cyber_security_automobil_header

Cybersecurity im Automobilbereich: die neue ISO 21434

Alexander Wörl - metaMind
Experte für Informationssicherheit
Mehr erfahren

Die neue Norm ISO/SAE 21434 wird durch die Vorgaben der UNECE WP.29 mit der UN Regulation No. 155 verpflichtend für die Zulassung neuer Fahrzeugtypen. Automobilhersteller und ihre Zulieferer sollten sie nicht nur als zeitraubende und kostenintensive Auflagesehen, sondern die Mehrwerte einer sicheren Entwicklung und eines gelebten Cybersecurity-Management-Systems nutzen.

Nachdem vor circa zehn Jahren bereits mit der ISO 26262 (Road Vehicle – Functional Safety) ein einheitlicher Standard für die Sicherheit elektrischer/elektronischer Systeme geschaffen wurde, folgt Mitte 2022 die nächste größere Herausforderung für Automobilhersteller und deren Zulieferer mit der ISO/SAE 21434 (Road Vehicle – Cybersecurity Engineering). Schließlich ist durch die voranschreitende Vernetzung von Fahrzeugen ein internationaler Sicherheits-Standard für die Entwicklung von Fahrzeugen und deren Komponenten unverzichtbar.

ISO/SAE 21434 befindet sich aktuell (Sommer 2021) noch im Erstellungsprozess und soll noch in diesem Jahr publiziert werden. Die neue Norm bietet eine Basis für Cybersecurity im Automobilbereich, sie umfasst die wichtigsten Phasen im Entwicklungsprozess eines Fahrzeuges sowie einzelner Komponenten, an denen sich alle Unternehmen orientieren können. Die Inhalte der Norm definieren dabei lediglich ein Rahmenwerk und können daher nicht nicht als Implementierungs-Leitfaden verstanden werden.

Die Implementierung von ISO/SAE 21434 baut auf einer Norm auf, die als Orientierung im Entwicklungsprozess eines Fahrzeuges dient (Quelle: AdobeStock /JorgeAlejandro).

Damit die neue Anforderung nicht von Beginn an ein Schreckgespenst wird, geben wir Ihnen im Folgenden die Möglichkeit zu verstehen, warum diese Norm wichtig ist und was alles in ihr steckt. Zudem zeigen wir Ihnen, welche Mehrwerte die Einführung eines Cybersecurity-Managementsystems (CSMS) liefern kann.

Die Inhalte der ISO/SAE 21434

Auch CSMS Systeme müssen von einem externen Dritten geprüft und zertifiziert werden. Spezifische Vorgaben sind dabei dennoch nicht definiert (Quelle: AdobeStock /lassedesignen).

Grundsätzlich fordert der Standard die Implementierung eines CSMS, welches ein aktives Management von (potenziellen) Schwachstellen in Hinblick auf vernetzte Fahrzeuge ermöglicht. Dieses Management-System soll, ähnlich wie ein Information Security Management-System (ISMS), von einem externen Dritten geprüft und zertifiziert werden. Dennoch werden in der Norm keine spezifischen Vorgaben für Cybersecurity-Technologien oder -lösungen und auch keine Empfehlungen für Gegenmaßnahmen definiert.

Im Allgemeinen ist die Norm in 15 Abschnitte mit folgenden Themen unterteilt:

  • Die Abschnitte 1-4 umfassen lediglich allgemeine Informationen wie die Terminologie.
  • Die Abschnitte 5 und 6 stellen das Management der Cybersecurity sicher. Dort werden unter anderem eine organisationsweite Cybersecurity-Policy, -Regeln und -Prozesse sowie ein projektabhängiges Cybersecurity-Management gefordert.
  • In Abschnitt 7 werden die kontinuierlichen Cybersecurity-Aktivitäten wie die Informationsbereitstellung für die laufende Risikobewertung und das Schwachstellenmanagement definiert.
  • Abschnitt 8 definiert das Risikomanagement, wodurch das Vorgehen für eine vollumfängliche Identifizierung, Beurteilung und Behandlung von Risiken beschrieben wird.

Während die Abschnitte 5 bis 8 die Organisation betreffen, befassen sich die Abschnitte 9 bis 14 vor allem mit der Cybersecurity für gesamte Fahrzeuge und einzelne Fahrzeugkomponenten.

