Auch Jahre nach der Einführung der Automotive-spezifischen Regulatorik und Standardisierung stehen das Teams im Cybersecurity Management und auf Engineering-Seite weiterhin unter Druck: Erfolgreiche UN R155-Audits sind Voraussetzung für die Typgenehmigung, sie finden in einem dreijährigen Turnus durch akkreditierte Prüfdienste statt. Gleichzeitig herrscht weiterhin Unsicherheit, wie viel und welche „Zertifizierung“ ISO/SAE 21434 eigentlich verlangt – direkt eingeschoben: immer noch keine formale.
Allseits bekannt dürfte mittlerweile sein, dass die ISO/SAE 21434 dient als anerkannter Leitfaden für die Umsetzung der UN R155, sie selbst aber kein Zertifikat darstellst. Entscheidend ist daher effektiv die gelebte Governance. Nicht die Jagd nach Bescheinigungen. Während sich bei Praktikern allein beim Begriff „Cybersecurity-Governance“ die Nackenhaare aufstellen, soll hier nachfolgend pragmatische Aufklärungsarbeit geleistet werden.
Philipp Veronesi
Es sei direkt zugegeben: mit den sieben Essentials ist das so eine Sache. Organisationen, Entwicklungsprojekte, Strukturen und Prozesse sind so facettenreich, dass in der wirklichen Praxis keine Klemmbrett-Checkliste herausgeholt werden kann. Entsprechend sind die nachfolgenden sieben Essentials, die wir hier vorstellen nicht zwangsläufig sequenziell anzusehen. Sie sollen eben fundierte Impulse basierend auf der echten Beratungspraxis der letzten Jahre liefern.
1. Cybersecurity-Policies: nur mit echtem Executive Commitment [RQ-05-01]
Beginnen wir tatsächlich mit der ersten Anforderung, welche die ISO/SAE 21434:2021 stellt: Eine schlanke, unternehmensweit bekannte Cybersecurity-Policy als Startpunk. Sie enthält das Bekenntnis zu Cyberrisiken im Straßenfahrzeug. (Klingt trivial ist aber immens wichtig: einzusehen, dass die eigene Arbeit eben cybersicherheitsrelevante Risiken birgt.)
Dabei geht es um klare Ziele und die Verknüpfung mit den Unternehmenszielen, verbunden mit dem handfesten Commitment durch das Executive Management. Warum? Ohne eine verbindliche, vom Top-Management getragene Policy fehlt Projekten die Orientierung; Maßnahmen werden inkonsistent und Lücken in den Vorgehensweisen und zugehörigen Nachweisen sind vorprogrammiert.
Tatsächlich bemerkenswert: Die ISO/SAE 21434 fordert explizit eine vom Management autorisierte Cybersecurity-Policy – einschließlich Verpflichtung der Geschäftsführung, die Risiken aktiv zu managen. Dabei geht es in der Praxis darum:
- Echte Signalwirkung von oben: Unterschrift durch CEO/CTO und interne Veröffentlichung (Intranet, Aushänge) sorgen für Sichtbarkeit und Rückendeckung. (Gerade in der heutigen Zeit immer wichtiger.) Gleichzeitig soll das Management-Commitment dann effektiv dazu beitragen, Ressourcen bereit zu stellen.
- Verzahnung: Die Policy sollte nicht losgelöst im luftleeren Raum stehen, sondern auf Folgebausteine verweisen – z.B. geltende Prozesse, Verantwortlichkeiten und Ressourcenzuweisung. Gleichzeitig stärkt eine fundierte Policy die Verzahnung zwischen Zielen der Fachabteilungen und der Gesamtunternehmung.
- Klarer Rahmen: Enthalten sein können auch Aussagen zur generellen Risikobehandlung (z. Cybersecurity-Strategie oder Vulnerability-Handling im Feld uvm.), damit Projekte greifbare Leitfaden haben.
