Dienstleistungen
Über UL

Als weltweit führendes Unternehmen im Bereich der Sicherheitswissenschaften unterstützt UL Unternehmen dabei, Sicherheit zu demonstrieren, Nachhaltigkeit zu verbessern, die Sicherheit zu stärken, Qualität zu liefern, Risiken zu managen und die Einhaltung von Vorschriften zu erreichen. 

Überblick
UL Verbraucherinformationen

Entdecken Sie, wie wir Sicherheitswissenschaften einsetzen, um eine sicherere, geschütztere und nachhaltigere Welt für Sie zu schaffen.

Erfahren Sie mehr
Ressourcen

Erkunden Sie unsere digitalen Tools und Datenbanken zum Aufbau von Geschäftsinformationen, suchen Sie nach Hilfe, prüfen Sie unsere Geschäftsinformationen oder teilen Sie uns Ihre Bedenken und Fragen mit.

Überblick
UL Solutions Market Access Portal

Accelerate your planning process and learn the requirements needed to take your products to market worldwide.

Visit
myUL®-Kundenportal

Eine sichere Online-Quelle für eine bessere Übersicht über Ihre UL-Projektdateien, Produktinformationen, Dokumente, Muster und Services.

Gehen Sie auf myUL
Zertifizierungsdatenbank – UL Product iQ®

Greifen Sie mit Product iQ auf UL-Zertifizierungsdaten zu Produkten, Komponenten und Systemen zu, bestimmen Sie Alternativen und sehen Sie Informationen zum UL-Leitfaden ein.

Hier entlang
Branchen
Alles anzeigen
  • Software and Products

Software Intensive Systems

Switch Language

ISO/SAE 21434 zu Cybersicherheit im Automobil-Bereich

A happy person surrounded by multiple monitors
Blog Team
Software Intensive Systems
View Author's Profile
March 13, 2023 | 8:00 am CST
A happy person surrounded by multiple monitors
Blog Team
Software Intensive Systems
View Author's Profile

Klausel 5.3.2 der ISO/SAE 21434, einer Norm zur Cybersicherheit in der Automobilindustrie, enthält einen häufig übersehenen Verweis: „...vorhandener Konformitätsnachweis mit Normen für das Qualitätsmanagement...“. Dieser wird in Klausel 5.4.4 auch als Anforderung (RQ-05-11) formuliert. Mit anderen Worten: Von Entwicklern sicherer Systeme wird erwartet, dass sie bei der Systementwicklung einem qualitätsgesteuerten Prozess folgen.

In Klausel 5.3.2 der ISO/SAE 21434 sind verschiedene Standards aufgeführt, die Entwickler anwenden können:

  • ISO 9001 in Verbindung mit IATF 16949
  • ISO 10007
  • Automotive SPICE (ASPICE)
  • Normenreihe ISO/IEC 330XX
  • ISO/IEC/IEEE 15288
  • ISO/IEC/IEEE 12207

Die oben genannten Normen haben eines gemeinsam: Sie beschreiben einen grundlegenden Systems Engineering-Prozess, den Unternehmen im Rahmen ihres Qualitätsmanagements bei der Systementwicklung befolgen sollten. Obwohl sich das auf die Systemebene bezieht, sind ASPICE, ISO/IEC/IEEE 15288 und ISO/IEC/IEEE 12207 Normen, die speziell für Softwareengineering entwickelt wurden. Daraus lässt sich als wichtigste Erkenntnis ableiten, dass Softwareengineering und Systems Engineering so viele Gemeinsamkeiten aufweisen, dass sie aus Prozessperspektive nahezu austauschbar sind.

Die eigentliche Frage lautet also: „Was ist ein qualitätsgesteuerter Prozess?“ Besser noch: „Was bedeutet das für den Entwicklungsprozess im Bereich der Cybersecurity?“

Ein qualitätsgesteuerter Prozess ist ein Entwicklungsmodell, mit dem man nachweisen kann, dass ein Produkt gemäß einer Reihe von Qualitätskriterien erstellt wurde. Das bedeutet in erster Linie, dass die als Anforderungen formulierten Kundenerwartungen erfüllt oder übertroffen werden. Anschließend kann ein Unternehmen, das den Systems Engineering-Standard einhält, anhand von Verifizierungsmaßnahmen nachzuweisen, dass es den vorgegebenen Entwicklungsprozess strikt einhält.

Jede Verifizierungsmaßnahme bezieht sich auf eine andere Phase des Entwicklungsprozesses und zeigt, dass die betreffende Phase mit einem ausreichenden Qualitätsniveau abgeschlossen wurde. Wenn alle Verifizierungsmaßnahmen abgeschlossen sind, kann das Unternehmen das Produkt anhand der Anforderungen validieren, um zu zeigen, dass es tatsächlich vollständig ist. Denken Sie daran: Bei der Verifizierung geht es darum, das Produkt richtig zu entwickeln; bei der Validierung geht es darum, das richtige Produkt zu entwickeln.

Der QM-Rahmen wird vor allem deshalb verwendet, weil er den grundlegenden Engineeringprozess der Systementwicklung darstellt. Die Konformität mit dem Prozess ist einer der wichtigsten Faktoren, anhand dessen man feststellen kann, ob ein Produkt richtig entwickelt wurde.

ISO/SAE 21434 entspricht dieser Argumentation in Form von Anforderungen an Audits und Bewertungen:

  • 4.7 – Cybersecurity-Audit – Bei einem Audit wird die Einhaltung des Entwicklungsmodells auf Unternehmensebene überprüft. In diesem Fall ist das Entwicklungsmodell ein qualitätsbasierter Cybersecurity-Entwicklungslebenszyklus.
  • 4.8 – Cybersecurity-Bewertung – Durch eine Bewertung wird festgestellt, ob das Produkt dem Entwicklungsrahmen entspricht. Hier stellen wir fest, inwieweit das Produkt der Cybersecurity-Spezifikation entspricht.

Durch den Qualitätsprozess kann das Unternehmen nachweisen, dass die entsprechenden Cybersecurity-Analysen und -Bewertungen am richtigen Punkt des Entwicklungslebenszyklus durchgeführt werden können, und dass für jede dieser Cybersecurity-Aktivitäten und die entsprechenden Arbeitsergebnisse eine wirksame Qualitätsmetrik vorhanden ist.

Letztendlich liefert der Qualitätsrahmen sowohl Prozess- als auch Produktmetriken, um die Maßnahmen zum Schutz eines Produkts vor Cyberbedrohungen nachzuweisen.

Mehr zu dem Thema

Engineering-Dienstleistungen für komplexe Systeme

Cybersecurity, Automotive-Cybersecurity-Certification und Beratung

 

UL Solutions bietet Unternehmen aus verschiedenen Branchen umfassende Dienstleistungen an. Dazu gehören Zertifizierungen, Tests, Inspektionen, Assessments, Verifizierungen und Beratungsdienste. Um Interessenkonflikte zu verhindern, zu erkennen und zu vermeiden und um unsere Marke und die Marken unserer Kunden zu schützen, hat UL Solutions Verfahren zur Erkennung und Handhabung potenzieller Interessenkonflikte eingeführt. Damit wollen wir sicherstellen, dass unsere Konformitätsassessments objektiv bleiben.