Skip to main content
Switch Language
  • Leitfaden

Cybersicherheit in der Automobilindustrie für Einsteiger

Verstehen Sie die in ISO/SAE 21434, UN R155 und UN R156 festgelegten Cybersicherheitsanforderungen für Automobilhersteller.

Es gibt keinen einzigen umfassenden Cybersicherheitsstandard, der für alle Anwendungen in der Automobilindustrie geeignet ist. Stattdessen gibt es eine Vielzahl von Vorschriften, Normen und Handbüchern, die einzelne Aspekte oder Phasen des Produktentwicklungsprozesses und des Lebenszyklus von Fahrzeugen abdecken. Diese Vielzahl von Normen und entsprechenden Ansätzen spiegelt die zahlreichen Anforderungen an die Cybersicherheit in der Automobilindustrie wider, darunter Cybersicherheit in der Fahrzeugentwicklung, sichere Produktionsprozesse, sicherer Flottenbetrieb und der Schutz von Backend-Systemen und Daten.

Die Cybersicherheit in der Automobilindustrie endet nicht mit der Entwicklung eines Produkts oder wenn ein Fahrzeug auf den Markt kommt oder vom Markt genommen wird. Die Cybersicherheit betreffende Maßnahmen können erst dann eingestellt werden, wenn das letzte Fahrzeug nach Ablauf der vom Hersteller garantierten Nutzungsdauer unter Einhaltung der Datenschutzbestimmungen verschrottet wurde, während der das Auslesen von privaten Schlüsseln unmöglich gemacht wurde. Die Entwicklungsorganisation muss sich darüber im Klaren sein, wie lange der Hersteller in Zukunft Support leisten wird.

ISO/SAE 21434

Vor dem Hintergrund dieser rechtlichen Rahmenbedingungen zur Cybersicherheit in der Automobilindustrie wurden mit der Veröffentlichung der Vorschriften der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) und der ISO/SAE 21434 die Anforderungen an die Cybersicherheit in der Automobilindustrie festgelegt, die Fahrzeughersteller und Entwickler von Fahrzeugsoftware erfüllen müssen, damit vernetzte Fahrzeuge für den Verkauf und Vertrieb zugelassen werden.

Die ISO/SAE 21434, Road Vehicles – Cybersecurity Engineering, bezieht die Cybersicherheitstechnik in den Entwicklungsprozess von Automobilelektronikprodukten ein. Die Norm legt Technik- und Cybersicherheitsanforderungen fest, die Ingenieure bei ihrer Arbeit einhalten müssen. Die ISO/SAE 21434 bietet einen Überblick über den aktuellen Stand der Produktentwicklung. Sie erklärt, wo Unternehmen der Automobilelektronik ansetzen müssen, und deckt Prozesse von der Planung und Definition von Spezifikationen bis hin zur Implementierung, Verifizierung und Prüfung ab.

Im Gegensatz zu ISO 26262, Road Vehicles - Functional Safety, ist ISO/SAE 21434 abstrakt und erfüllt die unterschiedlichen Interessen und Erwartungen mehrerer Länder. Die ISO/SAE 21434 führt eine gemeinsame Sprache und ein gemeinsames Verständnis darüber ein, was Cybersicherheit für die Automobilindustrie bedeutet und erleichtert es Herstellern und Zulieferern, ihre Cybersicherheitsaktivitäten besser aufeinander abzustimmen.

So enthält die ISO/SAE 21434 zum Beispiel keine spezifischen technischen Anforderungen für Hardware-Metriken oder Architektur-Spezifikationen. Da Cybersicherheitskonzepte schnell veralten, erschwert die Einbeziehung mehrerer Sicherheitsaspekte den Bedrohungsakteuren die Ausnutzung von Schwachstellen. Die Norm legt fest, was zu tun ist, aber nicht, wie es erreicht werden soll.

Obwohl die Norm selbst übersichtlich ist, bieten ihre umfassenden Anhänge bewährte Verfahren, Beispiele und Vorlagen für ihre Anwendung.

Die ISO/SAE 21434 stellt neue Herausforderungen für Automobilhersteller und -entwickler vor

Nach ISO/SAE 21434 müssen Automobilhersteller nachweisen, dass sie in ihrem Unternehmen über ein angemessenes Cybersicherheitsmanagementsystem verfügen und dass alle Cybersicherheitsmaßnahmen nach den erforderlichen Verfahren geplant und durchgeführt werden. Diese Maßnahmen helfen der Organisation, neue Schwachstellen zu vermeiden und die Ziele der Cybersicherheit zu erreichen.

Angesichts dieser Anforderungen stehen die Teams für Cybersicherheit, Qualität und Unternehmensführung vor der Herausforderung, ein Cybersicherheitsmanagementsystem zu entwickeln, das dem aktuellen Stand der Technik entspricht und die erforderliche praktische Robustheit bietet, ohne über Richtlinien für Entwicklungsprozessstandards oder Informationen über Tools, sicheren Code oder Security by Design zu verfügen.

Diese Herausforderungen beginnen mit der Festlegung der einzelnen Rollen, der Ermittlung der entsprechenden Verantwortlichkeiten und der Integration dieser in die Organisationsstrukturen und Arbeitsabläufe. Obwohl bestehende Abteilungen wie Qualitätssicherung, funktionale Sicherheit und IT-Sicherheit viele dieser Aufgaben übernehmen können, müssen Unternehmen möglicherweise neue Abteilungen gründen, da die bestehenden Funktionen nicht die erforderlichen Fähigkeiten besitzen.

