Risikobeurteilung, Risikomanagement, Threat Model, Bedrohungsanalyse, TARA, Cybersecurity Risk Assessment. In Projekten zu vernetzten Produkten tauchen diese Begriffe immer wieder auf. Mal meinen sie dasselbe, mal etwas grundlegend anderes. Wer als Hersteller mehrere Regelwerke parallel erfüllen muss, braucht eine klare Zuordnung: Welcher Begriff steht in welcher Norm, und welche Aktivitäten löst er aus?
Das Wichtigste in Kürze
- Verwirrung entsteht nicht bei den Formeln, sondern bei den Begriffen, vor allem an der Grenze zwischen Safety (sicherheitstechnische Risikobeurteilung) und Security (Bedrohungs- und Risikoanalyse).
- Die Maschinenverordnung fordert eine Risikobeurteilung im Sinne der funktionalen Sicherheit, der CRA eine Bewertung des Cybersicherheitsrisikos. Beides sind getrennte Schritte mit unterschiedlicher Zielrichtung.
- Die meisten Regelwerke definieren Risiko als Kombination aus Eintrittswahrscheinlichkeit und Schadensausmaß. Das gilt für den CRA (Artikel 3 Nummer 37), die EN 40000-1-2 (6.4.4), das EN IEC 62443-4-1 prAA (SRM-5) und die ISO/SAE 21434 (15.8).
- Die Bewertung des Cybersicherheitsrisikos besteht aus drei Schritten: dem Erstellen eines Bedrohungsmodells, der Risiko-Bewertung der identifizierten Bedrohungen und der Ableitung risikoreduzierender Maßnahmen für die kritischen Bedrohungen.
- Die TARA aus der ISO/SAE 21434 ist die automobilspezifische Gesamtmethode, um Bedrohungs- und Risikoanalyse durchzuführen.
- Als übergreifender Begriff bietet sich „Bewertung des Cybersicherheitsrisikos” beziehungsweise „Cybersecurity Risk Assessment” aus dem CRA an, obwohl es sich dabei im Grunde um das Management der Cybersicherheitsrisiken handelt und die Bewertung nur ein Teil davon ist.
Was bedeutet eine Bewertung des Cybersicherheitsrisikos?
Eine Bewertung des Cybersicherheitsrisikos beantwortet drei Fragen: Welche Bedrohungen kann das Produkt treffen, wie hoch ist das daraus resultierende Risiko, und welche risikoreduzierenden Maßnahmen sind notwendig? Methodisch stützt sie sich auf drei Bausteine: die schützenswerten Assets und deren Schutzziele, die identifizierten Bedrohungen und die Bewertung des Risikos als Kombination aus Eintrittswahrscheinlichkeit und Schadensausmaß. Auf dieser Grundlage entscheidet der Hersteller über die Risikobehandlung und welche Maßnahmen die kritischen Bedrohungen reduzieren sollen.
Soweit die gemeinsame Logik. In der Praxis benennt jedes Regelwerk diese Tätigkeit anders und setzt eigene Schwerpunkte.
Welche Begriffe verwenden die einzelnen Regelwerke?
Die folgende Übersicht ordnet die Originalbezeichnungen den jeweiligen Quellen zu und zeigt, was konkret gefordert wird.
