TARA in der Praxis mit dem Nine2Five TARA-Navigator

Stehen Sie vor der Aufgabe, in der Konzeptphase Ihres Entwicklungsprojekts für Automobilelektronik eine TARA durchzuführen, die Bedrohungsanalyse und Risikobewertung nach ISO/SAE 21434? Hier finden Sie die nötigen Informationen, einschließlich eines Videos und einem Whitepaper.

Zur Hauptseite Automotive Cybersecurity

Risikobewertungen bilden das Kernstück der Cybersecurity. Die TARA – Threat Analyses and Risk Assessment – ist die umfassende Risikobewertung für die Konzeptphase. Daher werden in Klausel 8 des kommenden Standards ISO/SAE 21434 die grundlegenden Elemente einer Risikobewertung beschrieben. Mit dem Nine2Five TARA-Navigator stellen wir Ihnen praxiserprobten Ansatz vor, wie Sie Ihre erste Risikobeurteilung auf clevere und strukturierte Weise durchführen können.

Das Connected Car und seine Komponenten müssen während dessen gesamter Lebensdauer sicher und geschützt sein. Dazu müssen Sie Ihre Produkte vor Cyberattacken schützen. Andernfalls akzeptieren Sie, dass Ihre Interessenvertreter Verluste in Bezug auf Funktionssicherheit, Finanzen, Betriebssicherheit oder Datenschutz hinnehmen müssen. Keine gute Option.

Aber kennen Sie wirklich alle potenziellen Bedrohungsszenarien, denen Ihr Fahrzeugprojekt ausgesetzt sein wird? Sie können weder die Motivation noch die Fähigkeiten eines Angreifers für die Zukunft vorhersehen.

Um diese Herausforderung zu meistern, müssen Sie ständig herausfinden, ob, wo und wie

  • Ihr Produkt verwundbar ist,
  • welcher Schaden mit der Bedrohung verbunden ist, und
  • wie Sie mit den Auswirkungen der Bedrohungen umgehen wollen.
Bild   Der Nine2Five TARA-Navigator
Abspielen
Ihr kostenloses Whitepaper

Sind Sie an einer Zusammenfassung des Nine2Five TARA Navigator interessiert? Unser kostenloses Whitepaper liefert Ihnen alle wichtigen Informationen, darunter auch Grafiken, die die angesprochene Durchführung einer TARA in der Konzeptphase Ihres Kfz-Elektronik-Entwicklungsprojekts zeigen.

Eine Risikoanalyse ist ein Verfahren, bei dem Erkenntnisse strukturiert und Schritt für Schritt überprüft und in Beziehung zueinander gesetzt werden. Der Nine2Five TARA-Navigator umfasst neun Schritte und fünf Ziele. 

In diesem Video erklären wir Ihnen dieses Verfahren. Stellen Sie sich das TARA-Verfahren wie eine Perlenkette vor: Wie eine weitere Perle fügen wir der vorhergehenden immer einen weiteren Analyse- oder Identifizierungsschritt hinzu, und zwar von ganz links nach rechts auf der Schnur. Bei jedem Schritt dürfen Sie nur über ein Thema nachdenken.

Hier geht's zur TARA-Schulung.

In diesem Kurs machen wir Sie mit theoretischem und praktischem Wissen über TARA und Risikobewertungen vertraut. Nach der TARA in der Konzeptphase werden Risikobewertungen zum Dreh- und Angelpunkt von Cybersecurity orientierten Prozessen. Wir empfehlen Ihnen daher, sich von Anfang an mit der TARA intensiv auseinanderzusetzen.

Vorarbeit

Bevor Sie mit Ihrer TARA beginnen können, müssen Sie zunächst Ihren Untersuchungsgegenstand definieren. Dabei handelt es sich um ein Subsystem oder eine Reihe von Subsystemen, z. B. eine Funktion auf Fahrzeugebene oder ein Steuergerät. Beschreiben Sie die Umgebung dieses Systems, seine Funktionen, Interaktionen und welche Schnittstellen es gibt.