So muss beispielsweise ein ständig aktives Analysezentrum, an dem es in Unternehmen oft mangelt, projektunabhängig Cybersecurity-Angriffe beobachten. Das Analysezentrum müsste auch Berichte über Schwachstellen erstellen, Routinen entwickeln, festlegen, wie mit Angriffsszenarien umgegangen wird, eine 24/7-Hotline betreiben und die verfügbaren Tools verwalten. Diese Cybersecurity-Einsatzzentrale für Fahrzeuge muss über die wichtigsten Probleme auf dem Laufenden sein und im Falle eines Vorfalls Zugang zu wichtigen Informationen haben.

Bedrohungsanalyse und Risikobewertung

Eine Schlüsselkomponente der ISO/SAE 21434 ist die Bedrohungsanalyse und Risikobewertung (TARA). Dieses Analyse- und Bewertungsinstrument für Schadensszenarien, Bedrohungsszenarien und die Durchführbarkeit von Angriffen ermittelt in der Konzeptphase das Risiko.

Erfüllung der Anforderungen von ISO/SAE 21434

Um die in ISO/SAE 21434 festgelegten Cybersicherheitsanforderungen zu erfüllen, müssen Automobilhersteller:

  • Nachweisen und dokumentieren, dass Ihre Bewertungen alle Aspekte berücksichtigen und dass die abgeleiteten Sicherheitsziele angemessen und effektiv sind.

  • Nachweisen, dass die festgelegten Cybersicherheitsziele tatsächlich erreicht wurden.

  • Das in früheren Projekten und Prozessen erworbene Fachwissen unternehmensweit anwenden.

Sehen Sie sich die nachstehende Infografik an, um Ihr Verständnis von ISO/SAE 21434 im Kontext anderer Normen und Referenzmodelle zu vertiefen.

Automotive cybersecurity for beginners graphic

UNECE-Vorschriften mit Auswirkungen auf die Cybersicherheit in der Automobilindustrie

Fast zeitgleich mit der Veröffentlichung der ISO-Norm 21434 hat die Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) neue Richtlinien für die Typenzulassung von Fahrzeugen veröffentlicht. Im Juni 2020 hat die UNECE-Arbeitsgruppe 29 zwei Regelungen – UN R155 und R156 – verabschiedet, die sich erheblich auf die Zulassung in anderen Bereichen der Automobilindustrie auswirken. Im Gegensatz zu den ISO-Normen haben diese Vorschriften über die nationale oder europäische Gesetzgebung eine rechtliche Wirkung. Nach diesen Richtlinien dürfen Fahrzeuge, die nicht nach diesen Richtlinien zertifiziert sind, nicht auf den Markt gebracht werden.

In der Europäischen Union sind UN R155 und UN R156 als Allgemeine Sicherheitsvorschrift formuliert und vorgesehen.

UN R155

UN R155 verlangt von den Herstellern, dass sie die Verantwortung für die gesamte Cybersicherheit ihrer Automobilsysteme übernehmen. ISO/SAE 21434 ist die Grundlage, um die Anforderungen der UN R155 zu erfüllen, da sie von den Herstellern verlangt, ein projektübergreifendes Cybersicherheitsmanagementsystem (CSMS), einschließlich der Entwicklung von Fähigkeiten zur Analyse potenzieller Cyberbedrohungen, einzurichten.

Nach UN R155 muss eine unabhängige Zertifizierungsstelle bewerten und validieren, ob das CSMS die Anforderungen erfüllt und in die Projektaktivitäten integriert ist, so dass die erforderlichen Cybersicherheitsaufgaben konstant durchgeführt werden. Die Zertifizierung ist drei Jahre lang gültig und muss den nationalen Behörden vorgelegt werden.

UN R156

UN 156 betont die Bedeutung von Updates – ob per Funk oder über Ladestationen – für die Sicherheit von vernetzten Fahrzeugen während ihrer gesamten Lebensdauer. Um die Anforderungen der UN R156 zu erfüllen, müssen die Hersteller ein Softwareupdate-Managementsystem (SUMS) einrichten, das den Zertifizierungsanforderungen entspricht. Das SUMS muss jedem für die Zulassung relevanten Softwaresystem eine eindeutige Identifikationsnummer (RXSWIN) zuweisen und verfolgen, welche Versionen in den Fahrzeugen installiert wurden. Die Bescheinigung für alle RXSWINs muss bei der Beantragung von Zulassungen vorgelegt werden. ISO 24089, Road Vehicles – Software Update Engineering, schlägt Grundlagen für ein SUMS vor und spielt somit eine Rolle bei der Entwicklung eines SUMS.

UN R155 und R156 legen auch die Anforderungen an die nationalen Verfahren für die Fahrzeugzulassung fest, da die unabhängige Prüfung von Managementsystemen und die Zertifizierung von kritischen Systemen im Automobilbereich von den Aufsichtsbehörden festgelegt und kontrolliert werden müssen.

 

Mehr zu dem Thema

Cybersicherheit

 

X

Kontaktieren Sie unser Team

Danke für Ihr Interesse an unseren Produkten und Services. Teilen Sie ein paar Informationen mit uns, damit wir Sie mit der richtigen Person zusammenbringen können.

Bitte warten…

UL Solutions bietet Unternehmen aus verschiedenen Branchen umfassende Dienstleistungen an. Dazu gehören Zertifizierungen, Tests, Inspektionen, Assessments, Verifizierungen und Beratungsdienste. Um Interessenkonflikte zu verhindern, zu erkennen und zu vermeiden und um unsere Marke und die Marken unserer Kunden zu schützen, hat UL Solutions Verfahren zur Erkennung und Handhabung potenzieller Interessenkonflikte eingeführt. Damit wollen wir sicherstellen, dass unsere Konformitätsassessments objektiv bleiben.