Überblick
Die TARA-Säule (Threat Analysis and Risk Assessment) implementiert die vollständige ISO/SAE 21434-Methodik für Bedrohungsanalyse und Risikobewertung. Sie umfasst Asset-Identifikation, Bedrohungsmodellierung, Schadensszenarien-Analyse, Angriffspfad-Definition, Risikoberechnung und Risikobehandlung — mit integrierten Sicherheitskatalogen, KI-gestützten Empfehlungen und umfangreichen Visualisierungen.
Kernkonzepte
Assets
Assets repräsentieren die Cybersecurity-Ziele innerhalb des Fahrzeugsystems. Jedes Asset besitzt eine oder mehrere Cybersecurity-Eigenschaften (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität) und ist mit Komponenten aus der Design-Säule verknüpft. Assets werden nach Domäne und Typ kategorisiert.
Bedrohungen
Bedrohungen sind potenzielle Angriffsszenarien, die nach der STRIDE-Methodik klassifiziert werden:
| STRIDE-Kategorie | Beschreibung |
|---|---|
| Spoofing | Vortäuschen einer legitimen Identität |
| Tampering | Unerlaubte Änderung von Daten oder Systemen |
| Repudiation | Abstreiten einer Aktion ohne Nachweis |
| Information Disclosure | Unbefugter Zugriff auf sensible Daten |
| Denial of Service | Störung der Verfügbarkeit von Systemen |
| Elevation of Privilege | Erlangung unbefugter Zugriffsrechte |
Bedrohungen können manuell erstellt, aus dem Sicherheitskatalog importiert oder über KI-Empfehlungen generiert werden.
Schadensszenarien
Schadensszenarien bewerten die potenziellen Auswirkungen einer realisierten Bedrohung in vier Dimensionen:
| Dimension | Bewertungen |
|---|---|
| Sicherheitsauswirkung | Vernachlässigbar, Moderat, Erheblich, Schwerwiegend |
| Finanzielle Auswirkung | Vernachlässigbar, Moderat, Erheblich, Schwerwiegend |
| Betriebliche Auswirkung | Vernachlässigbar, Moderat, Erheblich, Schwerwiegend |
| Datenschutz-Auswirkung | Vernachlässigbar, Moderat, Erheblich, Schwerwiegend |
Die höchste Auswirkung über alle Dimensionen bestimmt die Gesamtbewertung der Auswirkung für die Risikoberechnung.
Angriffspfade
Angriffspfade definieren, wie eine Bedrohung realisiert werden kann, einschließlich:
- Angriffsvektor (ISO 21434): Physisch, Lokal, Benachbart, Netzwerk
- Machbarkeitsmetriken: Expertise, Wissen, Ausrüstung, Gelegenheitsfenster, Zeitaufwand
- Angriffsmachbarkeit: Sehr niedrig, Niedrig, Mittel, Hoch
- Cybersecurity Assurance Level (CAL): CAL 1–4, berechnet aus Auswirkung × Angriffsvektor gemäß ISO 21434 Tabelle G.4
Risiken
Risiken sind die zentrale Entität, die alle TARA-Elemente kombiniert:
- Verknüpftes Asset mit Cybersecurity-Eigenschaft
- Zugeordnete Bedrohung und Angriffspfad
- Verknüpfte Schadensszenarien
- Berechneter Risikoscore (Auswirkung × Machbarkeitsmatrix)
- Risikostufe: Sehr niedrig (1), Niedrig (2), Mittel (3), Hoch (4), Kritisch (5)
- Status: Unbehandelt, Akzeptiert, Gemindert
- Behandlungsstrategie: Akzeptanz, Minderung, Vermeidung, Transfer
- Quelle: Bedrohungsanalyse, Schwachstelle, Vorfall
Risikoberechnung
Risikoscores werden über eine Standardmatrix berechnet:
| Sehr niedrige Machbarkeit | Niedrige Machbarkeit | Mittlere Machbarkeit | Hohe Machbarkeit | |
|---|---|---|---|---|
| Vernachlässigbare Auswirkung | Sehr niedrig | Sehr niedrig | Sehr niedrig | Sehr niedrig |
| Moderate Auswirkung | Sehr niedrig | Niedrig | Niedrig | Mittel |
| Erhebliche Auswirkung | Sehr niedrig | Niedrig | Mittel | Hoch |
| Schwerwiegende Auswirkung | Niedrig | Mittel | Hoch | Kritisch |
CAL-Bestimmung (ISO 21434 Tabelle G.4)
Das Cybersecurity Assurance Level wird durch die Kombination von Auswirkungsbewertung und Angriffsvektor bestimmt:
- Schwerwiegend + Netzwerk = CAL 4 (höchste Stufe)
- Vernachlässigbar + beliebiger Vektor = CAL 1 (niedrigste Stufe)
- Höhere Auswirkung und entferntere Angriffsvektoren erhöhen den CAL
Risikobehandlung
Die Behandlung ist in vier Entitätstypen strukturiert:
Schutzziele
Strategische Ziele, die die Ursachen von Risiken adressieren. Jedes Ziel referenziert einen Rahmenstandard und kann mit mehreren Anforderungen und Maßnahmen verknüpft werden.