2. Regeln & Prozesse, die effektiv den Vehicle-Security-Alltag steuern – inkl. Supplier- und Distributed-Development-Dokumente [RQ-05-02]
Das will immer niemand so richtig hören, wenn im komplexen Automotive-Umfeld von neuen Prozessen gesprochen wird. Außer in den seltenen Fällen, wenn mal etwas läuft, wie gedacht. Dann heißt es: Gut, dass wir diesen Prozess dafür haben. Auch in der Berücksichtigung von Cybersicherheit sind daher unverzichtbar: Konkrete, nachvollziehbare Prozesse (“Was wird wie womit getan?”), die in bestehende Unternehmensabläufe integriert sind.
Dazu gehören auch klar definierte Vorgehen für verteilte Entwicklungsaktivitäten mit Lieferanten und in den vielschichtigen Entwicklungszusammenarbeiten. Warum? Einheitliche Regeln sichern Konsistenz über alle Projekte, reduzieren Einarbeitungszeit und Fehler.
Außerdem verlangt die ISO/SAE 21434 organisationseigene Cybersecurity-Prozesse über den gesamten Produktlebenszyklusstandards – von der Konzeptphase bis zum Decommissioning – inklusive einer sauberen methodisch-korrekten Umsetzung der Threat Analysis & Risk Assessment (TARA), Incident Response, Monitoring und Umgang mit Schwachstellenstandards. Wichtig dabei ist: organisationseigen. Zwar kann man hier und da mit ISO/SAE 21434 Templates arbeiten, aber das Tailoring und die Anpassung an die echten eigenen Abläufe wird zwangsläufig erforderlich.
Ohne die systematisierte Umsetzung der genannten Artefakte improvisiert jedes Projekt in Bezug auf Cybersecurity und wichtige Anforderungen (z. B. auch solche an Zulieferer) bleiben unerfüllt. Was wird also wichtig?
- Prozesslandschaft definieren: Eine Hierarchie aufbauen (Richtlinie → Prozess → Methode → Tool) und an bestehende Qualitätssicherungs- und Engineering-Prozesse ankoppeln (z. Änderungs-, Anforderungs-, Dokumentations-, Konfigurationsmanagement).
- Lieferanten in Cybersecurity-Themen ernsthaft einbinden: Für Distributed Development klare Erwartungsdokumente (Needs/Expectations) und Verantwortlichkeiten abstimmen (RACI-Matrix zwischen OEM und Zulieferer). Vertragsrelevante Dokumente – etwa das Cybersecurity Interface Agreement (CIA) gemäß ISO/SAE 21434 – legen fest, wer welche Security-Aktivitäten übernimmt, wie Ergebnisse geteilt werden und wie geregeltes Tailoring/Reuse abläuft.
- Vorlagen bereitstellen: Standardisierte organisations- und projektweit genutzte Templates und Arbeitshilfen (z. für Cybersecurity-Pläne, -Assessments und -Berichte) können helfen, sowohl intern als auch bei Zulieferern konsistente Work Products zu erhalten.
Insbesondere vor dem Hintergrund, dass es hier keine One-fits-all-Lösungen gibt (man vergleiche beispielsweise die Strukturen globaler OEMs mit denen von Technologie-Anbietern im KMU-Umfeld), ist zu berücksichtigen: Ein sinnvoller erster Schritt, um Cybersicherheit in definierte Prozesse zu integrieren, besteht darin, implizites Wissen und „gelebte Arbeitsweisen“ zu systematisieren. Nur so können gleichbleibende Qualität, effiziente Ressourcennutzung und Skalierbarkeit erreicht werden.
3. Immer wieder unterschätzt: Klare Cybersecurity-Rollen, Verantwortungen & Stakeholder-Kommunikation
Ein klar definiertes Rollen- und Verantwortlichkeitsmodell (z. B. Cybersecurity Manager, Projekt-Cybersecurity-Coordinator, PSIRT-Verantwortlicher) sowie ein geplanter Informationsfluss zwischen allen Stakeholdern ist die Basis erfolgreicher Fahrzeug-Sicherheit. Ohne eindeutige Zuständigkeiten bleiben Aufgaben liegen; Auditoren erkennen in der Regel sofort, wenn Verantwortlichkeiten unklar zugeordnet und Erforderlichkeiten entsprechend nicht umgesetzt werden. Die ISO/SAE 21434 konkretisiert daher Verantwortlichkeiten zuzuweisen und mit Befugnissen auszustatten. Gerade letzteres entscheidend letztendlich darüber, ob in der Firma ein Papiertiger entsteht oder Maßnahmen ergriffen werden können (auch gegen Widerstände.) Best Practices wie RACI-Matrizen sorgen für Transparenz in Projekten. Was ist also zu tun?
