Im letzten Blog “Automotive SPICE for Cybersecurity in Verbindung mit einem Cybersecurity Management System” war der Fokus auf den gesetzlichen Regularien, dem von der Internationalen Organisation für Standardisierung (ISO) veröffentlichten Standard für Cybersecurity und dem Audit Cybersecurity Management System (ACSMS).
Cybersecurity hat viele Fassetten. In diesem Artikel wollen wir einen groben Überblick über die Bewertung von Cybersecurity Risiken geben, die sich direkt aus dem Produkt ergeben.
Angreifer auf ein System sind kreativ und suchen immer neue Wege. Wie kann man das Risiko eines solchen Angriffs überhaupt bewerten?
In Automotive SPICE für Cybersecurity werden neue Prozesse eingeführt. Im Prozess MAN.7 „Cybersecurity Risk Management“ wird die Analyse der Risiken im Detail beschrieben.
Zunächst werden Bedrohungsszenarien mit einer TARA (Threat Analysis and Risk Assessment) analysiert. Dabei werden zuerst Assets (schützenswerte Objekte) identifiziert. Zum Beispiel den Empfänger einer Schlüsselfernbedienung. In öffentlich zugänglichen Datenbanken findet man die unterschiedlichsten Angriffsszenarien auf Cybersecurity Eigenschaften. Anhand dieser Daten können dann Bedrohungsszenarien beschrieben werden. In den folgenden Schritten werden die potenziellen Angriffspfade und deren Wahrscheinlichkeit, sowie die Folgen für Stakeholder im Falle eines erfolgreichen Angriffs ausgewertet. Nun kann das Risiko für jedes Bedrohungsszenario auf Stakeholder wie Fahrer, Insassen, Passanten, Auto, OEM, usw. bestimmt werden.
Die Risk Treatment Decision beschreibt, ob ein Risiko vermieden, verringert, geteilt oder akzeptiert wird.
Die Risikoanalyse (TARA) aus MAN.7 ist Ausgangspunkt für die in SEC.1. abgeleiteten Cybersicherheitsziele (Cybersicherheitsanforderungen auf Konzeptebene in Verbindung mit einem oder mehreren Bedrohungsszenarien).
„Die Authentizität des Kommandos Türe aufschließen durch die Schlüsselfernbedienung muss zu jeder Zeit gewährleistet sein“ wäre ein Cybersicherheitsziel auf Konzeptebene.
Kreative Angriffe auf dieses Cybersicherheitsziel lassen sich nicht gänzlich voraussagen. Aber Systemspezialisten können Cybersicherheitsanforderungen auf System und Software Ebene ableiten, welche das Risiko eines erfolgreichen Angriffs auf das Cybersicherheitsziel eliminieren oder unwahrscheinlich machen.
Cybersecurity Requirements wirken sich direkt auf System- und Softwareanforderungen aus. Der Weg der Implementierung folgt denselben Prozessen, die in Automotive SPICE beschrieben sind. Software- und Systemtests verifizieren die Software- und Systemanforderungen.
Die Überprüfung der Risikobehandlung in SEC.3 beziehen sich im Kontrast dazu auf die aus Threat-Szenarien abgeleiteten Cybersecurity Requirements.
Zuletzt werden in SEC.4 die Cybersicherheitsziele im integrierten System validiert. Die Strategie muss so aufgebaut werden, dass eventuell unerkannte Schwachstellen aufgedeckt werden. In unserem Beispiel von oben soll ausgeschlossen werden, dass die Türe durch Dritte ausgeschlossen werden kann.
Mit den neuen Prozessen in Automotive SPICE für Cybersecurity MAN.7 und SEC.1-4 werden den Entwicklungsabteilungen Methoden an die Hand gegeben, mit denen sich die Risiken von Cyberattacken minimieren lassen. Da Angreifer jedoch mit großem Budget und hoch motiviert sein können, lassen sich Risiken nie ganz ausschließen. Die sorgfältig durchgeführte TARA offenbart jedoch potenzielle Schwachstellen und deren Risken. Die aus der TARA abgeleiteten Maßnahmen zur Risikobehandlung erhöhen den Aufwand deutlich und erschweren es den Hackern erheblich.
Das neue Prozessassessmentmodell (PAM) „Automotive SPICE® for Cybersecurity“ bietet eine Erweiterung von Automotive SPICE um sechs neue Prozesse. Der neue Kurs „intacs™ certified Automotive SPICE® Cybersecurity“ soll Assessoren auf das Assessment der neuen Prozesse vorbereiten.
We have already included the Automotive SPICE for Cybersecurity PAM into our SPICE Booklet