Die Threat Analysis and Risk Assessment (kurz TARA)-Methode ist von der Idee her grundsätzlich hervorragend. Als dediziertes Work Product der ISO/SAE 21434 hat sie sich als unverzichtbares Werkzeug zur Gewährleistung von Cybersicherheit in der Automobilindustrie sowohl auf Seiten der OEMs als auch der Zulieferer etabliert.
Jan-Peter von Hunnius
Mit modernen, zunehmend vernetzten Fahrzeugen mit autonomen Funktionen (u.v.m.) steigt die Komplexität der eingesetzten Systeme und Komponenten und damit auch die potenzielle Bedrohungslandschaft.
Zwar haben sich neben der branchenweiten Hassliebe zu Excel auch einige fortschrittliche Tools zur Bewältigung des TARA-Prozesses am Markt positioniert, dennoch überlagern nach wie vor einige Schwachstellen den TARA-Alltag von Automobilingenieuren und Cybersicherheitsexperten.
Tipp für Einsteiger: Kurzanleitung zur Threat Analysis and Risk Assessment (TARA) und ISO/SAE 21434 als 10-minütiges Lernvideo.
- Learning Advice
- Learning Advice
Diese Herausforderungen sind nicht nur kleine Stolpersteine, sondern stellen oft handfeste Hindernisse für ein effektives Bedrohungsmanagement und eine konsistente Risikobewertung entlang der gesamten Wertschöpfungskette dar.
Nachfolgend ein Blick auf fünf der drängendsten Herausforderungen, denen wir in der Praxis immer wieder begegnen, verbunden mit ersten Ansätzen für mögliche Verbesserungen. Auf geht’s.
Herausforderungen der Cybersicherheits-Zusammenarbeit zwischen Lieferanten und Kunden im Automotive-Ökosystem
Unabhängig davon, dass die Zusammenarbeit zwischen Lieferanten und Kunden in der vielschichtigen Automobilindustrie von einer Vielzahl unterschiedlicher Herausforderungen geprägt ist, wird Cybersicherheit zu einer weiteren kritischen Aufgabenstellung. Dies gilt umso mehr, da die Branche auf immer umfangreichere und komplexere Lieferketten angewiesen ist.
Moderne Fahrzeuge bestehen aus unzähligen Teilsystemen, an denen verschiedene Zulieferer (Tier-1, Tier-2, Tier-x …) beteiligt sind. Jeder dieser Lieferanten hat seine eigenen Sicherheitsanforderungen, etablierte Standards, Kompetenzen, Prozesse und Vorgehensweisen.
In der Theorie würden alle diese Lieferanten einwandfrei miteinander zusammenarbeiten, um die Bewältigung von Cybersicherheitsrisiken sicherzustellen.
Parallel zu den politischen Dimensionen des Informationsaustausches (Stichwort: Intellectual Property) sind es vor allem die TARA-Tools, die dem im Wege stehen und eine reibungslose Zusammenarbeit in diesen vielfältigen Kooperationsmodellen häufig nur unzureichend unterstützen.
Das Fehlen standardisierter, interoperabler Tools führt in der Folge zu fragmentierten Arbeitsabläufen, manuellen Dateneingabefehlern und potenziellen Kommunikationsfehlern, die die Identifizierung und Eindämmung von Cybersicherheitsbedrohungen behindern können.
Ein stärker integrierter Ansatz, bei dem Tools den Datenaustausch und die Kommunikation in der gesamten Automobilzulieferkette besser unterstützen, würde sowohl die Effizienz als auch die Effektivität des Risikobewertungsprozesses verbessern.
Ein Austauschformat wie ReqIF (Requirements Interchange Format) oder eine kollaborative Plattform, die es allen Beteiligten – Automobilherstellern und ihren Zulieferern – ermöglichen würde, am selben Modell zu arbeiten, würde den TARA-Prozess erheblich verbessern.
Attack path analysis verbessern: Wiederverwendung und gemeinsame Nutzung von Angriffspfaden
Eine der größten Herausforderungen bei der Entwicklung der TARA für Automobilsysteme und -komponenten ist die Wiederverwendung von Teilen der Angriffspfade (“attack paths”) innerhalb desselben Modells und dabei leichte Variationen nutzen zu können. Angriffsbäume (“attack trees”) sind unverzichtbar, um potenzielle Angriffspfade zu visualisieren und damit Schwachstellen in der Architektur eines Systems, bzw. Farhzeugs zu identifizieren. Häufig haben verschiedene Schadensszenarien (“damage scenarios”) gemeinsame Schritte oder Abfolgen. Beispielsweise kann ein unbefugtes Erlangen von Zugriff auf das Fahrzeugnetzwerk zu verschiedenen Szenarien führen, die wiederum auf verschiedene Subsysteme abzielen.
Diese gemeinsamen Teile der Angriffspfade können zwar wiederverwendet werden, aber oft nicht genau so, wie sie sind – Die Parameter können je nach Kontext oder Zielsubsystem leicht variieren.
