Geschäftsbericht
2020 - 2021
Im Deutschen sprechen wir von „Sicherheit“. Im Englischen aber gibt es zwei Begriffe: „Safety“ und „Security“. Wie ist in diesem Kontext der Begriff „Safety“ einzuordnen? Ist damit das gleiche gemeint?
TT: Mit „Safety“ wird die Sicherheit gegenüber Bedrohung von „Leib und Leben“ von Menschen oder Bedrohungen für die Umwelt bezeichnet. In vernetzten technischen Systemen bildet der Schutz vor Manipulation („Cyber Security“) die Basis für sichere Systeme („Safety“).
Das Klischee vom „Hacker“ als Mann im Kapuzenhoodie im abgedunkelten Raum kennen wir vor allem aus Hollywood. Dieses Bild geistert aber nach wie vor durchs Internet. Wie sieht denn das Bedrohungspotenzial für Cyber Security wirklich aus?
TT: All unsere Lebensbereiche werden zunehmend digitalisiert und vernetzt. Ob wir ins Büro fahren, einen Sprachassistenten nutzen oder unseren Laptop aufklappen – Datenschnittstellen und die damit einhergehenden Risiken sind omnipräsent.
Die Vernetzung von unterschiedlichen Geräten und Systemen ist komfortabel und bietet viele Vorteile, hat aber das Bedrohungspotenzial durch Manipulationsversuche als Nachteil. Und hier kommen „Hacker“ (lacht) ins Spiel. Zum Beispiel durch einen Angriff, der falsche Tatsachen vortäuscht, eine Datenmanipulation vornimmt oder eine Überlast erzeugt. Man könnte sogar durch Umprogrammieren ein System dazu bringen, etwas anderes zu tun als das, wofür es vorgesehen war.
Nehmen wir zum Beispiel Zahlungsanweisungen: Werden sie über das Smartphone durchgeführt oder durch Internet-Banking im heimischen Netz abgewickelt, können mit Manipulationsangriffen finanzielle Verluste, ein sogenannter „Identitätsdiebstahl“ oder Komforteinbußen herbeigeführt werden. Denken wir noch ein, zwei Kategorien größer: Im Falle von vernetzten Industrieanlagen oder Fahrzeugen haben Manipulationsangriffe direkte Auswirkung auf die „Safety“. Sie können also Menschenleben bedrohen oder eine Umweltschädigung herbeiführen. Szenarien, bei denen ein Hacker ganze Fahrzeugflotten während der Fahrt per Befehl manipulieren und reihenweise Unfälle erzeugen kann, müssen schon im Ansatz sicher verhindert werden.
Sie beschreiben Szenarien, die wir in der Tat nicht erleben wollen. Wie kann man diesem BedrohungspotenZial denn proaktiv begegnen?
TT: Das geht nur in einer gesamtheitlichen Betrachtung. Man muss den Menschen, das „Produkt“, die Technologie und die zugrunde liegenden Prozesse in die Gleichung miteinbeziehen. Konkret: Den Menschen und seine Aufmerksamkeit, den Umgang mit vernetzten Geräten und Systemen, die Kommunikationsinfrastruktur, also das „Netz“, sowie die Geräte in ihrer Auslegung oder Bestimmung.
Zu all diesen Punkten kann DEKRA einen Beitrag zur Cyber Security leisten. Zum Beispiel durch Training, Beratung, Produkt- und Sicherheitstests, Begutachtung der Architektur von technischen Lösungen oder von Prozessen – und das bereits in der Produktentstehungsphase. Aber natürlich auch während der Nutzungszeit des Produkts.
Im letzten Jahr (2020) hat DEKRA seinen „Cyber Security Hub“ etabliert. Was passiert dort und welchen Ansatz verfolgen Sie?
TT: Wie bereits erwähnt, muss man Cyber Security ganzheitlich betrachten – unabhängig von der klassischen Organisation innerhalb von DEKRA. Daher bringen wir im „Cyber Security Hub“ bestehende Kompetenzen von DEKRA auf diesem Fachgebiet zusammen, entwickeln diese weiter und stimmen existierende sowie zukünftige Services aufeinander ab. Das Ganze passiert über unsere Service Divisions und Regionen hinweg - mit DEKRA DIGITAL als koordinierende Einheit.
Cyber Security ist ein schnell wachsender Markt. Wir erkennen zunehmend mehr Bedarf und ständig ergeben sich neue Standards und gesetzliche Regelungen. Es kommt hinzu, dass unterschiedliche Industriebranchen zwar identische Problemstellungen zu diesem Thema haben, jedoch branchenspezifische Normen und Ausführungsvorschriften beachten müssen. Mit dem „Cyber Security Hub“ kann darauf reagiert werden. Kundenanfragen können gesamtheitlich bedient und neue Services flexibel und schnell aufgebaut werden.
Sie sprachen davon, dass sich Standards und Vorschriften von Branche zu Branche unterscheiden. Wie geht DEKRA diese speziellen Fälle an?
TT: Wir haben bereits in unterschiedlichen Industriesektoren unterschiedlich ausgeprägte Cyber Security Services im Portfolio. Im Bereich Produkttests zum Beispiel werden Testverfahren nach unterschiedlichen internationalen Standards für Eisenbahntechnik, Medizintechnik, Kommunikationstechnik oder nach spezifischen Industrievorgaben für IoT durchgeführt.