Regelwerk | Originalbegriff | Was gefordert wird | Scope |
Maschinenverordnung (EU) 2023/1230 | Risikobeurteilung | Sicherheitstechnische Risikobeurteilung der Maschine, methodisch nach EN ISO 12100; cybersicherheitsrelevant sind insbesondere Anhang III Abschnitte 1.1.9 (Schutz gegen Korrumpierung) und 1.2.1 (Sicherheit und Zuverlässigkeit von Steuerungen) | Safety, Maschine als Ganzes |
Threat Assessment | Nach der Risikobeurteilung gemäß EN ISO 12100, in der alle Gefährdungen identifiziert wurden, führt der Konstrukteur ein Threat Assessment durch | Schnittstelle Safety zu Security an der Maschine | |
Cyber Resilience Act (EU) 2024/2847 | Bewertung des Cybersicherheitsrisikos | Hersteller führen eine Bewertung der Cybersicherheitsrisiken durch (Artikel 13 Absatz 2), dokumentieren sie (Artikel 13 Absatz 3, Anhang VII Nummer 3) und leiten daraus ab, welche grundlegenden Anforderungen aus Anhang I Teil I anwendbar sind | Security, Produkt mit digitalen Elementen |
EN 40000-1-2 (Entwurf) | Risk Assessment (innerhalb Risk Management) | Strukturierte Methode: Assets und Schutzziele (6.4.2), Bedrohungen (6.4.3), Risikoschätzung (6.4.4), Risikobewertung (6.4.5); Threat Modelling ist Teil der Risikoanalyse | Security, Produkt, CRA-harmonisiert |
IEC 62443-4-1 Ed.1 | Threat Model (SR-2) | Prozess für ein Bedrohungsmodell mit Trust Boundaries, Angriffsvektoren, Bedrohungen samt Schweregrad (zum Beispiel CVSS) und Mitigationen | Security, sicherer Entwicklungsprozess |
EN IEC 62443-4-1 prAA (Entwurf) | Security Risk Management (SRM) inkl. Threat Model (SRM-4) | Eigene Risikomanagement-Praxis: Methode und Akzeptanzkriterien (SRM-1), Bewertung der Threat-Szenarien nach Wahrscheinlichkeit und Impact, Risikobehandlung (SRM-5) | Security, sicherer Entwicklungsprozess |
ISO/SAE 21434 | Threat Analysis and Risk Assessment (TARA) | Modulare Gesamtmethode (Clause 15): Asset Identification, Threat Scenario Identification, Impact Rating, Attack Path Analysis, Attack Feasibility Rating, Risk Value Determination, Risk Treatment Decision | Security, Straßenfahrzeuge und ihre Komponenten |
Warum Safety und Security nicht dasselbe sind
Der häufigste Begriffsfehler betrifft die Maschinenwelt. Die Maschinenverordnung verlangt eine Risikobeurteilung, gemeint ist jedoch die sicherheitstechnische Beurteilung der Gefährdungen nach EN ISO 12100. Sie fragt: Welche Gefahr geht von der Maschine für Personen aus? Eine Bewertung des Cybersicherheitsrisikos fragt etwas anderes: Welche Konsequenzen hat es, wenn kritische Bedrohungen ausgenutzt werden, und welche angemessenen Maßnahmen können dem entgegenwirken?
Die EN 50742 macht diese Reihenfolge explizit. Zuerst erfolgt die Risikobeurteilung nach EN ISO 12100 mit der vollständigen Identifikation der Gefährdungen, anschließend führt der Konstrukteur ein Threat Assessment durch. Die Norm trennt also bewusst zwei Schritte: erst Safety, dann Security. Wer beides unter dem deutschen Wort „Risikobeurteilung” zusammenfasst, verliert genau diese Trennung.
Der CRA bestätigt dies. Erwägungsgrund 53 hält fest, dass die Einhaltung der grundlegenden Cybersicherheitsanforderungen die Erfüllung bestimmter Anforderungen der Maschinenverordnung erleichtern kann, insbesondere zum Schutz gegen Korrumpierung sowie zur Sicherheit und Zuverlässigkeit von Steuerungen. Erleichtern, nicht ersetzen. Hersteller von Maschinen mit digitalen Elementen müssen beide Bewertungen durchführen, die sich ergänzen.
Threat Model, Risikobewertung und TARA: drei Ebenen, ein Missverständnis
Auch innerhalb der Security-Welt geraten die Begriffe durcheinander. Hilfreich ist die Unterscheidung in drei Ebenen.