- Organigramm & Richtlinien: Verankern Sie Rollen und Eskalationspfade im Organisationshandbuch. Zum Beispiel sollte klar beschrieben sein, wer als Cybersecurity Owner auf Bereichsleitungsebene fungiert (oft ein hochrangiger Manager mit Budget- und Weisungsbefugnis. Profi-Tipp: Sorgen Sie ebenso dafür, dass bestehenden und neuen Mitarbeitern das Vorhandensein dieser Materialien wirklich klar ist.
- Stakeholder-Analyse: Identifizieren Sie alle betroffenen Bereiche – R&D, Entwicklung, Einkauf, Qualität, Legal, Information Security/ISMS, After-Sales etc. – und erstellen Sie einen Kommunikationsplan. Dieser definiert, wie und wann Information zwischen z.B. Entwicklungsteams, dem zentralen Cybersecurity-Team und dem Produkt-Security-Incident-Response-Team (PSIRT) (uvm.) fließen.
- Bedarfsgerechte Schulungen & Awareness: Nein, die Security-Kollegen Mal auf ein Training schicken ist nicht was hier gemeint ist. Stellen Sie vielmehr sicher, dass alle Verantwortlichen ihre Rolle verstehen und die nötigen spezifischen Security-Kompetenzen haben. Regelmäßige Abstimmrunden (etwa ein Cybersecurity Board oder SteerCo) helfen, bereichsübergreifend auf dem Laufenden zu bleiben.
In der Praxis entstehen immer wieder Missverständnisse zwischen Rollen auf Organisationsebene (z.B. Head of Cybersecurity), wo die Verantwortung in der Etablierung von Cybersicherheit auf Unternehmensebene besteht, und solchen im Projekt, wo es darum geht, ein Produkt sicherer zu machen (z.B. Cybersecurity Engineer). Gleichzeitig dürfen definierte Rollen in einem Prozess nicht mit Job- und Stellenbeschreibungen verwechselt werden – ein ebenfalls häufiger Ausgangspunkt für Unklarheiten.
4. „Security? Der Kollege ist gerade nicht da.“ Ressourcen & Kompetenzmanagement als Daueraufgabe
Ja, fragen Sie uns Mal. Wir erleben es seit Jahren und nahezu in jeder Organisation, dass Cybersecurity als durchaus unbeliebte Unterstützungsfunktion an den Rand gedrängt wird.
Die Bereitstellung von Personal, Zeit und Werkzeugen sowie ein strukturiertes Kompetenzmanagement sind aber dennoch erforderlich. Das wird tatsächlich häufig missverstanden: UN R155 und ISO/SAE 21434 fordern in der Praxis wirklich belastbare CSMS-Fähigkeiten – ohne Skills und Tools bleibt Cybersecurity Theorie. Das reicht nicht mehr. Organisationen, Bereiche und Teams müssen über ausreichend Ressourcen (qualifizierte Mitarbeiter, geeignete Tools etc) verfügen, um ihre Arbeiten anforderungsgerecht und kompetent erfüllen zu können. Keine Frage: Das ist ein Mehraufwand, den es zu managen gilt. Anders geht es aber nicht. Dazu gehören:
- Skill-Matrix & Trainingsplan: Definieren Sie für jede Rolle die benötigten Fähigkeiten. Legen Sie eine Qualifikationsmatrix an und planen Sie Schulungen (z. jährliche Trainingsziele je Mitarbeiter). Dazu gehört auch Awareness für neue Bedrohungen und Technologien. Das muss keine Raketenwissenschaft werden – nicht jeder muss ein Experte werden. Es muss nur Klarheit über die relevanten Aspekte im jeweiligen Arbeitsbereich herrschen. Nur so kann die Arbeitsfähigkeit in dieser schnelllebigen Domäne konsequent sichergestellt werden.
