Cyber Security Plan: Erklärung anhand der ISO 21434

Sie fragen sich, wie man einen Cyber Security Plan erstellt, worauf dabei zu achten ist, oder suchen praxisnahe Tipps? Dann sind Sie hier genau richtig. In diesem Blogartikel beantworten wir Ihre Fragen und unterstützen Sie dabei, den Cyber Security Plan zu verstehen und erfolgreich in Ihrem Unternehmen oder Ihrer Abteilung umzusetzen.

Hinweis: Obwohl der Schwerpunkt hier auf der ISO/SAE 21434 liegt, lässt sich der Planungsansatz auch auf andere Prozesse anwenden, die beispielsweise NIS-2 oder CRA-konform sind.

Was ist die ISO/SAE 21434?

Für alle, die mit der ISO/SAE 21434, auch als ISO 21434 bekannt, noch nicht vertraut sind, hier eine kurze Erklärung:

Die Norm ISO/SAE 21434, auch bekannt als „Road Vehicles – Cybersecurity Engineering“, ist eine internationale Norm, die von der International Organization for Standardization (ISO) und der Society of Automotive Engineers (SAE) entwickelt wurde. Ab Juli 2024 ist sie ein verbindlicher Rahmen für das Cybersicherheitsmanagement in der Automobilindustrie. Diese Norm enthält umfassende Anforderungen für die Konzeption und Entwicklung sicherer Straßenfahrzeuge und Systeme, wobei der Schwerpunkt auf dem Schutz vor Cyber-Bedrohungen liegt.

Wenn Sie mehr über die ISO 21434 erfahren möchten, empfehlen wir Ihnen unseren ausführlichen Artikel dazu.

Inwiefern betrifft der Cyber Security Plan die ISO 21434?

Der Cyber Security Plan bezieht sich konkret auf Abschnitt 6 der ISO 21434, der das Cyber Security Management von Projekten behandelt. Wie in der Grafik ersichtlich, fokussiert sich insbesondere Abschnitt 6.4.2 auf das sogenannte “Cybersecurity Planning”. Genau hier setzen wir an: Wir erklären, wie die Anforderungen der Norm erfüllt werden können und wie eine praxisnahe, effiziente Planung erfolgt, um den Sicherheitsanforderungen gerecht zu werden.

Was ist ein Cyber Security Plan?

Gemäß der ISO 21434 müssen bestimmte Anforderungen erfüllt werden. Es ist wichtig zu betonen, dass die nachfolgenden Punkte auf unserer eigenen Interpretation basieren und nicht direkt aus der Norm übernommen wurden:

Das Produkt muss daraufhin geprüft werden, ob es für die Cyber Security relevant ist und welche Maßnahmen erforderlich sind, um seine Sicherheit zu gewährleisten.
Der Cyber Security Plan muss Informationen zu folgenden Punkten enthalten:
- Ziel jeder Aktivität
- Abhängigkeiten zwischen den Aktivitäten
- Zuordnung der Verantwortlichkeiten
- Start- und Endzeitpunkt jeder Aktivität
Ein Cyber Security Management System (CSMS) gemäß ISO 21434 muss vorhanden sein, das als Leitfaden dient und das Vorgehen festlegt.
Der Cyber Security Plan kann entweder als separates Planungsdokument existieren, das auf den Entwicklungsprojektplan verweist, oder direkt in diesen integriert werden.
Er muss regelmäßig bei Bedarf aktualisiert werden, etwa bei jedem Release oder Change Request.
Werden Aufgaben an Kunden oder Zulieferer delegiert, müssen auch diese einen Cyber Security Plan vorweisen.
Der Plan muss als wesentliches Dokument behandelt, versioniert und regelmäßig gepflegt werden.

Bei näherer Betrachtung der Anforderungen an den Cyber Security Plan zeigt sich, dass es sich um eine klassische Planungsaufgabe handelt. Worin besteht also die Besonderheit des CS Plans in Bezug auf die ISO 21434? Wie bereits erwähnt, kann anstelle eines CSMS nach ISO 21434 auch ein anderer konformer Prozess verwendet werden.

Warum ist ein Cyber Security Plan wichtig?

Bei der Entwicklung sicherer Produkte ist eine projektspezifische Planung ein wesentlicher Bestandteil der Cyber Security. Auch wenn bereits ein Security-Prozess vorhanden ist, führt das Fehlen einer klaren Planung unweigerlich zu Chaos im Projekt. Ohne eine klare Zuweisung von Aufgaben und Verantwortlichkeiten wissen die Beteiligten nicht, wer welche Aufgabe zu welchem Zeitpunkt erledigen muss. Dies ist vergleichbar mit dem allgemeinen Projektmanagement: Wenn die Koordination fehlt und jeder nur nach Prozessvorgaben ohne Aufsicht arbeitet, entstehen unklare Strukturen, und wichtige Deadlines können nicht eingehalten werden.

Kurz gesagt: Ein (Cyber) Security Plan ist unerlässlich, um Ihren Security-Prozess effektiv anzuwenden.

Wie sieht ein Cyber Security Plan aus?

Die Antwort darauf lautet: Es hängt von Ihrem (Cyber) Security-Prozess ab.