1. Schritt: Asset identification

Ein Asset gehört zu Ihrem Untersuchungsgegenstand – und es ist schützenswert! Es definiert ein für einen Stakeholder entscheidende Eigenschaft. Nehmen Sie zum Beispiel den Internet-Kommunikationskanal – kaum ein elektronisches System ist ohne dieses Asset denkbar. Verschlüsselung oder Ziele der Funktionssicherheit sind weitere Beispiele.

Das Asset ist jedoch für zwei Seiten äußerst interessant: für Ihren Stakeholder, der dadurch die erforderliche Funktionalität erhält, sowie für einen Angreifer, der so gegebenenfalls Ihr System kompromittieren kann.

Daher besteht die erste Aufgabe darin, alle Ihre Assets aufzuzählen.  

Was kann schief gehen? Hinterfragen Sie systematisch jedes der Assets im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit sowie auf Nichtabstreitbarkeit, Authentizität und Autorisierung. Die Norm ISO/SAE 21434 beschreibt diese Eigenschaften als Cybersecurity Properties.

Cybersecurity Properties

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Wir empfehlen, drei zusätzliche Cybersecurity Properties in Ihre Untersuchung einzubeziehen. 

  • Nichtabstreitbarkeit
  • Authentizität
  • Autorisierung

Sie identifizieren jetzt die Schadensszenarien, indem Sie abschätzen, was passieren kann, wenn Cybersecurity Properties oder Assets in Bezug auf die Cybersecurity Properties kompromittiert werden.

Dies war, kurz gesagt, die Identifizierung der Assets.

Wir sind für Sie da.

Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.

Steffen Herrmann und das Sales-Team

2. Schritt: Impact rating

Hier evaluieren wir die Schadensszenarien danach, welche Folgen sie für Ihre Stakeholder haben können. Dazu gehören funktionale Sicherheit, Finanzen, Betriebssicherheit und Datenschutz. Tabellen helfen, die Schwere des Schadens zu bestimmen. Der Haken dabei ist, dass nicht jeder Stakeholder von jedem Schadensszenario gleich stark betroffen ist.

Übrigens haben wir auch unser erstes Ziel erreicht: Wir haben die Auswirkungen des Schadens bewertet.

3. Schritt: Threat scenario

Im ersten Schritt haben wir über den potenziellen Schaden gesprochen, der zum Beispiel durch ein kompromittiertes Cybersecurity Property entstehen kann. Nun schauen wir uns die ausgewählten Assets noch einmal an und fragen, welches Bedrohungsszenario sich ergeben könnte. Um dies zu verdeutlichen, wählen wir einen kompromittierten Schalter. Aus diesem Schadensszenario ergibt sich ein mögliches Bedrohungsszenario, nämlich verursacht durch Spoofing oder Überflutung des CAN-Busses.

Cybersecurity by design

Bei den Cybersecurity-Vorgaben für Typenzulassungen durch das UNECE-Gremium WP.29 geht es nicht um technische Anforderungen, sondern um den Nachweis solider Ingenieurskunst. Klingt einfach, wird aber anspruchsvoll. Mehr dazu bei Springer Professional.

Weiter zu Springer

Universität Stuttgart

Cybersecurity trotz Vernetzung und neuen Connectivity-Lösungen? Dr. Thomas Liedtke setzt sich mit dieser Herausforderung in der Ringvorlesung Forum Software und Automatisierung an der Universität Stuttgart auseinander.

Mehr erfahren

NYT zu Automotive Security

Was bedeutet Automotive Security in der Praxis, wenn das vernetzte Fahrzeug tatsächlich ein rollender Computer ist, fragt die New York Times. Einblicke hierzu gibt auch der Automotive Security-Experte Steve Tengler, Principal bei Kugler Maag Cie. 

Mehr erfahren

Drei Fragen zur Cybersecurity

Wann bin ich auf der sicheren Seite? Welche Aufgaben kann mein Unternehmen übernehmen, welchen Partnern kann ich trauen? Steve Tengler, Principal und Automotive-Experte bei Kugler Maag Cie in den USA, erörtert auf wardsauto.com (externe Website, englisch) Zielkonflikte von Security-Konzepten.