- Tool-Landscape managen: Erstellen Sie ein vollständiges Verzeichnis aller relevanten Cybersecurity-Werkzeuge (für TARA, Requirements-Management, V&V-Tests, SBOM/Vulnerability-Management etc.), inkl. Verantwortlichen und Qualifizierungsstatus. Wichtig ist nachzuweisen, dass der Einsatz dieser Tools die Cybersecurity nicht negativ beeinflusst, beispielsweise durch regelmäßige Tool-Reviews oder Verifizierung der Tool-Ergebnisse. Eine Ausgangsbasis hierfür kann die Synergie mit der Functional Safety bieten, die ebenfalls gemäß ISO 26262 die Software-Tools evaluieren und qualifizieren muss. Hier kann es darüber hinaus hilfreich sein, professionelle externe Hilfe in Anspruch zu nehmen.
- Kapazitäten vorausschauend planen: Cybersecurity-Aktivitäten sollten in Projektplänen mit eigenem Aufwand hinterlegt sein (Puffer für TARA-Workshops, Penetrationstests, Incident-Übungen etc.). Führen Sie quartalsweise Reviews im Management durch. Prüfen Sie dabei Kennzahlen wie die Anzahl abgeschlossener Work Products, abgestimmte Anforderungen, durchgeführte Tests (u.a.). (Diese Überprüfung sollte sowohl auf der Projekt-/Produktentwicklungsebene als auch auf der Organisationsebene stattfinden – mit Kennzahlen wie Trainingsquote, Anzahl entdeckter Schwachstellen oder durchgeführten Audits.)
5. Automotive Cybersecurity bleibt ein Thema von Kultur und Informationsaustausch
Sie waren sicher auch schon auf Fachveranstaltungen zur Fahrzeug-Cybersicherheit und haben dort mit anderen Akteuren gesprochen. Wie erfrischend könnte das gesamte Handlungsfeld Automotive Cybersecurity sein, wenn man mehr miteinander statt gegeneinander oder gar nicht dran arbeiten würde?
Maßnahmen zur Sicherheitskultur (Awareness-Kampagnen, „Speak-up“-Mentalität, Lessons Learned) sowie ein geregelter Umgang mit vertraulichen Informationen müssen heute Standard sein.
Die Unternehmenskultur ist Teil der laufenden organisatorischen Aktivitäten; ohne Akzeptanz und Mindset scheitern auch die besten Prozesse, das ist Fakt.
Zudem erfordert effektive Cybersecurity bereichsübergreifendes Information Sharing – intern (zwischen Security, IT, Safety etc.) und insbesondere auf sinnvolle Weise auch extern (mit Zulieferern, Dienstleistern aber auch Branchengremien o.Ä.).
Nicht zufällig verlangt die ISO/SAE 21434 explizit, eine starke Cybersecurity-Kultur zu fördern. Dazu gehört:
- Awareness erhöhen: Starten Sie Security-Awareness-Kampagnen (z. Testing als Einstieg in Security-Themen, Brown-Bag Sessions zu Security-Themen, sichtbare Security Champions in Entwicklungsteams). Bereiche und Teams müssen Cybersecurity als gemeinsamen Wert verstehen – von der Entwicklung bis zum Management. Interne Newsletter oder Lunch-and-Learn-Formate können aktuelle Bedrohungen oder Vorfälle aufgreifen und so kontinuierlich sensibilisieren. Wichtig: Awareness ist kein „one and done“ – Eine einmalige Kampagne verblasst nach kurzer Zeit. Es gilt das Thema regelmäßig zu wiederholen.
- Lessons Learned & “Blameless” Culture: Etablieren Sie Mechanismen, um aus Vorfällen und Beinahefehlern zu lernen (Post-Mortems, Root-Cause-Analysen) und teilen Sie diese Erkenntnisse unter Wahrung von Vertraulichkeit. Mitarbeiter sollen ohne Angst vor Schuldzuweisung Sicherheitsprobleme eskalieren dürfen.
