Automobilelektronik: Agil, aber sicher zum Software-bestimmten Fahrzeug
Seite 3: Cybersecurity oder Willkommen in der Ungewissheit
Cybersecurity Engineering ist für das agile Denken wahrscheinlich die größte Herausforderung. Dabei liegt es als kontinuierliche Aufgabe strukturell der Agilität am nächsten. Denn: Bei Cybersecurity geht es ebenfalls um Anpassungsfähigkeit – sie muss unentwegt mit potenziellen Angreiferinnen und Angreifern Schritt halten: Neue Fähigkeiten bilden den Nährboden für neue Bedrohungen, Cybersicherheit bleibt dadurch immer ein anzustrebender Zustand (siehe Abbildung 4). Aus Sicht der Fahrzeugentwicklung ist darum die Phase zwischen Produktionsanlauf und Serviceende ebenso wichtig wie die Entwicklungsphase. Cybersecurity ist in allen Phasen gleichermaßen zu Hause. Kein einzelnes Modell kann dies komplett abdecken.
Im Kontext der Entwicklung von Automobilelektronik befasst sich Cybersecurity Engineering mit der Sicherheit der elektrischen und elektronischen Komponenten sowie den damit verbundenen Funktionen. Um diesen Anwendungsbereich zu beschreiben, verwendet die Branche einen morphologischen Kniff: Auch im Englischen wird cybersecurity in einem Wort geschrieben. Geht es hingegen um den Schutz von Daten im Cyberspace, also im Fahrzeug, in der Cloud oder auf Backend-Servern, kommt die übliche Schreibweise cyber security zum Einsatz. Zusammengefasst schützt Cybersecurity Daten (Informationen) auf elektronischen Komponenten, die für deren Funktion notwendig sind, vor unberechtigtem Zugriff und Missbrauch.
Ein solides Fundament
Seit dem vergangenen Jahr ist eine neue Regulierung der UNECE (Wirtschaftskommission für Europa der Vereinten Nationen) auch in europäisches Recht umgesetzt: Die General Safety Regulation R.155 besagt, dass Fahrzeughersteller Cybersecurity-Managementsysteme einführen müssen. Das soll alle Cybersecurity-Aktivitäten gezielt und gesteuert über den gesamten Gestehungs- und Nutzungszeitraums einer Fahrzeugreihe absichern. Die Regulierung erzwingt eine Kulturänderung im Sinne eines kontinuierlichen Denkens und Handelns: Die laufenden Aktivitäten müssen über den gesamten Servicezeitraum dafür sorgen, dass das vernetzte Fahrzeug sicher bleibt – die spätere Wartungsfreundlichkeit und Update-Fähigkeit ist die technische Voraussetzung für Agilität in der Betriebsphase der Fahrzeugserie.
Anders ausgedrückt: Damit man das vernetzte Auto, beispielsweise seine Mikro-Dienste und Apps, agil aufsetzen und pflegen kann, muss bereits die Fahrzeugarchitektur darauf ausgelegt sein. Dies kann dadurch gelingen, dass Service-orientierte Prinzipien dem Architekturentwurf von Anfang an eingeschrieben sind. Entsprechende Fragen gilt es in der Konzeptphase zu klären, ähnlich wie bei der funktionalen Sicherheit. Dies beginnt mit der Definition des Entwicklungsprojekts, einer Spezifikation der Cybersecurity-Ziele auf der Grundlage einer ersten Bedrohungsanalyse und Risikobewertung (TARA) und dem Entwurf eines Cybersecurity-Konzepts. Letzteres lässt sich als Projektleitfaden betrachten, da es Cybersecurity-Anforderungen in Bezug auf Komponenten innerhalb der Architektur oder Bezug auf Prozesse, Regeln, Rollen usw. enthält.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Aus Cybersecurity-Sicht beeinflusst die E/E-Architektur zentrale Fragen wie Flexibilität, Zugänglichkeit, Skalierbarkeit, Verfügbarkeit oder Aktualisierbarkeit. Schließlich muss das Zusammenwirken der Komponenten so strukturiert sein, dass die gewünschten Funktionen auch künftig upgedatet, geändert, erweitert oder beendet werden können. Per Produktplattform lassen sich etliche der Fragen standardisieren und über den Produktlebenszyklus hinweg steuern. All diese Aspekte zeigen, warum Architektur wichtig ist – jede Flüchtigkeit führt später zu technischen und organisatorischen Schulden, sprich: Aufwänden und Risiken.
Um die Architektur von Anfang an richtig zu gestalten, gilt es, alle relevanten Faktoren zu berücksichtigen. Die Architektur von agilen Kommunikationsformaten profitiert, wenn es gelingt, die beteiligten Stakeholder mit ihren unterschiedlichen, divergierenden Perspektiven einzubinden und deren Dialog zu fördern. Voraussetzung dafür ist, nicht Gruppendenken zu verstärken, sondern vielfältigeres Denken anzuregen und Probleme aus verschiedenen Blickwinkeln zu betrachten. Ungeachtet dessen legt die Architektur die Grundlage für Agilität: Denn nur, wenn die Architektur berücksichtigt, kritische Bereiche von weniger kritischen zu separieren, lassen sich neue Anforderungen nachträglich in einen Backlog einspeisen und umsetzen.
Kontinuität ist gefordert: DevSecOps
In der Phase nach der Entwicklung, dem Flottenbetrieb des vernetzten Fahrzeugs, konzentriert sich Cybersecurity auf Produktion, Betrieb und Wartung und schließlich auf das Ende des Supports sowie die Stilllegung der Fahrzeuge. Im Vergleich zu Consumer Electronic Devices wirkt sich hier die lange Betriebsdauer aus, für die ein Fahrzeug konzipiert ist. Daher stellt die Reaktion auf Cybersecurity-Vorfälle eine besondere Herausforderung dar. Bislang galt: Entwicklung war Projektarbeit, spätestens mit dem Produktionsanlauf haben die Entwicklerinnen und Entwickler ein neues Projekt auf dem Tisch. Nicht zuletzt auch dank der UNECE-Regulierung ändert sich das bei digitalen Diensten und Cybersecurity: Der Auslieferungszustand des Fahrzeugs stellt nur eine Momentaufnahme dar, die mit dem nächsten Update obsolet ist. Updates sind für Cybersecurity unabdingbar, um Risiken abzuwehren und für digitale Mehrwertdienste, um Daten zu aktualisieren und neue Funktionalitäten aufzuspielen.
Für die Entwicklungsorganisation heißt das: auch nach dem Produktionsanlauf und der Auslieferung der Fahrzeuge ist weiterhin Entwicklungsarbeit zu leisten. Es gibt keinen finalen und sicheren Zustand, solange eine Fahrzeugserie sich im Supportzeitraum befindet. Daher ist der Hersteller in der Pflicht, Fähigkeiten zur Weiterentwicklung und Cybersicherheit des Fahrzeugs und Dienstes aufzubauen. Die Entwicklerteams müssen für jedes Modell oder jede Plattform bestehende Funktionen pflegen und verbessern. Nimmt man beide Anforderungen, Produktattraktivität und Sicherheitsaspekte, zusammen, stehen wir vor einem neuen kontinuierlichen Paradigma: Continuous X. Hier bietet es sich an, cross-funktionale Teams aufzusetzen, die die Weiterentwicklung vorantreiben, beispielsweise DevSecOps für Cybersecurity oder BizDevOps für digitale Dienste. Für diese Teams ist es einfach, auf agile Praktiken zu setzen, sofern die Hausaufgaben (Stichwort: Architektur) gemacht wurden.