Mehr erfahren

Automotive Cybersecurity 2020

Wie beurteilen Experten den Stand von Cybersecurity-Aktivitäten in der Automobilbranche? In dem Branchenbarometer »Automotive Cybersecurity. State of Practice 2020« geben Experten aus der E/E-Entwicklung ihre Einschätzung, mit welchen Fragen insbesondere Einsteiger im Bereich Cybersecurity gefordert sind. 

4. Schritt: Attack path analysis

Der kompromittierte Schalter aus unserem Beispiel liegt irgendwo in der Mitte des Fahrzeugs. Um den CAN-Bus zu kompromittieren, muss ein Angreifer allerdings erst einen Weg durch das System finden. Der ISO-Standard denkt jetzt rückwärts: Welchen Weg muss ein potentieller Angreifer gehen, damit das Bedrohungsszenario eintreten kann? Diese Strecke wird als Angriffspfad bezeichnet.

Exkurs

Die ISO/SAE 21434 ignoriert den Angreifer mit seiner möglichen Motivation. Stattdessen regt sie zu grundlegenden Überlegungen über die technische Möglichkeit eines Angriffs an. Das heißt, zu untersuchen, wie ein Angriff auf ein kompromittiertes Asset mit seinen Properties konfiguriert werden müsste, um erfolgreich zu sein. In gewisser Weise ist dies eine Form von Reverse Engineering.

Sie finden eine Liste von Beispielen für Schwachstellen in den UNECE-Regulierungen. Überprüfen Sie entsprechend, ob diese Sie bei der Identifizierung weiterer Bedrohungsszenarien unterstützen können.

So weit die Theorie. Aber ist dieser Angriff realistisch?

5. Schritt: Attack feasibility rating

In der Praxis kann nicht jeder Angriff durchgeführt werden. Vielleicht steht eine Verschlüsselung im Weg. Deshalb betrachten wir nun das tatsächliche Angriffspotenzial.

Es gibt fünf Schlüsselparameter für Ihre Beurteilung:

  • der Zeitaufwand,
  • das erforderliche Fachwissen und
  • Produkt-Know-how sowie
  • die Ausrüstung und
  • das Window of Opportunity. 

Sobald wir wissen, ob ein Angreifer einen Angriff erfolgreich durchführen kann, haben wir Ziel Nummer zwei erreicht: Bewertung der Durchführbarkeit eines Angriffs.

Dies wird auch als Ease of Attack bezeichnet.

6. Schritt: Risk value determination

Für diesen Schritt kombinieren wir die Ergebnisse der beiden Ziele – Auswirkungen des Schadens (1. Ziel) und Bewertung der Durchführbarkeit des Angriffs (2. Ziel).

Wir haben also zwei Ratings, die den Risikowert bestimmen:

  1. die Auswirkung des zugehörigen Schadensszenarios und
  2. die Durchführbarkeit der Angriffspfade.

Risikowert = Auswirkung des Schadens x Durchführbarkeit des Angriffs

Normalerweise haben wir jedoch unterschiedliche Stakeholder. Einige von ihnen bewerten die Risiken sehr unterschiedlich. Das macht die Sache schwierig – wahrscheinlich müssen wir für jeden Interessenvertreter einen anderen Risikowert anwenden.

In jedem Fall haben wir das dritte Ziel erreicht: Wir kennen den Risikowert.

7. Schritt: Risk treatment decision

Wenn die Risiken erst einmal auf dem Tisch liegen, stellt sich die Frage, wie man mit ihnen umgeht.

Es gibt grundsätzlich eine Reihe von Optionen für den Umgang mit Risiken:

  1. Vermeidung
  2. Reduzierung 
  3. Weitergabe oder Übertragung an Dritte
  4. Akzeptanz

Ein geeigneter Modus zur Risikominderung ist die Festlegung einer Security-Kontrolle (technisch oder organisatorisch) oder die Einführung von Redundanz. Dritte, die an einem Risikotransfer interessiert sind, sind beispielsweise Versicherungsgesellschaften. 

Entscheiden Sie nun, wie Sie das Risiko managen wollen.

Achtung: Es ist sehr schwierig zu beurteilen, wie effektiv eine Cybersecurity-Kontrolle ist. Hier steht und fällt jedoch jede Risikobeurteilung.