  • Dabei werden in Abschnitt 9 Vorgaben für die Konzeptphase neuer Komponenten gemacht. Unter anderem müssen dort die relevanten Assets zu diesen bestimmt und die Cybersecurity-Ziele definiert werden.
  • Während der Produktentwicklungsphase sollen in Abschnitt 10 Cybersecurity-Spezifikationen für die jeweilige Komponente festgelegt, implementiert und verifiziert werden.
  • In Abschnitt 11 werden diese Komponentenspezifikationen noch einmal auf Fahrzeuglevel validiert.
  • Die Post-Entwicklungsphase besteht aus den Abschnitten12 – Produktion“, „13 – Betrieb und Wartung“ sowie „14 – Außerbetriebnahme“. Dort werden die jeweiligen relevanten Cybersecurity-Aspekte der Phasen spezifiziert.

Der letzte Abschnitt beschreibt die unterstützenden Prozesse für Cybersecurity-Maßnahmen sowie die Wechselwirkungen und Abhängigkeiten zwischen Lieferanten und Kunden. Die einzelnen Abschnitte der Norm manifestieren dabei keine vorgegebene Reihenfolge. Die ISO 21434 versteht sich eher als ein Framework für die Etablierung und den kontinuierlichen Ausbau des CSMS.

Die Mehrwerte der ISO/SAE 21434 für Ihr Unternehmen

Die Implementierung der ISO 21434 sollte nicht nur als Störung des Tagesgeschäfts gesehen werden, sondern vielmehr als Mehrwert für Sie und die Sicherheit der Allgemeinheit. So ermöglicht die Einführung der Norm eine Verbesserung der Unternehmensstruktur und bietet Reputationsvorteile, da Cybersecurity von Fahrzeugen in Zukunft zum Qualitätsmerkmal wird. Neben dem besseren Image werden Cyberrisiken und Schäden durch aktives Management auf ein Minumum reduziert. Durch die Implementierung eines CSMS und seine Zertifizierung können außerdem Ihre Haftung sowie etwaige Versicherungspolicen gemindert werden. Des Weiteren kann die Norm, wenn sie im Unternehmen gelebt wird, die gesamte Unternehmensplanung unterstützen und Prozesse sowie Verantwortlichkeiten effizienter gestalten.

Die Implementierung der ISO 21434 schafft einen klaren Mehrwert. Cyberrisiken, Schäden, Versicherungspolicen und weiteres kann erheblich gemindert werden (Quelle: AdobeStock/studio v-zwoelf).

In der heutigen Zeit spielen die Themen Cybersicherheit und Datenschutz auch für die Kunden eine immer entscheidendere Rolle. Große Technologiekonzerne setzen bereits auf Informationssicherheit als Verkaufsmerkmal. Die ISO 21434 ermöglicht es Ihnen, dieses Potential auszuschöpfen und eine Vorreiterrolle am Markt einzunehmen.

Mit dieser kurzen Übersicht haben wir Sie mit den Inhalten der ISO 21434 vertraut gemacht. In unserem nächsten Blog-Beitrag erfahren Sie wertvolle Tipps für die Umsetzung der Norm in Ihrem Unternehmen. Bei weiteren Fragen rund um ein CSMS beraten wir Sie gerne. Wir bieten Ihnen zudem die Durchführung eines Workshops oder eines Quick-Checks unter Berücksichtung der Anforderungen an.

Schreiben Sie uns einfach eine E-Mail!

Quelle Titelbild: AdobeStock/sasun Bughdaryan

Alexander Wörl - metaMind
Experte für Informationssicherheit
Mehr erfahren
Maximilian Klautke - metaMind
Experte für IT-Compliance
Mehr erfahren

Weitere Beiträge

Human & Relations

Vom Personal-Verwalter zum Potenzial-Entfalter

Weiterlesen
Agile & Organisation

Agiles Powerplay

Weiterlesen
IT & Digital

Digital Adoption: Warum es auf die letzte Meile ankommt

Weiterlesen

Kommentieren

Diesen Beitrag teilen

Alle Beiträge von
Risk & Security