Hi, vertikale TARA-Integration! Warum wir Cyber-Risikoanalysen über Systemgrenzen hinweg verschachteln müssen

Jetzt kommt das Problem: Fragmentierte TARAs in komplexen Systemen

Nun bietet dies bereits ausreichend Möglichkeiten, um mit einem einheitlichen Verständnis der potenziellen Cyberrisiken und deren Folgen (besonders in komplexen Fahrzeugentwicklungsprojekten) eine saubere Cyberrisiko-Bewertungsarbeit vornehmen zu können?

Nein.

Das Problem sind die voneinander isolierten Analysen.

Das sieht dann etwa so aus:

• Zulieferer A erstellt für sein Kamera-System eine TARA,
• Zulieferer B erstellt für sein Radar-System eine TARA,
• der OEM erstellt für sein ADAS-System oder gleich auf Fahrzeug-Ebene eine eigene TARA.

Dabei bleiben Risiken auf Ebene der Subsysteme „unten“ gefangen; Für System-TARAs sind die Subsysteme eine Black-Box. Es gilt Annahmen zu treffen, Multimodalitäten, Redundanzen (u.a.) sind nicht ganzheitlich bewertbar.

Konkret gesagt: Sowohl die Ursachen für ein Risiko und die Folgen, wie es sich auf verbundene Systeme oder Komponenten auswirkt, sind nicht transparent bzw. verständlich dokumentiert.

So entsteht eine besondere Schwierigkeit, den genauen Ursprung und die Auswirkungen von Risiken zu erkennen – eine gesamtheitlich konsistente Risikobewertung wird letztendlich strukturell behindert.

Wir sprechen in diesem Zusammenhang von intransparenter Risiko-Propagation, also der erschwerten Nachvollziehbarkeit, was letztendlich die korrekte Bestimmung von Risikowerten (bezogen auf Wirkung und Durchführbarkeit) beeinträchtigt.

Einführung einer neuen Cyber-Risiko-Arbeitsrealität: Vertikale TARA-Integration

Ein Lösungsansatz, der seit Jahren in der Branche methodisch diskutiert, aber bis dato in der Praxis (noch) nicht tool- und prozess-gestützt realisiert ist: die vertikale Verschachtelung der TARA. Also ein Ansatz, um Subsystem-Analysen systematisch in übergeordnete System-TARAs einzubetten. Ohne dabei alles stets doppelt bewerten zu müssen.

Die Idee dahinter: Den Detaillierungsgrad (und die damit verbundenen Ressourcenaufwände) bewusst zu reduzieren, ohne aber Informationen zu verlieren, die für Entscheidungen auf der Systemebene relevant sind.

Wie funktioniert eine Vertikale TARA-Integration?

Als vertikale TARA-Integration wird hier die Integration von TARA-Analysen bezeichnet, die einen durchgängigen Arbeitsfluss über mehrere Ebenen einer Systemhierarchie festlegt.

Beispielsweise: Komponente → Subsystem → Fahrzeug → Flotte/Backend.

Ziel ist es, dass je Ebene die TARA mit klaren Arbeitsergebnissen und Informationsweitergaben organisiert wird, sodass Schäden, Wahrscheinlichkeiten und Mitigations kohärent weitergereicht, konsolidiert und zurückgespielt werden.

Kurz eingeschoben: Bis heute verwenden weder die UN R155 noch die ISO/SAE 21434:2021 die Begrifflichkeit als technischen Fachbegriff – gleichzeitig fordern sie aber genau die lebenszyklische und arbeitsteilige Risikosteuerung, die eine solche Integration, bzw. Verschachtelung erforderlich machen.

Voraussetzung für eine vertikale Integration ist zunächst eine hierarchische Ebene, die den Ausgangspunkt für die Verschachtelung bildet. Einfach gedacht sowas wie:

• Subsysteme (z.B. LiDAR, Radar, Kamera)
• Systeme (z.B. ADAS-Funktionen)
• Gesamtfahrzeug

Kernidee der vertikalen TARA: Damage-Szenarien als Daten-Übergabepunkt

Bei der vertikalen TARA-Integration soll ein diszipliniertes Weiterreichen von Risikoerkenntnissen von der Komponentenebene bis ins Gesamtsystem realisiert werden – mit einem klaren Datenübergabepunkt: dem oben aufgezeigten Damage-Szenario.

