Gefahren erkennen,
Gefahren bannen

So gelingt dank DEKRA und DEKRA DIGITAL ein ganzheitliches Cyber Security Management: In einer digitalisierten Wirtschaft, in der nahezu alles miteinander vernetzt ist, haben Cyber-Attacken das Potenzial, Abläufe in Unternehmen empfindlich zu stören oder komplett lahmzulegen. Dabei drohen nicht nur große finanzielle Kosten - beispielsweise durch Betriebsunterbrechungen - sondern auch ein Reputationsverlust bei Kunden und Partnern, wenn notwendige Sicherheitsmaßnahmen vernachlässigt wurden. Unternehmen müssen hier ihre Sichtweise ändern. Cyber Security ist kein „one-time-thing“.

Seit Februar 2022 betreut Andy Schweiger als Senior Vice President die DEKRA übergreifendenden Themen Cyber Security und Functional Safety. Zusätzlich obliegt ihm die strategische Weiterentwicklung des DEKRA Cyber Security Hubs, welcher operativ aus der DEKRA DIGITAL betrieben wird. Im Hub bündeln wir DEKRA übergreifend unsere Kompetenzen und Services und entwickeln für und mit unseren Kunden Cyber-Security-Lösungen, die sich auf den Schutz und die Sicherheit der Daten, des Netzwerks, der Produkte sowie der IT-Infrastrukturen und -Prozesse konzentrieren. Im folgenden Interview sprechen wir über die aktuelle Relevanz eines holistischen Sicherheitsansatzes, wie Cyber Security und Cyber Resilienz zusammen

Herr Schweiger, Sie beschäftigen sich seit mehr als 20 Jahren mit dem Thema „Cyber Security“. Was sind derzeit die größten Gefahren durch mangelnde Sicherheitsmaßnahmen im Cyber-Kosmos?

Die allumfassende, ortsunabhängige Konnektivität sowie aufstrebende Technologien, wie AI und Quantum-Computing, machen es unmöglich, hier von großen oder kleinen Gefahren zu sprechen. Ob es das berufliche oder das private Umfeld betrifft, überall lässt sich ein „Blind Spot“ finden, der als Einfallstor für Cyber-Attacken funktionieren kann.

Dennoch lassen sich einige „Gefahren“ branchenübergreifend identifizieren. Eine der größten Bedrohungen geht aktuell von Ransomware aus: Organisierte Verbrecherkartelle verschaffen sich Zugang zu hochrelevanten Daten von Krankenhäusern, Behörden oder Unternehmen, verschlüsseln sie und verlangen Millionensummen für deren Freigabe. Ein weiteres Einfallstor für Cyber-Angriffe ist weiterhin der „Mensch“: leicht zu knackende Passwörter werden immer noch sehr oft genutzt oder ein unachtsamer Klick auf eine Phishing-Mail öffnet häufig Tür und Tor für einen schwerwiegenden Hack.

Die Möglichkeiten sind vielfältig und deswegen betonen wir im DEKRA Cyber Security Hub immer wieder die Relevanz einer ganzheitlichen Sicherheitsstrategie. Besonders für Unternehmen muss klar sein, dass es „egal“ ist, ob sie von Cyber-Kriminellen, Hackern oder böswilligen Insidern angegriffen werden. Die Frage lautet eher: wie können sie damit umgehen, sodass so wenig Schaden wie möglich entsteht?

Welche Rolle spielen internationale Regulierungen und wie können sie einen digitalen Raum ohne Grenzen „kontrollierbarer“ oder „sicherer“ machen?

Regulierungen kommt eine große Bedeutung für Sicherheit bzw. erhöhte Cyber Security zu, aber nur wenn deren Einhaltung auch durch neutrale Prüfinstanzen überwacht werden kann – und bei Verstößen gegen internationale Standards wirksame Sanktionen drohen. Zu lange wurde im Bereich Cyber Security rein auf die Selbstverpflichtung von Technologie-Anbietern gesetzt, gleichzeitig haben deren Lobbyaktivitäten notwendige Regulierungen verwässert.

Dass hier dringender Handlungsbedarf nach staatlicher Regulierung besteht, machen die Schäden, die beispielsweise durch Ransomware verursacht werden, mehr als deutlich. DEKRA und DEKRA DIGITAL leisten hier Pionierarbeit durch die Zusammenführung von Standards und durch zielgerichtetes Design von neuen Prüf- und Auditierungsmaßnahmen.

Sie sind für das Cyber Security Hub zuständig; warum ist das Thema Functional Safety ebenso im Hub integriert?

Nehmen wir zum Beispiel die Automobilindustrie, um das zu verdeutlichen.

Die Leitlinien zur funktionalen Sicherheit von Elektronikkomponenten stammen aus Zeiten, zu denen die Elektroniksysteme in Fahrzeugen noch nicht mit der Außenwelt vernetzt waren, wie sie das heute sind. Ziel war und ist, verlässliche und hochverfügbare Systeme für deren unüberwachten Dauereinsatz zu schaffen. So haben sich im Laufe der Zeit unter dem Begriff „Functional Safety“ eine Reihe standardisierter Methoden und Verfahren entwickelt, die sich in der Praxis bewährt haben.

Durch den zunehmenden Konnektivitätsbedarf und der damit verbundenen Öffnung von ehemals geschlossenen Systemen, entstehen hochgradig vernetzte Systeme, die Schutzmaßnahmen gegen Manipulation durch Dritte bedürfen. Aus diesem Grund ist es sinnvoll, die Aktivitäten zur Einhaltung von Standards und Methoden rund um Functional Safety mit den neuesten Standards und daraus abgeleiteten Erkenntnissen zum Thema Cyber Security zu bündeln.

Zur Erfüllung der Vorgaben für beide Standards müssen alle an der Produktentwicklung beteiligten Parteien einen hohen Prozessreifegrad in ihrer Softwareentwicklung aufweisen. Dadurch kommt bei der Fahrzeugindustrie das Thema ASPICE ins Spiel. ASPICE ist eine Abkürzung und steht für „Automotive Software Process Improvement and Capability Determination“. Hierbei handelt es sich um eine Reifegradbewertung von Softwareentwicklungsprozessen, die inzwischen um Cyber Security relevante Umfänge erweitert wurden. Mit ASPICE kann die Qualität der Softwareentwicklung in der Automobilbranche bewertet, verglichen und verbessert werden. Dabei werden auch Prozesse, welche die Software- Entwicklung beeinflussen, wie zum Beispiel das Zusammenwirken von Software, Hardware und Mechanik in einem mechatronischen System berücksichtigt.

Die Erfüllung der Regelung Nr. 155 der UNECE (United Nations Economic Commission for Europe) bedingt, dass der Automobilhersteller letztendlich die Vorgaben für Cyber Security, Functional Safety, und Softwareentwicklung harmonisieren und bestmöglich ineinander überführen muss, und das nicht nur bei sich im Hause, sondern auch in seiner Zulieferkette.

Durch die Bündelung der drei Fachkompetenzen im Cyber Security Hub hat DEKRA eine hervorragende Voraussetzung, Fahrzeughersteller zu unterstützen, die UN-Regulierung effizient einzuhalten sowie Zulieferer zu befähigen, die entsprechenden internationalen Standards zu den Themen zu erfüllen.