Prozesse und Produkte sicherheitstechnisch überprüfen und zertifizieren
Als erste Schweizer Zertifizierungsstelle für funktionale Sicherheit und Cyber-Security leistet das SNV-Mitglied CertX einen wichtigen Beitrag zur Zuverlässigkeit von Produkten und Prozessen. Normen unterschiedlichster Art stellen dabei das Fundament für ihre Arbeit und die Zertifizierung bei ihren Kunden.
Cybersecurity betrifft nicht nur den Hackerangriff auf das E-Mail-System, die Firmenserver oder die Kundendatenbank. Sprichwörtlich alles, was vernetzt ist, kann gehackt werden: von medizinischen Geräten bis zum Stromnetz, von der heimischen Alarmanlage bis zum Gasnetz. Man spricht in diesen Fällen von «Operationeller Cybersecurity». Ist beispielsweise ein Auto nach 2017 angeschafft worden, hat es serienmässig eine SIM-Karte eingebaut, die im Notfall einen automatischen Emergency Call starten würde. Ein kleines Feature, dass das Auto mit anderen Systemen vernetzt und somit für Hacker attraktiv macht. So haben es beispielsweise Hacker 2015 geschafft, einen Chrysler Cherokee fremd zu steuern: Das alles ohne Kabel, aus grosser Entfernung und mit einem Laptop. Der Fahrer hatte keine Kontrolle mehr über Motor, Lenkung und Bremse. Sammelklagen, Gerichtsverhandlungen, Software-Anpassungen und eine Rückrufaktion von 1,4 Mio. Chrysler Jeeps waren die Folgen.
Ein jüngeres Beispiel ist der Hackerangriff auf die grösste Benzin-Pipeline in den USA, wo Colonial Pipeline den Hackern letztendlich Millionen bezahlte – in US-Dollars und Bitcoins – um wieder Kontrolle über die Benzinversorgung zu erhalten. Um solche Sicherheitslücken wo immer möglich zu vermeiden, werden Prozesse und Produkte sicherheitstechnisch überprüft und zertifiziert. «Es lohnt sich, eine Zertifizierungsstelle bereits frühzeitig in der Entwicklung eines Produktes oder einer Dienstleistung miteinzubeziehen, da der Entwicklungsprozess ein wesentliches Element einer Zertifizierung und im Nachhinein nicht mehr zu korrigieren ist», erläutert Jens Henkner, Geschäftsführer von CertX.
Hacken mit ehrenswerten Absichten?
Um es Hackern mit düsteren Absichten so schwierig wie möglich zu machen, müssen Hersteller, industrielle Anwender sowie Endverbraucher sich der Sicherheitslücken bewusst sein und Vorsichtsmassnahmen strikte einhalten. Angriffe wie bei Chrysler werden von Hackern bewusst unternommen, um Firmen auf eminente Sicherheitslücken hinzuweisen. Auch Mitarbeitende der CertX beteiligen sich in der Freizeit am sogenannten «Ethical Hacking», damit Verbrauchern und Firmen grösseren Schaden erspart werden kann. Jens Henkner unterstreicht: «Nur wenn alle, von der Entwicklung bis hin zum Anwender vernetzte Geräte korrekt entwickeln und handhaben, ist die grösstmögliche Sicherheit gewährleistet. Damit sichere Produkte aus der Fabrik auch sicher bleiben, benötigt man Cybersecurity. Leider verfolgen viele Akteure noch das Floriani-Prinzip – nämlich die Gefahrenlage nicht zu lösen, sondern erstmal abzuwarten was passiert».
Sind Fehler Lehrmeister oder Tolggen im Reinheft?
«In der Luftfahrt ist man sich seit langem gewohnt, Fehler zu teilen und daraus gemeinsam zu lernen», so Henkner. Die meisten Branchen seien noch weit davon entfernt, diese Kultur vorbehaltlos zu leben. Öffentliche Diskussionen über Fehler wie bei Boeing könne man sich beispielsweise in der Autoindustrie nur schwer vorstellen. Doch langsam ändere sich auch hier die Einstellung zur Fehlerkultur. Henkner ist überzeugt, dass Normen in diesem Bereich eine tragende Rolle spielen können: «Normen sind in Schrift gegossene Erfahrung, als Ingenieur sehe ich als unsinnig an, das Rad zweimal zu erfinden». Diesem Grundsatz folgt auch CertX, die sich als Partner und nicht als beamtenhafte Kontrollstelle siehe. Dazu Henkner: «Wir sind der Co-Pilot. Wir lesen die Checkliste und stellen die richtigen Fragen, so dass die Kunden eigenständig leicht die richtigen Lösungen finden.»