So soll die fachliche Tiefe der Analysearbeit dort bleiben, wo sie hingehört (im Subsystem), während die Systemebene mit konsolidierten, vergleichbaren Bausteinen arbeitet.

Konkret heißt das:

1. Ein Subsystem führt eine eigene TARA durch: Es identifiziert Werte, Angriffsoberflächen und modelliert Threat-Szenarien; aus diesen leitet es Damage-Szenarien mit Impact- und Feasibility-Bewertungen ab.
2. Für jedes Damage-Szenario werden alle zugehörigen Angriffspfade intern aggregiert: Mehrere Pfade, die denselben schadhaften Zustand erzeugen, werden zusammengefasst; pfadspezifische Details bleiben intern, wesentliche Kontextmetadaten (z. B. nötige Privilegien, Annahmen) werden wiederum mitgeführt.
3. Nur die Damage-Szenarien werden nach oben weitergegeben: Damit wird IP geschont, gleichzeitig erhält die nächsthöhere Ebene genau die Informationen, die für Priorisierung und Behandlung relevant sind – inklusive konsistenter IDs und Versionen.
4. Das übergeordnete System nutzt diese Damage-Szenarien als Angriffsschritte, ohne die Subsystem-Details kennen zu müssen: Die System-/Fahrzeugebene bindet die gelieferten DS in eigene Risikopfade ein, mappt Feasibility auf die interne Skala und bewertet die Wirkung dort, wo sie entsteht (Fahrzeug, Flotte, Betrieb).

Diese Vorgehensweise reduziert Komplexität und erhöht gleichzeitig die erforderliche Konsistenz – und schafft nebenbei die dringend erforderliche bessere Nachvollziehbarkeit über Ebenen und Organisationsgrenzen hinweg sowie schnellere, weniger personenabhängige Entscheidungen.

Wie funktioniert die vertikale TARA? Ein Beispiel

Stellen wir uns ein reales Zusammenspiel vor: Ein LiDAR-Subsystem liefert Entfernungsinformationen an ein ADAS (Advanced Driver Assistance System). Damage-Szenarien sind hier der ideale Verknüpfungspunkt, weil sie den Ergebniszustand eines kompromittierten Subsystems beschreiben – unabhängig davon, wie der Angreifer dorthin gelangt ist.

Wir machen uns nochmal klar: Für das ADAS-System (bzw. die involvierte Security-Risiko-Analyse-Abteilung) gilt es, die hier gegebenen Risiken und die im eigenen System ggf. erforderlichen Schutzmechanismen zu bewerten – nicht aber, sich zwangsläufig mit Angriffspfaden bei den zugelieferten Subsystemen im Detail zu beschäftigen.

Also betrachten wir das Zusammenspiel mit einem genauen Blick auf die typischen Zustände des LiDAR-Subsystems → ADAS.

In seiner eigenen TARA verdichtet das LiDAR-Team seine Ergebnisse zu drei klaren Damage-Szenarien, jeweils mit Impact- und Feasibility-Bewertung:

• DS1: Ausfall (keine Distanzwerte)
• DS2: Falsche Distanzwerte (systematisch verfälscht)
• DS3: Verrauschte Daten (stark schwankende Qualität)

Zu jedem solchen Zustand existieren intern auf Seiten des LiDAR-Teams gegebenenfalls mehrere Angriffspfade (z. B. Firmware-Manipulation, Schnittstellenmissbrauch, Timing-Störungen). Diese Pfade werden für die Analyse im ADAS-System pro Damage-Szenario zusammengeführt, sodass die Systemebene nur das Wesentliche sieht:

• Was kann passieren? (beschriebener Schaden/Zustand)
• Wie wahrscheinlich ist dieser Zustand? (eine aggregierte Feasibility, also ein zusammengefasster Durchführbarkeitswert, der alle bekannten Pfade berücksichtigt)

Wichtig: Die zugehörigen Angriffspfade sind sachlogisch im Ergebnis ja bereits in der Feasibility des jeweiligen DS enthalten. Das Subsystem wahrt also seine Detail-IP, liefert aber kontextrelevante Metadaten mit (z. B. nötige Privilegien, betroffene Softwarestände, Annahmen), damit die Systemebene die Bewertung wiederum korrekt einordnen kann. (Hier sollte sich im Zweifel granular definieren lassen, welche „Meta-Informationen“ parallel zum DS mitgegeben werden sollen.)