8. Schritt: Cybersecurity-Ziele

Die Ziele und Claims der Cybersecurity spezifizieren Sie aus

  • den Ergebnissen der TARA und
  • Ihre Entscheidungen darüber, wie mit den Risiken letztlich umgegangen werden soll.

Wenn Sie sich entscheiden, dass Sie ein Risiko vermeiden wollen, dann geht es zurück auf Los – Sie sollten eine alternative technische Lösung in Betracht ziehen.

Die Cybersecurity-Ziele bilden das vierte Ziel der TARA. 

Wir sind für Sie da.

Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.

Steffen Herrmann und das Sales-Team

Schritt 9: Cybersecurity concept

Das Cybersecurity-Konzept leitet sich aus den Cybersecurity-Zielen ab. Es beschreibt, wie Sie diese Ziele in die Praxis umsetzen wollen: Leiten Sie aus den Zielen Anforderungen ab und ordnen Sie diese Ihrer Architektur zu, d.h. den relevanten Komponenten Ihrer Systeme oder Bereichen Ihrer Organisation. Diese Anforderungen und deren Zuordnung zur Architektur sind alle im Cybersecurity-Konzept beschrieben.

Das Cybersecurity-Konzept erfasst alle Anforderungen an die Cybersecurity und deren Zuordnung, dies ist unser letztes Ziel.

Sie haben gesehen, dass alle Schritte aufeinander aufbauen. Wie eine Perlenkette bezieht sich der nächste Schritt in der Regel auf seinen Vorgänger und wertet ihn aus oder entwickelt ihn weiter. 

Definieren Sie Ihren Untersuchungsgegenstand oder Ihr System, bevor Sie mit der Vorbereitung für Ihre TARA beginnen.

Der Nine2Five TARA Navigator
Identifizieren Sie Ihre Assets.

Dazu gehören die Auflistung Ihrer Assets, die Zuordnung von Eigenschaften – Cybersecurity Properties – und die Identifizierung von Schadensszenarien.

Bewerten Sie die Schadenswirkung.

Ziel1: Impact rating

Identifizieren Sie Ihre Bedrohungsszenarien.
Analysieren Sie mögliche Angriffspfade.
Analysieren Sie die Durchführbarkeit des Angriffs.

Ziel 2: Machbarkeit des Angriffs

Bewerten Sie das Risiko.

Ziel 3: Risiko-Level

Entscheiden Sie, wie Sie mit dem Risiko umgehen wollen.
Spezifizieren Sie die Ziele der Cybersecurity.

Ziel 4: Cybersecurity-Ziele

Ordnen Sie die Cybersecurity-Anforderungen Ihrer Architektur zu.

Ziel 5: Cybersecurity-Koncept

Jetzt wissen Sie also, wie Sie eine Bedrohungsanalyse und Risikobewertung gemäß ISO/SAE 21434 durchführen können. Bitte denken Sie daran, dass der internationale Standard von Ihnen erwartet, dass Sie eine Risikobewertung nicht nur ein einziges Mal durchführen, sondern regelmäßig.

Wir unterstützen Sie dabei,

  • Awareness für eine End-to-End-Absicherung zu schaffen.
  • zielgerichtete Bedrohungsanalysen zu erstellen. 
  • Ihr Cybersecurity-Konzept auf Prozess-, Produkt- und Informations-Ebene zu erstellen und die beteiligten Spezialisten zu steuern. 
  • Ihre Entwicklungsorganisation in Bezug auf Security-Aspekte zu bewerten und zu verbessern.
  • bestehende Arbeitsabläufe und Vorgehensweisen anzupassen, um auch Cybersecurity-Aspekte abdecken zu können.
  • sorgen für Homologations-Konformität gemäß UNECE
  • neue Entwicklungsprozesse konform zu den Anforderungen der ISO/SAE 21434 zu definieren und zu erstellen. 
  • Cybersecurity-Management-Systeme zu bewerten, zu konzipieren und einzuführen. 
  • relevante Sicherheitstechniken und Branchenstandards für Ihre Anforderungen auszuwählen.