Ein Threat Model ist ein Teilschritt, nicht die vollständige Risikobewertung. In der IEC 62443-4-1 Ed.1 beschreibt SR-2 das Bedrohungsmodell mit Trust Boundaries, Datenflüssen, Angriffsvektoren und Bedrohungen samt Schweregrad. Eine eigenständige Risikomanagement-Praxis fehlt in dieser Ausgabe noch. Erst das EN IEC 62443-4-1 prAA ergänzt mit SRM eine vollständige Security-Risk-Management-Praxis: SRM-1 fordert eine Methodik, welche die im Threat Model identifizierten Threat-Szenarien nach Eintrittswahrscheinlichkeit und Auswirkung bewertet und daraus das Risiko ableitet. Die Anforderung an das Threat Model wandert in SRM-4.
Die EN 40000-1-2, die als harmonisierte Norm zum CRA vorgesehen ist, beschreibt in Kapitel 6 Risiko-Management Elementeden Kontext, die Methodik, die Risikobewertung einschließlich Bedrohungsmodell, die Risikobehandlung und die Risikokommunikation. Das Bedrohungsmodell ist hier ausdrücklich ein Baustein der Risikobewertung, nicht deren Ersatz.
Die TARA ist die automobilspezifische Gesamtmethode der ISO/SAE 21434. Sie bündelt Bedrohungsanalyse und Risikobewertung in einer benannten, modularen Prozedur. Der Begriff TARA gehört in den Automotive-Kontext. Für ein industrielles Produkt unter dem CRA ist „TARA” begrifflich falsch, auch wenn die zugrunde liegende Logik nahezu identisch ist.
Wie nah die Methoden tatsächlich beieinander liegen
Trotz unterschiedlicher Namen liegen die Methoden inhaltlich sehr nah beieinander. Die EN 40000-1-2 definiert Bedrohungen in 6.4.3 über drei Elemente: betroffenes Asset, kompromittiertes Schutzziel und Ursache der Kompromittierung. Die ISO/SAE 21434 beschreibt ein Threat Scenario in RQ-15-03 nahezu wortgleich: targeted asset, compromised cybersecurity property, cause of compromise.
Auch bei der Risikobehandlung treffen sich die Regelwerke. Die EN IEC 62443-4-1 prAA nennt in SRM-6 vier Optionen: Vermeidung, Reduktion durch Maßnahmen, Sharing/Transfer und Akzeptanz. Die ISO/SAE 21434 listet in RQ-15-17 dieselben vier: avoiding, reducing, sharing, retaining. Auch die EN 40000-1-2 definiert in 6.5 die vier Optionen risk avoidance, risk mitigation, risk transfer und risk acceptance.
Wer eine Methode beherrscht, hat die Grundlogik der anderen bereits verstanden. Was sich unterscheidet, sind Detailtiefe, Skalen und der jeweils geforderte Umfang und Inhalt der Nachweise.
Typische Stolperfallen bei Herstellern
Beispiel 1: Vernetzte Maschinensteuerung mit Fernwartung. Sie fällt unter die Maschinenverordnung, und als Produkt mit digitalen Elementen auch unter den CRA. Wer hier nur eine „Safety-Risikobeurteilung” anlegt und meint, damit beide Welten abgedeckt zu haben, übersieht: Die sicherheitstechnische Beurteilung nach EN ISO 12100 erfasst die Bedrohungslage der Fernwartungsschnittstelle nicht. Dafür braucht es die Bewertung des Cybersicherheitsrisikos nach CRA, methodisch gestützt durch die EN 40000-1-2.
Beispiel 2: Industrieller IoT-Sensor, dessen Entwicklungsprozess nach IEC 62443-4-1 aufgesetzt ist. Wird ausschließlich das Threat Model nach SR-2 gepflegt, fehlen die explizite Risikobewertung und die Risikobehandlung, die der CRA und die kommenden 62443-Entwürfe erwarten. Das Threat Model allein erfüllt die Pflicht zur Bewertung des Cybersicherheitsrisikos nicht.
Beispiel 3: sprachliche Stolperfalle. „TARA” wird zunehmend auch außerhalb der Automobilbranche verwendet. In der Dokumentation und im Konformitätsnachweis für ein CRA-Produkt sollte stattdessen der Begriff stehen, den das anwendbare Regelwerk vorgibt.