Jeder Security-Prozess weist eine individuelle Struktur, unterschiedliche Schritte und spezifische Arbeitsprodukte auf. Entscheidend ist, dass dieser Prozess in einen Plan umgesetzt wird, der die zuvor genannten Anforderungen erfüllt.

Hier ist ein kurzes fiktives Beispiel:

Aktivität	Abhängigkeiten	Verantwortlicher	Start	Ende	Aufwand
Assets identifizieren	-	Alice	12.12.2024	20.12.2024	20h
Risiken identifizieren	1	Bob	02.01.2025	20.01.2025	30h
Maßnahmen spezifizieren	2	Carl	01.02.2025	25.02.2025	100h

In diesem Beispiel wird angenommen, dass der verwendete Security-Prozess die Schritte in der Tabelle in Form von Abhängigkeiten darstellt. Zunächst sollen die Assets identifiziert werden, gefolgt von der Risikoanalyse auf Basis dieser Assets, und schließlich erfolgt die Spezifikation der Maßnahmen. Der Plan zeigt klar auf, zu welchem Zeitpunkt jede Aufgabe erledigt werden muss, wer dafür verantwortlich ist, bis wann die Aufgabe abgeschlossen sein sollte und wie viel Zeit der Verantwortliche dafür benötigt. Diese Informationen sind essenziell für eine effektive Projektsteuerung.

Es ist jedoch möglich, dass die Assets, Risiken und Maßnahmen aus einem anderen Projekt übernommen werden, wenn sich das Produkt kaum oder gar nicht unterscheidet—was allerdings selten der Fall ist. In diesem Fall würden die drei Aufgaben entfallen. Stattdessen müsste eine neue Aufgabe formuliert werden, beispielsweise „Überprüfung der übernommenen Cyber Security-Dokumente“.

Damit hätten wir den Kern der Anforderungen der ISO 21434 erfüllt.

Hybride oder eigene Planung - Das ist hier die Frage

In der Regel müssen mehrere Projekte gleichzeitig betreut werden, was die Zeit, die für ein einzelnes Projekt aufgebracht werden kann, erheblich verringert. In solchen Fällen ist eine hybride, integrierte Herangehensweise empfehlenswert. „Hybrid“ bedeutet, dass der Sicherheitsverantwortliche eine spezifische initiale Planung für das Projekt erstellt und diese in Zusammenarbeit mit dem Projektmanager in den übergreifenden Projektplan integriert. Auf diese Weise sind alle relevanten Deadlines und überlappenden Aufgaben erfasst, was dem Projektmanager ermöglicht, die Steuerung der Projekte, einschließlich der Sicherheitsaufgaben, effektiver zu gestalten.

Wer sollte planen und wer koordinieren?

Wie bereits erwähnt, sollte die initiale Planung vom Sicherheitsverantwortlichen erstellt werden, da dieser am besten darüber informiert ist, welche Aufgaben zu erledigen sind.

Diese Planung sollte in enger Zusammenarbeit mit dem (technischen) Projektleiter in die zentrale Projektplanung integriert werden, um eine möglichst effiziente Arbeitsweise zu gewährleisten.

Betreut der Sicherheitsverantwortliche mehrere Projekte, ist es effektiver, wenn die Koordination durch den (technischen) Projektleiter erfolgt. Andernfalls besteht das Risiko, dass Deadlines nicht eingehalten werden. Zudem fungiert der Projektleiter als koordinierende Instanz und ist in der Lage, Aufgaben entsprechend zu priorisieren und zu entscheiden, wann welche Maßnahmen ergriffen werden sollen. Im Vergleich dazu hat ein Sicherheitsverantwortlicher, der sich ausschließlich mit der Einhaltung von Prozessen befasst, nicht dieselbe Autorität wie ein Projektmanager.

Fazit

Ein effektiver Cyber Security Plan ist unerlässlich für die erfolgreiche Umsetzung von Sicherheitsprozessen in Projekten, insbesondere in der Automobilindustrie gemäß der ISO 21434. Die projektspezifische Planung spielt eine zentrale Rolle, um Klarheit über Aufgaben, Verantwortlichkeiten und Zeitrahmen zu schaffen. Eine hybride Herangehensweise, bei der der Sicherheitsverantwortliche die initiale Planung erstellt und diese gemeinsam mit dem (technischen) Projektleiter in die zentrale Projektplanung integriert, fördert eine effiziente Arbeitsweise.

Die Koordination durch den Projektleiter ist besonders wichtig, wenn mehrere Projekte gleichzeitig betreut werden, um die Einhaltung von Deadlines zu gewährleisten und die Priorisierung von Aufgaben zu optimieren. Während der Sicherheitsverantwortliche die Prozesseinhaltung überwacht, hat der Projektleiter die Autorität, strategische Entscheidungen zu treffen und die notwendigen Schritte zur Umsetzung der Sicherheitsanforderungen zu lenken.

Insgesamt ist eine gut strukturierte Planung und enge Zusammenarbeit zwischen den beteiligten Akteuren entscheidend, um die Anforderungen an die Cyber Security zu erfüllen und die Sicherheit der Produkte nachhaltig zu gewährleisten.