Natürlich begleitet DEKRA Kunden auch generell beim Thema Cyber Security. Beispielsweise schulen wir Mitarbeiter zu IT-Sicherheit und sensibilisieren sie für die zunehmenden Risiken – digital oder auch mit Trainings vor Ort. Auch das Scannen von Internetseiten hinsichtlich Konfiguration und Initialisierung ist Teil unseres Angebots.
Das klingt so, als wäre die Zukunft der Mobilität nicht mehr ganz so weit entfernt wie angenommen. Gibt es hierzu auch neue Gesetze und was besagen diese?
TT: Ja, es entstehen momentan auch neue Gesetze zum Thema Cyber Security in Autos und anderen Fahrzeugen. Das Harmonisierungsforum der Vereinten Nationen für Fahrzeugregulierungen, besser bekannt als WP.29, hat letztes Jahr zwei neue Regularien veröffentlicht, die die Partnerländer nun kurzfristig in nationale Gesetzgebung umsetzen:
Eine Regulierung zu Cyber Security (R155) und eine zu Software Updates (R156). Sie besagen, dass Fahrzeughersteller ein zertifiziertes Managementsystem sowohl für Cyber Security als auch für Software Updates betreiben müssen. Die Zertifikate müssen regelmäßig erneuert werden. Außerdem müssen die Fahrzeuge Cyber Security- und Upload-fähig sein, denn das wird in der Typprüfung berücksichtigt. Wichtig dabei ist, dass eine Typzulassung nur möglich ist, wenn die Managementsysteme ein gültiges Zertifikat haben.
Und wie sieht es in der Automobilbranche aus? Welche Standards gibt es hier? Das Prüfen von Autos gehört ja zum Kerngeschäft von DEKRA – gilt das auch für Cyber Security?
TT: Als DEKRA helfen wir beteiligten Firmen und Nutzern des Mobilitäts-Ökosystems dabei, dass Fahrzeuge sicher sind - seit nun knapp hundert Jahren. Daran wollen wir bei dieser neuen Art von Bedrohungen für Fahrzeuge anknüpfen – gemäß unserem Auftrag als globaler Partner für eine sichere Welt.
In der Automobilbranche war das Thema Cyber Security bis 2019 wenig gefragt. Das hat sich 2020 allerdings gewaltig verändert - durch den neuen ISO-Standard für Cyber Security „ISO/SAE 21434“. Er bezieht den gesamten Produktentstehungs- und Lebenszyklus eines Fahrzeugs mit all seinen elektronischen Zulieferteilen inklusive Software ein.
Das bedeutet, dass nicht nur die Produkteigenschaften eines Fahrzeugs ausschlaggebend für seine Cyber Security sind, sondern auch alle damit zusammenhängenden Prozesse: Konzeption, Entwicklung, Produktion, Betrieb, Überwachung, Wartung und Reparatur müssen mitbetrachtet werden. Dieser Standard ist bereits in einer Vorversion veröffentlicht und wird dieses Jahr (2021) finalisiert.
Ein weiterer ISO-Standard für Software Updates in der Automobilindustrie („ISO/CD 24089“) wird als vorläufige Version gegen Mitte des Jahres erwartet. Er gilt sowohl für Updates über öffentliche Netze als auch in Werkstätten.
Beide Standards müssen von der gesamten Zulieferkette und natürlich vom Fahrzeughersteller selbst eingehalten werden. Daraus ergibt sich für DEKRA ein neuer und schnell wachsender Markt. Hierfür haben wir im letzten Jahr ein neues internationales Team innerhalb von DEKRA DIGITAL und in den Regionen aufgebaut und Services sowie Tools erarbeitet – darunter Trainingsmodule zum neuen Standard, die Bewertung von technischen Lösungen, Prozessanalysen und erste Probe-Assessments.
Und wo kommt hier DEKRA DIGITAL ins Spiel?
TT: Alles rund um WP.29 stellt nicht nur Fahrzeughersteller, sondern die gesamte Zulieferkette vor große Herausforderungen. Denn die Gesetze gelten für Neufahrzeuge ab Mitte 2022 und für alle Fahrzeuge in Produktion ab Mitte 2024. Auch in diesem Kontext hat DEKRA DIGITAL hier erste Services entwickelt, um als technischer Service diese Aufgaben der Zertifizierung und Typprüfung zu übernehmen. Wir arbeiten bereits mit unseren neuen Services sowohl mit Zulieferfirmen als auch mit Fahrzeugherstellern zusammen. Durch die frühe Pilotierung in Kundenprojekten können wir unsere Erfahrung ausweiten, die Services schärfen und unseren „Werkzeugkasten“ dafür ausbauen.
über thomas thurner
Über 30 Jahre Erfahrung aus der Automobilbranche, vor allem in den Bereichen Fahrzeugelektronik- und Software-Architektur, bringt Thomas Thurner mit, als er sich 2019 DEKRA anschließt. Bei DEKRA DIGITAL ist er als Leiter des „Cyber Security Hub“ für die Koordination des Themas Informationssicherheit über alle Einheiten von DEKRA hinweg zuständig.
