UNECE-Regulierung zu Automotive Cybersecurity Engineering Cybersecurity – wie vernetzte Fahrzeuge das Projektmanagement verändern

Automotive Cybersecurity im Projektmanagement

Dominik Strube zeigt, was eine Projektorganisation leisten muss, um ein vernetztes Fahrzeug mithilfe von Automotive Cybersecurity Engineering und Software-Updates vom Konzept bis zum Schrottplatz vor Angriffen von Hacker:innen zu schützen.

Management Summary

Download PDFDownload PDF

UNECE-Regulierung zu Automotive Cybersecurity Engineering Cybersecurity – wie vernetzte Fahrzeuge das Projektmanagement verändern

Automotive Cybersecurity im Projektmanagement

Dominik Strube zeigt, was eine Projektorganisation leisten muss, um ein vernetztes Fahrzeug mithilfe von Automotive Cybersecurity Engineering und Software-Updates vom Konzept bis zum Schrottplatz vor Angriffen von Hacker:innen zu schützen.

Management Summary

Die zunehmende Vernetzung stellt die Autowelt auf den Kopf: Digitale Dienste ermöglichen neue Funktionalitäten für die Fahrzeuge und softwarezentrierte Architekturen rücken anstelle der Mechanik immer mehr in den Fokus. Mit der Verschmelzung von Fahrzeugelektronik einerseits sowie den Backend-Servern von Diensteanbietern und der Verkehrsinfrastruktur andererseits steigt jedoch im Bereich Automotive auch das Risiko für Cyberangriffe. Um diesen zuvorkommen zu können, ist ein neues Projektverständnis erforderlich, welches sowohl die Managementperspektive als auch das Rollenverständnis der Projektleitung umfasst. 

Eine aktuelle Regulierungsvorschrift fordert von den Fahrzeugherstellern, ab sofort ihre Cybersecurity-Aktivitäten methodisch-strukturiert aufzusetzen. In diesem Beitrag erfahren Sie, weshalb diese Anforderung nicht auf technische Schutzvorkehrungen, sondern auf eine neue Denkweise der Unternehmen abzielt. Unmittelbar betroffen ist auch die Projektorganisation: Die Produktentwicklung muss entsprechende Standards für die Betriebsphase schaffen und die Weichen dafür bereits vor dem Aufsetzen des Projekts stellen. Abgeleitet aus der Beratungspraxis, von Analysen und Assessments bis zum Aufsatz eines integrierten Managementsystems, zeige ich, wie die junge Disziplin des Cybersecurity Engineering klassische Projektarbeit mit neuen Aufgaben und Entscheidungen verbindet.

Management von Cybersecurity als Zulassungsvoraussetzung

Im Automotive-Bereich galt in Bezug auf Cybersecurity bislang eine Wildwestmentalität: Es war so gut wie nichts geregelt. Wenn Attacken auftraten oder eine Forschungsgruppe eine Lücke aufdeckte, wurde still und heimlich nachgebessert. Damit ist jetzt in Europa Schluss: Das für Fahrzeugzulassungen zuständige UN-Wirtschaftsgremium, die United Nations Economic Commission for Europe (UNECE), hat beschlossen, dass Cybersecurity künftig zur Zulassungsvoraussetzung wird. 

Dieser Schritt zeigt, dass die UNECE den Handlungsbedarf erkannt hat. Denn bislang harmonisierte das UN-Gremium lediglich Anforderungen an Komponenten wie Scheinwerfer. Zum ersten Mal nimmt die UNECE nun direkten Einfluss auf die Organisations- und Projektebene der Automobilhersteller: Mit zwei Resolutionen stellt sie dezidierte Anforderungen an die nachhaltige Absicherung von Fahrzeugflotten. Gemäß diesen Resolutionen müssen die Hersteller für die Entwicklung sensibler Produkte zwingend zwei Managementsysteme einrichten (Bild 1), und zwar jeweils eines für:

  • Cybersecurity Engineering (CSMS)
  • Software-Updates (SUMS)

