Erstellung eines Prüfkatalogs im Bereich Cybersicherheitsmanagement in der Automobilindustrie

Abstract

Cybersicherheit wird zunehmend als ein wesentliches Thema für automobile Systeme angesehen, insbesondere im Bereich des vernetzten und automatisierten Fahrens. Eine dazu veröffentlichte Regelung, die UN-Regelung Nr. 155, definiert Anforderungen an die Cybersicherheit auf verschiedenen Ebenen in der Automobilindustrie, um eine Typgenehmigung für Straßenfahrzeuge zu erhalten. Auf der organisatorischen Ebene wird ein Cybersicherheitsmanagementsystem (CSMS) gefordert, das den gesamten Lebenszyklus des Fahrzeugs abdeckt. Darüber hinaus müssen für jeden Fahrzeugtyp, für den eine Typgenehmigung beantragt wird, ausreichende Verfahren zur Bewältigung der Cybersicherheits-Anforderungen und ein Risikomanagement nachgewiesen werden. Um mit dieser neuartigen Regelung konform zu gehen, gebe ich einen Überblick über die Anforderungen an die Cybersicherheit bzw. an ein CSMS und stelle diese Anforderungen in Form eines Prüfkatalogs dar. Mithilfe dieses Prüfkatalogs sind alle von den Anforderungen Betroffenen, also OEMs, Zulieferer oder Dienstleister, nun in der Lage, selbst zu überprüfen, ob und wie weit die Anforderungen der UN-Regelung Nr. 155 bereits erfüllt werden. Dazu werden die Inhalte der UN-Regelung Nr. 155 in strukturierter Form aufgearbeitet und auditgerecht geordnet. Ein International Organization for Standardization (ISO)-konformes Bewertungskonzept ermöglicht schlussendlich eine konkrete Einordnung einzelner Anforderungen mithilfe des Erfüllungsgrades. Die betroffenen Organisationen sehen nach Abschluss der Bewertung durch den Prüfkatalog Verbesserungspotentiale in Ihren Prozessen und haben so die Chance, sich auf das verpflichtende Audit vorzubereiten. Um Anforderungen an diesen Prüfkatalog, wie Praxistauglichkeit, Benutzerfreundlichkeit oder Nachvollziehbarkeit der Inhalte zu validieren, wurde die „System Usability Scale“ verwendet. Diese Validierungsmethode wurde von Cybersicherheitsexperten unabhängig voneinander durchgeführt. Um die wissenschaftliche Evidenz der Arbeit und des Prüfkatalogs sicherzustellen, wird die Arbeit nach der „Design Science Research Methode“ aufgebaut. Diese Methode eignet sich sehr gut für die Erstellung des Prüfkatalogs, da sie einen systematischen und wissenschaftlich fundierten Ansatz zur Gestaltung von Modellen bietet. Diese Diplomarbeit mit seinem Prüfkatalog als Ergebnis, ist sowohl für OEMs in der Automobilindustrie, samt Zulieferer und Dienstleister als auch für alle weiteren Organisationen, die sich mit dem Thema Zertifizierung auseinandersetzen, interessant.

Cybersecurity is increasingly seen as an essential issue for automotive systems, especially in the context of connected and autonomous driving. A regulation published on this matter, UN Regulation No. 155, defines cybersecurity requirements at various levels in the automotive industry to obtain type approval for road vehicles. At the organizational level, a cybersecurity management system (CSMS) is required to cover the entire lifecycle of the vehicle. In addition, sufficient procedures to address cybersecurity requirements and risk management must be demonstrated for each vehicle type for which type approval is requested.To be compliant with this new regulation, I will give an overview of the requirements for cybersecurity or a CSMS and present these requirements in the form of a requirements catalog. With the help of this requirements catalog, all those affected by the requirements, i.e. OEMs, suppliers, or service providers, are now able to check for themselves whether and how far the requirements of UN Regulation No. 155 are already being compliant with. For this purpose, the contents of UN Regulation No. 155 are processed in a structured form and arranged in a manner suitable for auditing. An International Organization for Standardization (ISO)-compliant assessment concept ultimately enables a concrete classification of individual requirements with the help of the degree of fulfilment. After completing the assessment by the requirements catalog, the affected organizations see potential for improvement in their processes and thus have the opportunity to prepare for the mandatory audit. The "System Usability Scale" was used to validate requirements of this requirements catalog, such as practicality, usability or comprehensibility of its content. This validation method was performed independently by cybersecurity experts. To ensure the scientific evidence of the work and the requirements catalog, the work is structured according to the "Design Science Research Method". This method is very well suited for the creation of the requirements catalog, as it provides a systematic and scientifically based approach to design models.This thesis with its requirements catalog as a result is interesting for OEMs in the automotive industry, including suppliers and service providers, as well as for all other organizations that deal with the topic of certification.