Fahre ich mein Auto noch oder werde ich gefahren?
Der klassische Verbrennungsmotor ist nicht mehr der einzige Dominator auf den Strassen. Elektrische Autos bereichern das Strassenbild immer mehr. Schlagworte wie «autonomes Fahren» heizen die Diskussion um sicheres Fahren an. Glaubt man den Visionären, wird sich der Strassenverkehr in den nächsten Jahren grundlegend verändern. Fakt ist, dass sich der Automobilindustrie heute ganz andere Herausforderungen stellen als noch vor einigen Jahren. Mechanische oder elektrische Autos zu bauen sind zwei komplett unterschiedliche Disziplinen. Wenn zum Beispiel die Kupplung im Auto und somit die manuelle Kontrolle den Vortrieb zu unterbrechen plötzlich wegfällt, stellen sich ganz neue Prüfungen in den Weg der Hersteller, die funktional sichere Steuerungen erfordern. Neue Puzzlesteine wie Ladestationen oder leistungsintensivere Batterien erscheinen auf dem Radar. Heute kommen beispielsweise noch mehr Elektrofahrzeuge durch Brand zu Schaden und nicht durch Probleme bei den Fahrassistenten. «Auch in einem solch innovativen Umfeld helfen Normen, dienen sie doch als Best Practice und als Rezeptbuch bei der Entwicklung», ist Henkner überzeugt. «Die Sensibilisierung und Ausbildung der Mitarbeitenden tragen wesentlich zum Erfolg bei. So sind wir stolz, dass wir vor Covid-19 weltweit die meisten Mitarbeitenden im Bereich Automotive auf dem Bereich der Normung ausgebildet haben.»
Und was meint Henkner zum autonomen Fahren? Für Autobahnfahrten sieht er grosses Potenzial, dass aber in naher Zukunft autonom im Stadtverkehr gefahren wird, kann er sich aufgrund der Komplexität nicht vorstellen. CertX sei überzeugt vom multimodalen Transport der Zukunft und deshalb am Forschungsprojekt SwissMoves der Hochschule für Wirtschaft in Freiburg beteiligt, wo sie ihr Zertifizierungswissen im Bereich funktionale Sicherheit und Cybersicherheit einbringen.
Quelle: CertX
Und was ist mit künstlicher Intelligenz?
Viele heutige Anwendungen setzen auf künstliche Intelligenz, insbesondere bei der Bilderkennung in verschiedenen Bereichen der Automatisierung. Die Schwierigkeit ist, dass nach der Entwicklung die sogenannten neuronalen Netzwerke zu einer Blackbox werden und nur noch schwer überprüfbar sind. Hier gilt es umso mehr, prozessbezogen vorzugehen und dementsprechend zu zertifizieren. Passieren zum Beispiel Fahrern Fehler, werden diese immer dem einzelnen Menschen als Versagen zugeschrieben und nicht als Systemfehler betrachtet. Künstliche Intelligenz muss nun nachweisen, dass sie sicherer als der Mensch arbeitet, die heutigen menschlichen Fehlerraten nicht überschreitet und keine systematischen Fehler auftreten. Ein praktischer Nachweis erfordert einen immens hohen Testaufwand, der bei den heutigen Entwicklungszyklen praktisch nicht leistbar ist. Zusätzlich fehlen Normen in diesem Bereich noch weitestgehend. «Die Kunst ist nicht mehr das Endergebnis zu prüfen, sondern den Entwicklungsprozess optimal zu regeln, so dass ein sogenannter ‚Equivalent Level of Safety‘ erreicht werden kann. Faktoren wie 4-Augen-Prinzip, lückenlose Dokumentation, saubere Datenbasis, digitalisierte Tests und so weiter spielen eine wichtige Rolle dabei, die Sicherheit neuronaler Netzwerke zu beurteilen. Die grosse Herausforderung ist es, agile Systeme in festgeschriebene Normen zu verpacken. Das gibt in der Normungsarbeit Reibungsflächen zwischen alle Beteiligten, die ich als sehr sinnvoll erachte, denn sie führen letztendlich zu guten Resultaten», betont Jens Henkner.
Quelle: CertX