- Sensiblen Informationsaustausch regeln: Legen Sie verbindliche Prozesse fest, wie mit hochsensiblen Cybersecurity-Dokumenten umzugehen ist – etwa mit Ergebnissen von Penetrationstests oder Schwachstellenreports. Wo möglich, gewähren Sie externen Auditoren nur Einsicht vor Ort (oder per Screen-Sharing) statt Unterlagen herauszugeben. Definieren Sie zudem klare Klassifizierungskriterien und Freigabeprozesse für sicherheitsrelevante Informationen, um deren Vertraulichkeit zu wahren. Im Alltag fördert das aktive Auswählen von Vertraulichkeitsstufen (z.B. bei E-Mails oder Dokumenten) unmittelbar das Sicherheitsbewusstsein und etabliert Datenschutz und Geheimhaltung als Selbstverständlichkeit. In der Praxis lassen sich Systeme wie Outlook oder SharePoint so konfigurieren, dass Mitarbeitende bei jeder externen E-Mail oder jedem Upload verpflichtet werden, eine Klassifizierungsstufe auszuwählen – ein kleiner Schritt mit großer Governance-Wirkung.
6. Automotive Cybersecurity-Audits- & Assessment-Programme – Fokus statt Jagd auf Zertifikate
Auf Organisations-Ebene sollten (bzw. auf Herstellerseite: müssen) regelmäßige CSMS-Audits stattfinden (intern wie extern), während auf Projekt-Ebene gezielte Assessments die Wirksamkeit in einzelnen Entwicklungsprojekten prüfen. Warum? Der UN R155-Conformity Audit (für das Certificate of Compliance) prüft das gesamte Cybersecurity Management System des Unternehmens – also die organisatorischen Prozesse und deren Umsetzung. Die ISO/SAE 21434 selbst ist hingegen an sich weiterhin kein zertifizierbarer Standard, sondern ein Best-Practice-Rahmenwerk.
Priorität hat daher die Wirksamkeit der Maßnahmen, nicht das Vorzeigen eines ISO-Zertifikats. Dem folgend ist eine systematisierte ISO/SAE 21434 Gap Analyse (im Zweifel auch mit externer Unterstützung) der richtige Weg, während das Anstreben von Zertifizierungen für bestimmte Use Cases, Kategorien, Produkte o.ä. wahrscheinlich häufig der zweite Schritt vor dem ersten ist.
Ein strukturiertes Auditprogramm kann dabei helfen sicher zu stellen, dass man nicht blindlings Dokumente „für den Auditor” produziert, sondern echte kontinuierliche Verbesserung erreicht. Wie?
- Audit-Lifecycle etablieren: Nutzen Sie ISO 19011 und ISO/PAS 5112 als Leitfaden, um ein Auditprogramm aufzubauen. Planen Sie jährliche interne CSMS-Audits (gegen die eigenen Prozesse bzw. ISO/SAE 21434 Kriterien; oder auch unter Berücksichtigung des ENX VCS) sowie alle drei Jahre ein externes Audit durch einen Technischen Dienst (für UN R155-CoC). Jedes Audit sollte den vollen Zyklus durchlaufen: Initiierung → Vorbereitung → Durchführung → Bericht → Abschlussbesprechung → Follow-up.
- Schwerpunkte setzen: Gestalten Sie projektbezogene Cybersecurity-Assessments als Ergänzung. Diese können vor Meilensteinen (z. vor SOP eines Fahrzeugs) durchgeführt werden, um die Umsetzung der Cybersecurity in konkreten Produkten zu bewerten. So verknüpfen Sie das Organisationsaudit mit praktischer Effektivitätsprüfung.
- Umgang mit sensiblen Daten: Schulen Sie Teams, wie mit Audit-Anfragen umzugehen ist. Oft wollen Auditoren vertrauliche Details sehen (z. zu aktuellen Schwachstellen). Hier ist Fingerspitzengefühl gefragt: Bereiten Sie einen Audit-Readiness-Plan vor, der festlegt, welche evidenzführenden Informationen wie gezeigt werden, Manche Firmen erlauben z. B. keine Mitnahme von Unterlagen, sondern nur Einsicht vor Ort – das sollte im Auditplan dokumentiert sein.