Anforderungen
Spezifische, messbare Sicherheitsanforderungen, die aus Schutzzielen abgeleitet werden. Jede Anforderung hat einen Typ, eine Validierungsmethode und Akzeptanzkriterien. Anforderungen können im ReqIF-Format für die Tool-Integration exportiert werden.
Maßnahmen
Konkrete technische oder organisatorische Maßnahmen, die Anforderungen umsetzen. Jede Maßnahme erfasst:
- Maßnahmentyp und Validierungsmethode
- Implementierungskosten
- Reifegrad
- Rahmenstandard und Referenz
- Verknüpfte Schutzziele
Nachweise
Sicherheitsaussagen, die argumentieren, dass ein Risiko angemessen behandelt wurde. Jeder Nachweis umfasst:
- Aussage und Typ
- Konfidenzniveau (Niedrig, Mittel, Hoch)
- Status (Entwurf, Prüfung, Validiert, Angefochten)
- Versionsverfolgung
- Evidenz-Medienanhänge
- Verknüpfte Risiken und Testfälle
Sicherheitskataloge
Die Plattform bietet ein zweistufiges Katalogsystem:
- Globale Kataloge: Organisationsweite Bibliotheken mit Bedrohungen, Schäden, Maßnahmen, Schutzzielen, Anforderungen und Nachweisen — versioniert und mit Framework-Tags versehen
- Projektkataloge: Projektspezifische Instanzen, die für Konsistenz und Wiederverwendung mit globalen Katalogeinträgen verknüpft sind
KI-gestützte Funktionen
- Bedrohungsempfehlungen: KI schlägt Bedrohungen basierend auf Asset-Profilen mit Konfidenzstufen (Hoch, Mittel, Niedrig) vor
- Schadensszenario-Vorschläge: KI generiert Schadensszenarien basierend auf identifizierten Bedrohungen
- Chat-basierte Analyse: Interaktiver KI-Assistent für TARA-Fragen, Risikoanalyse und allgemeine CSMS-Anfragen
- Feedback-Verfolgung: Benutzer können Empfehlungen mit Begründungen annehmen oder ablehnen, um zukünftige Vorschläge zu verbessern
Visualisierungen
Risikobeziehungsgraph — Interaktiver React-Flow-Graph, der ein einzelnes Risiko mit seiner vollständigen Entitätskette über 8 Spalten zeigt: Systemkomponente → Software → Asset → Bedrohung/Schaden → Risiko → Schutzziel/Nachweis → Anforderung/Maßnahme → Testfall. 14 farbcodierte Entitätstypen mit beschrifteten Kanten.
Risiko-Heatmap — Auswirkungs- vs. Machbarkeitsmatrix, die alle Projektrisiken für Portfolio-Übersicht darstellt. Schnelle Identifikation kritischer Schwerpunkte.
Risikoregister — Filterbare, sortierbare Tabelle mit Spalten für Risiko-ID, Titel, Score, Status, Auswirkung, Machbarkeit, Quelle, Zuständiger und Letzte Aktualisierung. Unterstützt Massenaktionen, Inline-Bearbeitung und Warnindikatoren für gelöschte oder nicht verknüpfte Entitäten.
Risikointerkonnektionsgraph — D3-basierter kräftegesteuerter Graph, der mehrere Risiken mit ihren Verflechtungen für risikoübergreifende Musteranalyse zeigt.
Integration mit anderen Säulen
| Richtung | Säule | Datenfluss |
|---|---|---|
| Eingehend | Design | Komponenteninstanzen werden auf Bedrohungsmodell-Assets abgebildet |
| Eingehend | SBOM | Schwachstellenschweregrade fließen in Risikoberechnungen ein |
| Eingehend | Operations | Vorfälle können neue Risiken erzeugen |
| Ausgehend | Testing | Anforderungen und Nachweise steuern Testfallerstellung und -abdeckung |
| Ausgehend | Compliance | Risikobehandlungs-Entitäten liefern Compliance-Evidenz (WP-15-01 bis WP-15-08) |
| Ausgehend | Operations | Bedrohungsszenario-Indikatoren ermöglichen Korrelation von Sicherheitsereignissen |
| Bidirektional | Sicherheitskataloge | Globale Katalogeinträge werden pro Projekt instanziiert; Projektnutzung verbessert den Katalog |