Beispielsweise können für einen Angriff auf das Infotainmentsystem andere Parameter oder Bedingungen erforderlich sein als für einen Angriff auf das Bremssystem, auch wenn die ersten Schritte des Zugriffs ähnlich sind.
Die Herausforderung mit marktüblichen TARA-Tools besteht nun darin, dass die dynamische Wiederverwendung von Angriffspfadkomponenten mit anpassbaren Parametern nicht unterstützt wird.
In der Folge behelfen sich Anwender häufig mit dem einfachen Kopieren dieser gemeinsamen Teile, was zu mehreren statischen Versionen führt, die untereinander nicht mehr synchron sind.
Wird eine Version eines wiederverwendeten Angriffspfads aufgrund neuer Erkenntnisse oder Änderungen im Systemdesign aktualisiert oder modifiziert wird, werden die anderen Kopien unter Umständen nicht automatisch aktualisiert. Inkonsistenzen und erhöhter Wartungsaufwand sind die Konsequenz.
Ein effizienterer Ansatz wäre es, die dynamische Verknüpfung von wiederverwendbaren Angriffspfadteilen zu unterstützen und dabei Parametervariabilität zu ermöglichen. Gleichzeitig wird eine einzige Single Source of Truth geschaffen, die die oben genannten Inkonsistenzen vermeidet.
Dies würde es Anwendern ermöglichen, Parameter nach Bedarf anzupassen, ohne mehrere, möglicherweise widersprüchliche Versionen derselben Angriffspfadkomponente erstellen zu müssen.
Eine solche Funktionalität würde die Konsistenz erhöhen, Redundanzen reduzieren und die Effizienz des Risikobewertungsprozesses in TARAs erheblich verbessern.
Integration der TARA in Automotive-PLM-Lösungen
Im Kontext der Automobilentwicklung besteht eine besondere Problematik mit geläufigen TARA-Tools darin, dass sie nicht in PLM- (Product Lifecycle Management)- Tools, wie Anforderungsmanagement- und Architektur-Tools, integriert werden können.
Die Automobilentwicklung ist in hohem Maße iterativ ausgerichtet und verfolgt kontinuierliche Aktualisierungen der Fahrzeuganforderungen und -architekturen.
Ein effektives Risikomanagement muss idealerweise eng in diese Prozesse integriert sein, um sicherzustellen, dass Cybersicherheitsaspekte während des gesamten Lebenszyklus der Fahrzeugentwicklung berücksichtigt werden.
Viele TARA-Tools arbeiten heutzutage jedoch in Silos. Sie verfügen nicht über die erforderliche Verzahnung mit PLM-Tools und bieten daher keinen umfassenden Überblick über die Entwicklung eines Fahrzeugs und die damit verbundenen Risiken bieten.
Diese systembedingte Trennung und das damit verbundene Arbeiten in Silos kann in der Konsequenz zu (teilweise gravierenden) Diskrepanzen zwischen Sicherheitsbewertungen und technischen Anforderungen, bzw, Konstruktionsänderungen führen. Lücken in Sicherheitsmechanismen können die Folge sein.
Erst durch eine bessere Integration von TARA-Werkzeugen in PLM-Lösungen können Automobilunternehmen einen kohärenten Risikomanagementprozess schaffen, in dem Erkenntnisse aus Risikobewertungen direkt mit Systemanforderungen und Architetkturentscheidungen verknüpft werden.
Umfangreiche TARAs und ihre Herausforderungen der Skalierbarkeit und Benutzerfreundlichkeit
Profis wissen: Eine vollumfängliche TARA, korrekt aufgesetzt und ordnungsgemäß durchgeführt, das ist ein nicht zu unterschätzender Aufwand, insbesondere angesichts der zunehmenden Komplexität und der Ausmaße moderner Fahrzeuge.
Folglich sind Benutzerfreundlichkeit und Skalierbarkeit entscheidende Faktoren für TARA-Lösungen.
Ein typisches Fahrzeug kann heute Dutzende von miteinander verbundenen elektronischen Systemen enthalten, von denen jedes seine eigenen potenziellen Schwachstellen und Bedrohungsvektoren aufweist.
Mit zunehmender Komplexität des Fahrzeugs haben TARA-Lösungen jedoch oft immense Schwierigkeiten, die enormen Datenmengen effizient zu verarbeiten.
Die Folge sind Performanceeinbußen der Anwendung und damit verbundene Schwierigkeiten für den Anwender, sich in der TARA-Struktur zurechtzufinden.
Dies sollte nicht als Bagatelle der Softwarenutzung abgetan werden.
Für Fahrzeugingenieure und Cybersicherheitsexperten kann dies bedeuten, dass sie in Schwierigkeiten geraten, die Gesamtstruktur der TARA zu erfassen oder bestimmte Aspekte innerhalb eines großen Modells zu finden.