- Bewertung & Tracking: Definieren Sie einheitliche Bewertungskriterien für Audit-Feststellungen, z. zu Conformity, Minor Non-Conformity oder Major Non-Conformity. So lassen sich Audit-Ergebnisse klar klassifizieren. Jede Feststellung muss mit Korrekturmaßnahmen versehen und nachgehalten werden. Speisen Sie die Erkenntnisse zurück ins CSMS (Continuous-Improvement-Schleife), um Mängel bis zum nächsten Audit abzustellen.
- Auch hier, Verantwortlichkeiten und Ansprechpartner: Ebenso rund um Audits und Assessments sowie besonders mit Blick auf vorzulegende Dokumente und Ausarbeitungen muss stets nachvollziehbar sein wer an welcher Stelle für was wie zuständig ist und wie die zugehörigen Kommunikations- und Informationswege aussehen.
- Konkreten Audit-Scope präziseren: Um welches Audit geht’s überhaupt? UN R155, GB 44495, die südkoreanische Regulierung, die (aufkommende) Indische Regulierung? Klar, es gibt große Überschneidungen, aber es gilt sich mit den speziellen Schwerpunkten und gesonderten Anforderungen auseinanderzusetzen. Sie kennen Ihre Rolle in der Lieferkette und aktuelle bzw. zukünftige Zielmärkte. Eine frühzeitige Festlegung des Scopes ist oft ratsamer, statt nachträglich das CSMS aufzurüsten.
7. Stützprozesse, echte kontinuierliche Verbesserung und die Verzahnung mit QMS, Risikomanagement, Tool-Management
Okay, alles oben Stehende schön und gut – aber wie gelingt das in der Praxis wirklich? Die tragenden Wände der Governance sind ein wirksames Qualitätsmanagementsystem (nach ISO 9001 / IATF 16949), verankertes Unternehmens-Risikomanagement (ISO 31000) und definierte Mechanismen zur kontinuierlichen Verbesserung.
Ebenso gehört ein grundlegendes Tool-Management dazu (Regelungen für Tool-Versionierung, Qualifikation, Zugriffsrechte, Backups etc.).
Ohne diese Stützprozesse bleiben Cybersecurity-Maßnahmen schlussendlich häufig ineffizient.
Viele Audit-Fragen zielen genau auf diese Grundlagen ab, z. B.
- Existiert ein Konfigurationsmanagement?
- Wie wird sichergestellt, dass Änderungen nachvollziehbar dokumentiert sind?
Wenn hier Lücken entsteht, gerät die gesamte Cybersecurity Governance ins Wanken. Die ISO/SAE 21434 verlangt ausdrücklich, dass Cybersecurity in alle relevanten Disziplinen und Prozesse integriert wird – was ohne ein reifes QMS kaum möglich ist.
Ein ganz simples Beispiel: Fehlt im QMS ein definierter Prozess zur Prüfung und Freigabe neuer oder geänderter Prozesse (z. B. CSMS-Prozesse), bleibt unklar, wer überhaupt befugt ist, solche Anpassungen zu genehmigen. Das führt zu Unsicherheiten in Verantwortung und Nachweisführung – und spätestens im Audit zu kritischen Fragen. Ein robustes QMS schafft hier Klarheit und Verbindlichkeit.
Unter anderem gilt es daher ins Auge zu fassen:
QMS-Nachweise erbringen: Stellen Sie sicher, dass Kernprozesse wie Anforderungs- und Änderungsmanagement, Dokumentation und Konfigurationsmanagement funktional und auditierbar sind. Cybersecurity sollte nahtlos in diese Abläufe eingebunden sein (z. B. Security als Pflichtteil im Change Control Board, Sicherheitsanforderungen als Teil des Requirements-Managements usw.). Ein vorhandenes, zertifiziertes QMS (ISO 9001/IATF 16949) ist die Basis; Cybersecurity muss darin verankert werden. Praxisbeispiel gefällig? Aufbewahrungspflichten von cybersicherheitsrelevanten Daten und Dokumenten (gemäß UN R155: 10 Jahre nach EOP) sollten im QMS-Prozess zur Datenspeicherung mit verankert sein.
