der nächste Schritt in der Regel auf seinen Vorgänger und wertet ihn aus oder entwickelt ihn weiter.
Definieren Sie Ihren Untersuchungsgegenstand oder Ihr System, bevor Sie mit der Vorbereitung für Ihre TARA beginnen.
Dazu gehören die Auflistung Ihrer Assets, die Zuordnung von Eigenschaften – Cybersecurity Properties – und die Identifizierung von Schadensszenarien.
Ziel1: Impact rating
Ziel 2: Machbarkeit des Angriffs
Ziel 3: Risiko-Level
Ziel 4: Cybersecurity-Ziele
Ziel 5: Cybersecurity-Koncept
Jetzt wissen Sie also, wie Sie eine Bedrohungsanalyse und Risikobewertung gemäß ISO/SAE 21434 durchführen können. Bitte denken Sie daran, dass der internationale Standard von Ihnen erwartet, dass Sie eine Risikobewertung nicht nur ein einziges Mal durchführen, sondern regelmäßig.