Die EU hat die beiden Resolutionen der UNECE bereits als allgemeine Sicherheitsvorschriften in geltendes Recht übernommen – als General Safety Regulation 155 (Cybersecurity) und 156 (Software-Updates). Alle Fahrzeuge, die ab Sommer 2022 entwickelt werden, müssen diese Anforderungen erfüllen. Denn ab 2024 darf das Kraftfahrtbundesamt nur noch Baureihen für den Straßenverkehr zulassen, wenn deren Hersteller nachweislich über die besagten Managementsysteme verfügt. Hierzu ist eine Zertifizierung erforderlich. Dabei muss der Hersteller auch die organisatorische Fähigkeit nachweisen, das Fahrzeug per Software-Updates aktuell halten zu können. 

Bild 1: Die UNECE verpflichtet Automobilhersteller, Managementsysteme für Cybersecurity Engineering (CSMS) und Software-Updates (SUMS) zu etablieren
Bild 1: Die UNECE verpflichtet Automobilhersteller, Managementsysteme für Cybersecurity Engineering (CSMS) und Software-Updates (SUMS) zu etablieren

Vernetzte Fahrzeuge verändern den Projekthorizont

Bisher umfasst ein Projekt die Phase der Produktentstehung: Ein Fahrzeug wird entworfen, entwickelt und getestet. Sobald die Produktion anläuft, ist das Projekt abgeschlossen. Doch vernetzte Fahrzeuge müssen kontinuierlich aktuell, sicher und attraktiv gehalten werden und werden daher niemals endgültig fertig. Mehr noch: Sie werden im Lauf der Zeit sogar besser, als sie beim Kauf waren. Denn Software bestimmt inzwischen deren Leistungsfähigkeit. 

Dank der Vernetzung ist es möglich, die Software regelmäßig zu aktualisieren, um das Fahrzeug zu warten sowie den Funktionsumfang zu erweitern. Das funktioniert bis hin zur Motorleistung: Eine Software-Aktualisierung verbessert die Hardware und macht den Wagen nachträglich leistungsfähiger ‒ ohne dass dafür ein Besuch in der Werkstatt notwendig ist.

Außerdem können Fahrzeughaltende jederzeit digitale Dienste zubuchen oder abbestellen, um so das Fahrzeug an individuelle Vorlieben anzupassen. Ein luxuriöser Concierge-Service beispielsweise unterstützt bei der Buchung von Flügen, Restaurants und Musicalbesuchen. In Zukunft stehen Autohersteller auch über diese Dienste im Wettbewerb zueinander. Deren Gestaltung trägt zur Markendifferenzierung bei und soll zu signifikanten Umsätzen und einem konstanten Cashflow führen. 

Kein klassisches Projektende mehr

Cybersecurity

Cybersecurity fokussiert auf die Integrität der cyber-physischen Systeme (CPS). Im Automobilkontext sichert das Automotive Cybersecurity Engineering mithilfe von organisatorischen, konzeptionellen, projektbezogenen und technischen Maßnahmen die über einhundert Steuergeräte und zahlreichen Sensoren eines modernen Fahrzeugs ab – es schützt also das Auto vor dem Menschen, konkret vor dem unberechtigten Zugriff durch Dritte. Dieser Schutz bezieht sich auf die vier Schadenskategorien Funktionssicherheit, Betriebssicherheit, finanzieller Verlust sowie Verlust persönlicher Daten. Er zielt ab auf eine End-to-End-Absicherung vom Projektstart bis zum Schrottplatz, um Risiken an jedem Punkt der Wertschöpfungskette entgegentreten zu können.

Das könnte Sie auch interessieren

Vorschaubild

Sie wollen die Qualität, den Nutzen und die Geschwindigkeit Ihrer Softwareprojekte erhöhen? Ralf Neubauer zeigt Ihnen, wie Sie dies anhand von DevOps erreichen und so die kontinuierliche Verbesserung in Gang setzen.

Vorschaubild

Berufliche Telefonate im Zugabteil, geschäftliche E-Mails in der S-Bahn oder Kollegengespräche über Unternehmensinterna am Flughafen: Die Informationssicherheit ist schneller gefährdet, als wir denken – oft durch Kleinigkeiten, die uns nicht …