Fazit: ein Oberbegriff, klar abgegrenzte Teilschritte
Hinter Risikobeurteilung, Risikomanagement, Threat Model, Bedrohungsanalyse, TARA und Cybersecurity Risk Assessment steckt im Kern dieselbe Risikologik. Entscheidend ist, jeweils den richtigen Begriff zu treffen und Safety sauber von Security zu trennen. Für die produktbezogene Security-Welt empfiehlt sich „Bewertung des Cybersicherheitsrisikos” beziehungsweise „Cybersecurity Risk Assessment” als Oberbegriff, da er der Terminologie von CRA und EN 40000-1-2 6.4 folgt. Das Threat Model bleibt ein Teilschritt bei der Bedrohungsidentifikation, die TARA bleibt der Automobilwelt vorbehalten, und die Risikobeurteilung nach Maschinenverordnung beschreibt die sicherheitstechnische, nicht die cybersicherheitsbezogene Bewertung.
Häufige Fragen
Ist eine Risikobeurteilung nach Maschinenverordnung dasselbe wie eine Bewertung des Cybersicherheitsrisikos?
Nein. Die Risikobeurteilung nach Maschinenverordnung ist eine sicherheitstechnische Beurteilung der Gefährdungen nach EN ISO 12100. Die Bewertung des Cybersicherheitsrisikos nach CRA betrachtet dagegen Bedrohungen, Schwachstellen und das daraus resultierende Cybersicherheitsrisiko. Hersteller von Maschinen mit digitalen Elementen brauchen beide.
Reicht ein Threat Model nach IEC 62443-4-1 für die Anforderungen des CRA?
Allein nicht. Das Threat Model nach SR-2 ist ein Teilschritt. Der CRA verlangt eine vollständige Bewertung des Cybersicherheitsrisikos einschließlich Schätzung der Eintrittswahrscheinlichkeit und des Schadensausmaßes von Bedrohungen, Risikobewertung und Risikobehandlung. Die EN IEC 62443-4-1 prAA ergänzt dafür eine eigene Security-Risk-Management-Praxis (SRM), die das Threat Model beinhaltet.
Was ist der Unterschied zwischen TARA und Cybersecurity Risk Assessment?
TARA (Threat Analysis and Risk Assessment) ist die in der ISO/SAE 21434 definierte, automobilspezifische Methode Cybersicherheitsrisiken zu bewerten und zu behandeln. Cybersecurity Risk Assessment ist der allgemeine Oberbegriff aus dem CRA. Inhaltlich überschneiden sich beide stark, der Begriff TARA gehört aber in den Automotive-Kontext.
Wie wird das Cybersicherheitsrisiko berechnet?
In allen betrachteten Regelwerken als Kombination aus Eintrittswahrscheinlichkeit und Schadensausmaß. Der CRA definiert das Cybersicherheitsrisiko in Artikel 3 Nummer 37 entsprechend, die EN 40000-1-2 (6.4.4), das EN IEC 62443-4-1 prAA (SRM-5) und die ISO/SAE 21434 (15.8) folgen derselben Logik.
Welchen Begriff sollten Hersteller in ihrer Dokumentation verwenden?
Für produktbezogene Security: „Bewertung des Cybersicherheitsrisikos” beziehungsweise „Cybersecurity Risk Assessment”. Dieser Begriff entspricht der Terminologie des CRA. „Threat Model” bezeichnet den Teilschritt der Bedrohungsidentifikation, „TARA” bleibt dem Automobilkontext vorbehalten.
Sobald man Safety von Security trennt und den Oberbegriff vom Teilschritt unterscheidet, lassen sich die Begriffe klar zuordnen. Wenn Sie für Ihre konkreten Produkte einordnen möchten, welche Bewertung verbindlich ist und wie sich Maschinenverordnung, CRA und die einschlägigen Normen sinnvoll kombinieren lassen, sprechen Sie mich gerne an.
Kommentar hinzufügen