Wie nutzt nun das System (ADAS) die Damage Scenarios?

Dem hier vorgestellten Ansatz der vertikalen TARA-Integration folgend, importiert das ADAS nun nur die Damage-Szenarien, nicht die im Subsystem intern modellierten Angriffspfade. So wird aus dem ursprünglichen Damage Scenario innerhalb der TARA des übergeordneten Systems ein Attack Step (nicht zu verwechseln mit einem Attack Path), also ein möglicher Angriff. Diese Vorgehensweise folgt letztlich der einfachen Logik, dass man sich auf der höheren Ebene in der Regel für den Impact und nicht dafür, wie man dorthin gelangt, interessiert.

Das bedeutet: Aus den erhaltenen Damage-Szenarien werden Systemangriffe bzw. Risiko-Ketten aufgebaut – ohne die Subsystem-Details im Detail kennen zu müssen. Im Beispiel wären das dann:

• Fehlende Kollisionswarnung (nutzt DS1 „Ausfall“) – wenn keine LiDAR-Werte ankommen, kann die Warnlogik ausfallen oder zu spät reagieren.
• Fehlklassifizierte Objekte (nutzt DS2 „Falsche Distanzwerte“) – wenn Distanzen systematisch zu klein/groß erscheinen, kippt die Objektfusion; Folge können Fehlbremsungen oder verpasste Bremsungen sein.

Wichtig darüber hinaus: Das Subsystem kann auf der eigenen Ebene munter Feasibilities definieren. Die vom LiDAR gelieferten, bereits aggregierten Feasibility-Werte werden auf die hausinterne Systemskala übertragen und im Kontext der Systemarchitektur sowie vorhandener Kontrollen interpretiert; sie werden nicht pauschal übernommen oder über Subsysteme addiert, sondern gezielt für die jeweiligen eigenen Risiko-Ketten herangezogen.

Die Impact-Bewertung erfolgt ganz bewusst nur auf System-/Flottenebene, weil erst dort ja die tatsächliche Wirkung entsteht (Fahrzustand, Geschwindigkeit, Verkehrsdichte oder Einsatzhäufigkeit im Feld bestimmen letztendlich, inwiefern derselbe Impact welche tatsächliche Beeinträchtigung darstellt.)

Dieses Vorgehen hält die Risikorechnung konsistent, vermeidet die erwähnte intransparente Risiko-Propagation (gleiche DS-ID unten wie oben) und ermöglicht, aus der System-Perspektive präzise Anforderungen und Controls abzuleiten, die gezielt an das LiDAR und angrenzende Funktionen zurückgespielt werden können.

Mehrwerte für die übergeordnete TARA durch vertikale TARA-Integration

Die hier vorgestellte Methodik der vertikalen Integration von TARAs ist überhaupt kein Hexenwerk, ja nicht mal eine Neuerfindung oder Weiterentwicklung der TARA.

Vielmehr stellt die vertikale TARA-Integration eine einfache, aber durchdachte Möglichkeit dar, bestehende Analysen effizient miteinander zu verbinden. Durch die gezeigte Weitergabe von Damage-Szenarien, die im übergeordneten System als Angriffsschritt weiterverwendet werden, bleiben Details dort, wo sie hingehören (beim Lieferanten/Subsystem), während erarbeitete Risiken nachvollziehbar über Grenzen „wandern“, weil derselbe Zustand (DS-ID) unten und oben identisch bleibt.

Ganz konkret ergeben sich durch die konsistente Anwendung des Prinzips der vertikalen TARA-Integration konkrete, messbare Mehrwerte:

