Transkripte von Experteninterviews zu Anforderungen und aktuellen Praktiken von bereichsübergreifendem Cybersecurity Risikomanagement in der Automobilindustrie

Abstract

Die Zusammenarbeit zwischen verschiedenen Bereichen der Automobilindustrie, darunter Fahrzeugentwicklung, Produktion und Backend-Services, erhöht die Komplexität des Cybersicherheitsrisikomanagements. Standards wie ISO/SAE 21434, die ISO/IEC 27000-Familie und die IEC 62443-Reihe bieten zwar jeweils branchenspezifische Leitlinien, doch eine gezielte Analyse zeigt, dass sie kein vollständig integriertes, bereichsübergreifendes Rahmenwerk bieten. Vielmehr enthalten sie verstreute Leitlinien zu Themen wie Kommunikationskanälen, externen Abhängigkeiten und abgestimmten Risikokriterien, sodass es den Unternehmen überlassen bleibt, diese Elemente zu vereinheitlichen.

Um zu untersuchen, wie sich diese Lücke in der Praxis äußert, wurden semi-strukturierte Interviews mit sechs Automobilherstellern durchgeführt, in denen reale Herausforderungen und Strategien für das bereichsübergreifende Cybersicherheitsrisikomanagement erfasst wurden. Die Ergebnisse zeigen unterschiedliche Methoden der Risikobewertung, uneinheitliche Terminologie und fragmentierte Kommunikationskanäle zwischen diesen Bereichen, die eine ganzheitliche Sicherheitsstrategie erschweren. Umgekehrt unterstreichen die Ergebnisse die Vorteile koordinierter Strategien, wie z. B. eine verbesserte Risikotransparenz, eine effizientere Ressourcenzuweisung und eine stärkere Einhaltung gesetzlicher Vorschriften.

Collaboration across multiple divisions in the automotive industry, including vehicle engineering, production, and backend services, complicates cybersecurity risk management. While standards such as ISO/SAE 21434, the ISO/IEC 27000 family, and the IEC 62443 series each offer domain-specific guidance, a focused review shows they do not offer a fully integrated, cross-divisional framework. Rather, they present scattered guidance on topics like communication channels, external dependencies, and aligned risk criteria, leaving it to organizations to unify these elements.

To explore how this gap manifests in practice, semi-structured interviews were conducted with six automotive manufacturers, capturing real-world challenges and strategies for cross-divisional cybersecurity risk management. The findings reveal disparate risk assessment methods, inconsistent terminology, and fragmented communication channels among these divisions, which hinder a holistic security posture. Conversely, the results highlight the benefits of coordinated strategies, such as enhanced risk transparency, more efficient resource allocation, and stronger regulatory compliance.