Skip to main content
Switch Language

ISO/SAE 21434 zu Cybersicherheit im Automobil-Bereich

A happy person surrounded by multiple monitors
Unsere Blog-Experten für Systemtechnik
Software Intensive Systems
March 13, 2023 | 8:00 am CST
A happy person surrounded by multiple monitors
Unsere Blog-Experten für Systemtechnik
Software Intensive Systems

Klausel 5.3.2 der ISO/SAE 21434, einer Norm zur Cybersicherheit in der Automobilindustrie, enthält einen häufig übersehenen Verweis: „...vorhandener Konformitätsnachweis mit Normen für das Qualitätsmanagement...“. Dieser wird in Klausel 5.4.4 auch als Anforderung (RQ-05-11) formuliert. Mit anderen Worten: Von Entwicklern sicherer Systeme wird erwartet, dass sie bei der Systementwicklung einem qualitätsgesteuerten Prozess folgen.

In Klausel 5.3.2 der ISO/SAE 21434 sind verschiedene Standards aufgeführt, die Entwickler anwenden können:

  • ISO 9001 in Verbindung mit IATF 16949
  • ISO 10007
  • Automotive SPICE (ASPICE)
  • Normenreihe ISO/IEC 330XX
  • ISO/IEC/IEEE 15288
  • ISO/IEC/IEEE 12207

Die oben genannten Normen haben eines gemeinsam: Sie beschreiben einen grundlegenden Systems Engineering-Prozess, den Unternehmen im Rahmen ihres Qualitätsmanagements bei der Systementwicklung befolgen sollten. Obwohl sich das auf die Systemebene bezieht, sind ASPICE, ISO/IEC/IEEE 15288 und ISO/IEC/IEEE 12207 Normen, die speziell für Softwareengineering entwickelt wurden. Daraus lässt sich als wichtigste Erkenntnis ableiten, dass Softwareengineering und Systems Engineering so viele Gemeinsamkeiten aufweisen, dass sie aus Prozessperspektive nahezu austauschbar sind.

Die eigentliche Frage lautet also: „Was ist ein qualitätsgesteuerter Prozess?“ Besser noch: „Was bedeutet das für den Entwicklungsprozess im Bereich der Cybersecurity?“

Ein qualitätsgesteuerter Prozess ist ein Entwicklungsmodell, mit dem man nachweisen kann, dass ein Produkt gemäß einer Reihe von Qualitätskriterien erstellt wurde. Das bedeutet in erster Linie, dass die als Anforderungen formulierten Kundenerwartungen erfüllt oder übertroffen werden. Anschließend kann ein Unternehmen, das den Systems Engineering-Standard einhält, anhand von Verifizierungsmaßnahmen nachzuweisen, dass es den vorgegebenen Entwicklungsprozess strikt einhält.

Jede Verifizierungsmaßnahme bezieht sich auf eine andere Phase des Entwicklungsprozesses und zeigt, dass die betreffende Phase mit einem ausreichenden Qualitätsniveau abgeschlossen wurde. Wenn alle Verifizierungsmaßnahmen abgeschlossen sind, kann das Unternehmen das Produkt anhand der Anforderungen validieren, um zu zeigen, dass es tatsächlich vollständig ist. Denken Sie daran: Bei der Verifizierung geht es darum, das Produkt richtig zu entwickeln; bei der Validierung geht es darum, das richtige Produkt zu entwickeln.

Der QM-Rahmen wird vor allem deshalb verwendet, weil er den grundlegenden Engineeringprozess der Systementwicklung darstellt. Die Konformität mit dem Prozess ist einer der wichtigsten Faktoren, anhand dessen man feststellen kann, ob ein Produkt richtig entwickelt wurde.

ISO/SAE 21434 entspricht dieser Argumentation in Form von Anforderungen an Audits und Bewertungen:

  • 4.7 – Cybersecurity-Audit – Bei einem Audit wird die Einhaltung des Entwicklungsmodells auf Unternehmensebene überprüft. In diesem Fall ist das Entwicklungsmodell ein qualitätsbasierter Cybersecurity-Entwicklungslebenszyklus.
  • 4.8 – Cybersecurity-Bewertung – Durch eine Bewertung wird festgestellt, ob das Produkt dem Entwicklungsrahmen entspricht. Hier stellen wir fest, inwieweit das Produkt der Cybersecurity-Spezifikation entspricht.

Durch den Qualitätsprozess kann das Unternehmen nachweisen, dass die entsprechenden Cybersecurity-Analysen und -Bewertungen am richtigen Punkt des Entwicklungslebenszyklus durchgeführt werden können, und dass für jede dieser Cybersecurity-Aktivitäten und die entsprechenden Arbeitsergebnisse eine wirksame Qualitätsmetrik vorhanden ist.

Letztendlich liefert der Qualitätsrahmen sowohl Prozess- als auch Produktmetriken, um die Maßnahmen zum Schutz eines Produkts vor Cyberbedrohungen nachzuweisen.

UL Solutions bietet Unternehmen aus verschiedenen Branchen umfassende Dienstleistungen an. Dazu gehören Zertifizierungen, Tests, Inspektionen, Assessments, Verifizierungen und Beratungsdienste. Um Interessenkonflikte zu verhindern, zu erkennen und zu vermeiden und um unsere Marke und die Marken unserer Kunden zu schützen, hat UL Solutions Verfahren zur Erkennung und Handhabung potenzieller Interessenkonflikte eingeführt. Damit wollen wir sicherstellen, dass unsere Konformitätsassessments objektiv bleiben.