• Skalierbarkeit & Variantenfähigkeit: Bestehende DS lassen sich wiederverwenden; Varianten fügen nur spezifische DS hinzu. Basisergebnisse bleiben stabil, Aufwand und Review-Schleifen schrumpfen, Releases werden planbarer.
• Bessere OEM–Zulieferer-Kollaboration bei IP-Schutz: Die Systemebene erhält die risikorelevanten Informationen (Impact, Feasibility, Gültigkeitsbereich), ohne dass interne Angriffsgraphen offengelegt werden. Das reduziert Reibung, beschleunigt Abstimmungen und stärkt Vertrauen.
• Entscheidungsfähigkeit & Priorisierung: DS sind kommunikativ: Ein „DS: unbegründete Notbremsung“ ist für Management und Technik gleichermaßen greifbar. Priorisierung über Domänen hinweg wird möglich, Budgetentscheidungen werden belastbarer – und schneller.
• Traceability über Ebenen und Lebenszyklus: Vom Systemrisiko zur Subsystem-Anforderung und zurück zur Wirksamkeits-Evidenz im Feld: Die Kette bleibt geschlossen. Audits adressieren damit nicht nur Dokumente, sondern nachweisbare Zusammenhänge.
• Schnelligkeit & Effizienz in der Umsetzung: Änderungen fokussieren auf Deltas. Neue Supplier-Releases oder Patches werden auf betroffene DS gemappt; Re-Bewertungen bleiben zielgenau statt flächig – ein fundamentaler Mehrwert auch bei neu aufgedeckten Schwachstellen mit Blick auf die Zusammenarbeiten der Cybersicherheit entlang des gesamten Produkt-Lebenszyklus.
• Unabhängigkeit von manuellen Doings und „manueller Willkür“: Die DS-Schnittstelle erzwingt ein Minimum an Metadaten (Vorbedingungen, Privilegien, Annahmen) und erlaubt wohldefinierte Mappings auf die Systemskala. Entscheidungen werden damit weniger team- oder personenabhängig.
• Audit-/Compliance-Fitness: DS lassen sich direkt mit betrieblichen Security Controls (z. B. OTA-Gates, Monitoring) verknüpfen. So entstehen prüfbare Nachweise für CSMS-Pflichten – nicht nur nichtssagende Prosa in der Analysearbeit.
• Methodische Anschlussfähigkeit an System-Modelle: Gleiche Zustände können an verschiedenen Stellen des Architektur- und Funktionsmodells verankert werden – ohne Modellhoheit aufzulösen. Das stärkt Konsistenz innerhalb von MBSE/Architekturarbeit.

Zusätzlich gewinnt die TARA auf Systemebene durch die vertikale Verzahnung operative Schärfe:

• Priorisierung dort, wo es zählt: Beispielsweise ein ADAS kann Systemangriffe sachlogisch intelligenter gegeneinander abwägen – etwa höhere Schwere bei „Fehlende Kollisionswarnung“ versus höhere Feasibility bei „Fehlklassifizierte Objekte“.
• Mehr Klarheit für die Ableitung von Maßnahmen: Aus der Systemanalyse fallen möglicherweise einfacher und besser argumentierbar gezielte Anforderungen an das Subsystem zurück, z. B.: Plausibilitätsprüfungen (Cross-Checks mit Kamera/Radar), Selbstdiagnosen (Detektion von Ausfall/Verrauschung im Feld) oder robuste Update-Kontrollen (um Pfade zu erschweren, die falsche Distanzwerte begünstigen).
• Handlungsfähigkeit erhöhen für die fortlaufende Cybersicherheit im Lebenszyklus: Im Fall von Incidents ermöglicht sich das Rescoring der DS in fortlaufenden Lebenszyklusphasen, bzw. auch im Betrieb; neue DS-Versionen propagieren zurück ins Modell und triggern – falls nötig – zusätzliche Controls. Die TARA bleibt endlich tatsächlich „lebendig“ statt statisch.

Vertikale TARA-Integration: Ausblick und Tool-Unterstützung

Unterm Strich entsteht durch die strukturierte Verschachtelung von TARA-Analysen ein abstrahierter, aber technisch valider Baukasten: Subsysteme liefern DS als einheitliche Sprache der Risiken, die Systemebene ordnet Wirkung und Priorität dort zu, wo sie entstehen (Fahrzeug, Flotte, Betrieb).

Komplexität sinkt, Konsistenz steigt, Entscheidungen können schneller und nachhaltiger getroffen werden – ohne die erforderliche technische Tiefe zu verlieren.

Genau diese Anschlussfähigkeit macht arbeitsteilige, variantenreiche Systeme und komplexe Architekturen aus Perspektive der Cyberrisiko-Analyse steuerbar und befähigt die übergeordnete TARA, ihren eigentlichen Zweck zu erfüllen: Risiken systemweit vergleichbar zu machen, zielgerichtet zu behandeln und im Lebenszyklus nachweisbar zu steuern.

Und gleichzeitig erhöht sie fundamental die Klarheit in komplexen Systemen und strukturiert die Zusammenarbeit zwischen Zulieferern und OEMs – eben ohne zusätzliche Komplexität zu erzeugen, da sie im bekannten Rahmen der Methodik bleibt.