Für OEMs und Tier-1-Zulieferer liefern internationale Vorschriften wie die „UN Regulation No. 155 – Cyber security and cyber security management system“ zusätzlich zu Normen wie der ISO/SAE 21424 einen konkreten Rahmen, um ihr Bemühen um mehr Cybersicherheit bereits zu Beginn der Fahrzeugentwicklung zu bündeln. Konkret verpflichtet diese Regelung beide Parteien dazu, ein Schwachstellenmanagement einzuführen. In der Praxis wurde diese Thematik unterschiedlich gehandhabt.
In der Softwareentwicklung verschwimmen die Grenzen
Die Entwicklung der Softwarekomponenten für die Fahrzeugsteuerung (Electronic Control Units, kurz: ECU) war lange Zeit Domäne der Tier-1-Zulieferer; entsprechend fiel ihnen der Großteil der Verantwortung für das Schwachstellenmanagement an dieser Stelle zuteil. Die OEMs verfolgten in ihrer Funktion als Integratoren der Steuergeräte einen eher systemischen Blick auf die Cybersicherheit des Fahrzeugs als Ganzes. Da sich immer mehr OEMs langfristig auch als Service-Anbieter verstehen, investieren sie zunehmend in die Entwicklung einer eigenen proprietären Software. Viele OEM-Gruppen schließen sich in entsprechenden Organisationen zusammen, beispielsweise in der Stellantis SWX-Initiative, Volkswagen CARIAD und anderen, und entwickeln gemeinsam nutzbare Betriebssysteme für Fahrzeuge. Umgekehrt verpflichten OEMs Tier-1-Zulieferer zunehmend, ausgewählte Softwareanwendungen von Dritten zu integrieren.
Unabhängig von der genauen Rollenverteilung gilt: Je früher im Fahrzeugentwicklungsprozess Schwachstellen entdeckt und behoben werden, desto weniger Zeit und Ressourcen werden gebunden. Um Kosten und Verzögerungen durch aufwändige Überarbeitungen kurz vor der Auslieferung zu vermeiden, liegt es im Interesse beider Parteien, ihr Schwachstellenmanagement zu harmonisieren.
Professionelle Harmonisierung des Schwachstellenmanagements
Die Harmonisierung beginnt damit, dass sich sowohl OEMS als auch Tier-1-Zulieferer konsequent an den Secure Software Development Life Cycle (SecSDLC) halten. Im Rahmen dieses Verfahrens wird kontinuierlich überprüft, ob kritische oder größeren CVEs (Common Vulnerability and Exposure) vorliegen. Ferner müssen die OEMs ihre Tier-1-Zulieferer auf Standards wie A-SPICE (Automotive Software Performance Improvement and Capability Determination) und ISO/SAE 21434 verpflichten – und sich regelmäßig vergewissern, dass sie diese Standards einhalten, beispielsweise anhand von einer lückenlosen Dokumentation. Tier-1-Zulieferer müssen die OEMs sofort informieren, wenn sie eine kritische oder schwere Schwachstelle entdecken, und einen Plan zur Schadensbegrenzung vorschlagen.
OEMs und Tier-1-Zulieferer müssen die gesamte Software Bill of Materials (SBOM) aktuell dokumentieren, einschließlich aller Komponenten Dritter. Diese SBOM sollte über eine Standard-API (Application Programming Interface) wie SPDX (Software Package Data Exchange), CycloneDX oder SWID (SoftWare Identification) an das Asset-Management-System des OEM übermittelt werden. An ebendieser Schnittstelle hat die Automobilbranche noch einiges aufzuholen. Derzeit sind die SBOM-Informationen, die von Tier-1-Zulieferern zur Verfügung gestellt werden, meist unvollständig, nicht aktuell und ohne Standardschnittstellen erstellt.
Damit die Empfehlung zur Harmonisierung des Schwachstellenmanagements keine Idealvorstellung bleibt, unterstützen erfahrene Cybersecurity-Dienstleister wie CYMOTIVE OEMs und Tier-1-Zulieferer durch ihre jahrelange Expertise sowie eine automatisierte Lösung für das Schnittstellenmanagement. Durch eine professionelle Herangehensweise an diese Thematik können die beiden Parteien ihrer Rolle als erste Bastion der Cybersicherheit in der Fahrzeugentwicklung mühelos gerecht werden – unter der Einhaltung aller gängigen Normen, Budgets und Liefertermine.