Diese mangelnde Benutzerfreundlichkeit wird besonders problematisch, wenn versucht wird, umfassende Risikobewertungen über die gesamte Fahrzeugarchitektur hinweg durchzuführen.
Eine Verbesserung der Skalierbarkeit durch besseres Datenmanagement und Leistungsoptimierung sowie eine Verbesserung der Benutzerfreundlichkeit durch intuitivere Schnittstellen und Visualisierungstools sind daher unabdingbar. Nur so kann die Komplexität großer TARA-Systeme in der Automobilindustrie beherrscht werden.
Attack trees verstehen: Die Navigation und Interpretation komplexer Angriffsbäume verbessern
Die Auseinandersetzung mit Angriffsbäumen (“Attack Trees”) ist innerhalb der TARA von grundlegender Beudeutung für die Visualisierung und Analyse möglicher Angriffe auf ein System.
Angriffsbäume sind ein wesentlicher Bestandteil des TARA-Prozesses, da sie verschiedene Möglichkeiten darstellen, wie ein Angreifer ein Fahrzeugsystem kompromittieren könnte. Mit zunehmender Komplexität der Fahrzeugsysteme werden jedoch auch die entsprechenden Angriffsbäume verästelter und vielschichtiger.
Diese zunehmende Komplexität kann es für Anwender erschweren, sich in diesen Bäumen zurechtzufinden, sie zu interpretieren und für Risikobewertungen effektiv nutzbar zu machen.
Entsprechend kommt TARA-Tools im Automobilkontext diesbezüglich eine besondere Bedeutung zu. Usability, Möglichkeiten der Navigation durch die Angriffsbäume und Informationsdarstellungen sind entscheidend.
Anderenfalls wird es für Anwender schwierig, einen klaren Überblick über den gesamten Baum zu behalten, kritische Knoten zu identifizieren oder die Beziehungen zwischen verschiedenen Angriffspfaden und Systemschwachstellen zu verstehen.
Sauber aufgesetzte Informationsarchitekturen sind unverzichtbar, etwa durch intuitivere Möglichkeiten zur Erkundung großer Angriffsbäume, wie z. B. hierarchische Ansichten, die es dem Anwender ermöglichen, Zweige zu komprimieren und zu erweitern, oder dynamische Filteroptionen, die die Konzentration auf bestimmte Bereiche von Interesse erleichtern.
Auch die Integration automatisierter Analysefunktionen, die die kritischsten Pfade oder Knoten innerhalb des Baums hervorheben, könnte Anwendern helfen, wichtige Bedrohungen und Schwachstellen schnell zu identifizieren.
- Die Zusammenarbeit bei Cyber-Sicherheitsfragen in der Fahrzeugentwicklung zwischen OEMs und Zulieferern wird durch unzureichend interoperable TARA-Tools erschwert, was zu fragmentierten Prozessen, Fehlern und Cyberrisiken führen kann.
- Wiederverwendung von Angriffspfaden: TARA-Tools unterstützen häufig nicht die dynamische Anpassung wiederverwendbarer Angriffspfade, was zu inkonsistenten und schwer evaluierbaren Angriffsszenarien führt.
- Integration in PLM-Systeme: TARA-Lösungen arbeiten häufig in isolierten Silos und sind nicht in PLM-Systeme integriert, was zu Lücken im Cybersicherheitsmanagement und zu Diskrepanzen zwischen Sicherheitsbewertungen und Designentscheidungen führen kann.
- Skalierbarkeit und Benutzerfreundlichkeit: Die zunehmende Komplexität moderner Fahrzeuge überfordert viele TARA-Tools, die nicht ausreichend skalierbar und intuitiv bedienbar sind, was die umfassende Risikobewertung erschwert.
- Navigation in komplexen Angriffsbäumen: Die effektive Nutzung von Angriffsbäumen erfordert Verbesserungen in der Visualisierung und Navigation, um kritische Pfade und Schwachstellen schnell zu identifizieren.
- Key Learnings
Sum Up und Perspektiven
Diese in der Praxis beobachteten Schwachstellen in der Handhabe der TARA in verschiedenen OEM und Tier-N-Organisationen und Entwicklungsprojekten zeigen, dass hier noch Handlungsbedarf besteht.
Weltweit sind führende OEMs und deren Zulieferer auf der Suche nach TARA-Lösungen, die ihren Anforderungen gerecht werden. Gerade diese Auseinandersetzung mit den eigenen Anforderungen ist ein erster wichtiger Schritt.
Gleichzeitig sind hier die Anbieter von Lösungen und Tools hier in der Pflicht hier die Anforderungen der Wertschöpfungskette ernst zu nehmen und entsprechende Abhilfe zu schaffen.
Der Markt dürfte sich hier noch entsprechend weiterentwickeln, ebenso wie die Anforderungen der Cybersicherheit in der Fahrzeugentwicklung.