Risikomanagement auf Organisationsebene: Die Threat-Analysis-und-Risk-Assessment-Methodik macht im Security-Fachbereich zwar schon Spaß, aber ergänzen Sie das Enterprise Risk Management (gemäß ISO 31000) unbedingt um (Produkt/Fahrzeug-)Cybersecurity-Aspekte. D.h., Cyber-Risiken sollten im Unternehmens-Risikoregister geführt und regelmäßig vor Top-Management diskutiert werden – analog zu Finanz- oder Lieferkettenrisiken. Dadurch erhalten Cybersecurity-Themen die nötige Priorität und es wird sichergestellt, dass Risiken nicht nur auf Projektebene betrachtet werden.
Kontinuierliche Verbesserung (KVP): Implementieren Sie einen formalen KVP-Prozess für Cybersecurity. Dazu gehören Management Reviews der CSMS-Aktivitäten (z. B. halbjährliche Berichtserstattung der Cybersecurity-KPIs (Ja, genau!) an die Geschäftsführung) und regelmäßige Lessons Learned-Workshops. Nutzen Sie Audit- und Assessment-Resultate: Findings aus Audits sollten in Maßnahmen umgewandelt und deren Wirksamkeit nach einiger Zeit geprüft werdenthemedicon.com. Dieser PDCA-Zyklus (Plan-Do-Check-Act) hält die Governance lebendig und evidenzbasiert.
Tool-Governance: Etablieren Sie klare Richtlinien für den Einsatz von Entwicklungs- und Security-Tools. Welche Tool-Versionen sind freigegeben? Wie wird ein neues Tool qualifiziert oder validiert, bevor es für Security-Aufgaben eingesetzt wird? Wie werden Tool-Konfigurationen gesichert (Backups) und Zugriffe kontrolliert? Eine saubere Tool-Governance (idealerweise Bestandteil des QMS) verhindert, dass fehlerhafte Werkzeuge zu Sicherheitslücken führen, und signalisiert Auditoren geordnete Prozesse im digitalen Handwerkszeug. Gleichzeitig ist dies ein Paradebeispiel dafür, wie CSMS und IT-Security miteinander verzahnt sein sollten: nur aufeinander abgestimmte Entwicklungs- und IT-Toollandschaften schaffen ein durchgängig sicheres Arbeitsumfeld.
Von der Skepsis zur Strategie: Wirkungsvolle Automotive Cybersecurity Governance als Treiber der Fahrzeugindustrie
Die eingangs erwähnte Skepsis vieler Praktiker gegenüber Governance und Cybersecurity-Policies sei noch einmal aufgegriffen: Woher rührt diese Zurückhaltung? Die Antwort liegt auf der Hand: In nicht wenigen Unternehmen fehlen häufig auch unabhängig von Cybersicherheit klar definierte Verantwortlichkeiten, wirklich konsistente Prozesse und etablierte Steuerungsmechanismen. So ist es kein Wunder, dass zusätzliche Governance erst einmal kritisch gesehen wird.
Wirklich wirksame Governance, gerade im noch jungen Handlungsfeld der Automotive Cybersecurity, entsteht erst dort, wo Verantwortung, Transparenz und nachweisbare Wirksamkeit miteinander verschmelzen.
Unternehmen, die heute gezielt Commitment und Umsetzung ihrer Cybersecurity-Governance systematisch aufbauen und fortlaufend weiterentwickeln, profitieren mehrfach: Sie reduzieren nicht nur Cyberrisiken, sondern holen möglicherweise zugleich die Schaffung fehlender Grundlagen nach – etwa klare Zuständigkeiten, konsistente Prozesse und qualifiziertes Tooling. Somit wird Cybersecurity zum Baustein für höhere Geschwindigkeit und gesteigerte Effizienz (s. auch Cybersecurity als Hebel zur Kostensenkung).
Gleichzeitig, und hier herrscht unter Experten Konsens, wird das Vertrauen in Cybersicherheit künftig zu einem integralen Bestandteil unternehmerischer Exzellenz avancieren.
Auch in dieser Hinsicht kann die Produkt- und Fahrzeug-Cybersecurity von den Kolleginnen und Kollegen der Informationssicherheit lernen, die auf diesem Gebiet bereits über langjährige Erfahrung verfügen – im Guten wie im Schlechten.
