Hanna Taller ist Autorin von Inhalten für das ALM-Marketingteam von PTC. Sie ist verantwortlich für die Steigerung der Markenbekanntheit und die Förderung von Thought Leadership für Codebeamer. Hanna Taller erstellt mit Leidenschaft aufschlussreiche Inhalte rund um ALM, Life Sciences, Automobiltechnologie und Avionik.
Die Luftfahrtindustrie spielt eine entscheidende Rolle für Transport und Handel. Um Ihnen eine Vorstellung zu geben (abgesehen von den letzten Jahren mit COVID): Laut der Internationalen Zivilluftfahrt-Organisation (ICAO) wird die Zahl der Fluggäste, die 2018 mit dem Flugzeug gereist sind, von 4,3 Milliarden auf rund 10 Milliarden im Jahr 2040 steigen. Kein Wunder also, dass Cybersecurity für die Luftfahrtindustrie ein immer wichtigeres Thema wird, insbesondere wenn es um die Sicherheit und Zertifizierung von Luftfahrtentwicklungen geht. Jeder potenzielle Ausfall hat enorme Auswirkungen auf die öffentliche Sicherheit, die Weltwirtschaft und die nationale Sicherheit. Aus diesem Grund hat die Europäische Agentur für Flugsicherheit 2018 den Cybersecurity-Standard DO-326 eingeführt. Lesen Sie weiter, um mehr über die Standards von DO-326A für die Entwicklung von Luftfahrtsystemen zu erfahren und zu erfahren, wie sie sich auf Ihr Unternehmen auswirken werden!
Zur Jahrtausendwende wurde klar, dass alle Flugzeuge bereits als „digitale Flugzeuge” und „vernetzte” Flugzeuge betrachtet werden konnten. Natürlich gab es Komponenten wie GPS und Funksysteme schon seit Jahrzehnten in Flugzeugen – aber während alte Flugzeuge in einem geschlossenen System betrieben wurden, enthalten moderne Flugzeuge Tausende und Abertausende von Prozessoren, die in einem offenen System arbeiten. Dies liegt daran, dass Flugzeuge heutzutage und das Luftfahrtnetzwerk selbst zunehmend mit dem Internet und anderen Netzwerken verbunden sind, um Internet während des Fluges, Wetterberichte und Datendienste zu ermöglichen.
Hacker haben dies zur Kenntnis genommen: Laut einer aktuellen Analyse von Eurocontrol zu den zunehmenden Risiken für die Luftfahrtindustrie durch Hacker und staatlich geförderte Cyberkriminelle entfielen im Jahr 2020 61 Prozent aller entdeckten Cyberangriffe im Luftfahrtbereich auf kommerzielle Fluggesellschaften. Die traditionelle Methode zur Gewährleistung der Sicherheit der Luftfahrtentwicklung bei der Schaffung und Wartung von Luftfahrtnetzen und Avionikausrüstung ist extrem anfällig für Cyberangriffe. Hier kommen Cybersecurity-Standards für die Luftfahrt wie DO-326A ins Spiel.
Was ist DO-326A?
RTCA DO-326A, „Airworthiness Security Process Specification“ (Spezifikation für die Flugsicherheit), ist der De-facto-Industriestandard für Cybersecurity in Flugzeugen. Er enthält Leitlinien zur systematischen Vermeidung und Minderung böswilliger Eingriffe in Flugzeugsysteme, auch bekannt als „Intentional Unauthorized Electronic Interaction“ (IUEI) oder Cybersecurity-Bedrohungen. In der Branche wird er oft als „Einführung in die Cybersecurity in der Luftfahrt“ bezeichnet.
DO-326A stellt die offiziellen europäischen Konformitätsanforderungen für alle Flugzeuge, Triebwerke, Drehflügler und Propeller dar. Der Inhalt der Norm vermittelt, was es bedeutet, ein Ökosystem für sichere Sicherheit zu schaffen, und umreißt die Konformitätsziele und Datenanforderungen für Hersteller. Der Schwerpunkt von DO-326A liegt auf der Beschreibung, wie verhindert werden kann, dass Malware die Avioniksysteme während der Entwicklung und des Flugbetriebs infiziert, wenn ein Angriff die Funktionsweise des Flugzeugs erheblich beeinträchtigen und die Sicherheit der Passagiere und des Betreibers gefährden könnte.
Warum nicht einfach DO-178, ARP4754 und DO-254 befolgen?
Definitive Leitlinien zur Sicherheit der Entwicklung von Luftfahrt und Avionik wurden bewusst aus den Schwesterstandards DO-178C, ARP4754 und DO-254 herausgenommen. Der Grund dafür ist, dass Cybersecurity in der Luftfahrt als eigenständiges Fachgebiet betrachtet wird. Um die Sicherheit der Avionikentwicklung zu gewährleisten, sind andere Bewertungen, Sicherungen und allgemeine technische Fachkenntnisse erforderlich.
ARP4754 und DO-178C befassen sich zwar mit Fragen der Informationssicherheit, da diese jedoch nicht unbedingt alle die Software betreffen, wurde beschlossen, Cybersecurity aus diesen Normen herauszunehmen. Darüber hinaus ist die „Legitimitätsquelle“, d. h. der Grund für einen Fehler in ARP4754 und DO-178C, recht vage als „Ereignis“ definiert, das Sabotage nicht umfasst. Eine Änderung dieser Dokumentation hätte den gesamten Prozess der Erstellung von Cybersecurity-Richtlinien erheblich verzögert, sodass man sich entschied, neue Richtlinien zu erstellen, anstatt Zeit mit der Überarbeitung alter Dokumente zu verlieren.
Für was und wen gilt DO-326A?
DO-326A gilt derzeit für:
- Allgemeine Luftfahrt (Teil 23)
- Starrflügler (Teil 25)
- Drehflügler (Teile 27 und 29)
- Motoren (Teil 33)
- Und Propeller (Teil 35)
- Hersteller von Luft- und Raumfahrtgeräten
- Entwickler/Hersteller von Luft- und Raumfahrtplattformen
- Manager für Flugzeuge, Avionik und Bordunterhaltung
- Flugzeugbetreiber
- MROs (Manager für Wartung, Reparatur und Überholung)
- Konstrukteure
- Qualitätssicherungsspezialisten
- Zertifizierungspersonal
- Sonstige Akteure der Luft- und Raumfahrt/verwandte Dienstleister
Sollte die Verordnung in Zukunft weiter ausgeweitet werden, könnten auch Flugverkehrsmanager und Flugsicherungsdienste in Europa betroffen sein. Grundsätzlich sollten alle Akteure der Luftfahrt, die hinsichtlich der Einhaltung der Cybersecurity-Vorschriften auf dem neuesten Stand sein und für ihre Organisation den Überblick behalten müssen, mit der DO-236A vertraut sein.
Inhalt der DO-326A
Gemäß DO-326A ist jeder, der neue Avionik in einem Flugzeug einsetzt (z. B. ein Bordunterhaltungssystem, WLAN an Bord oder ein Navigationssystem), verpflichtet, die vorhandenen Sicherheitsmaßnahmen nachzuweisen. Außerdem muss nachgewiesen werden, dass alle potenziellen Cybersecurity-Bedrohungen untersucht wurden und wie diese Maßnahmen diese Bedrohungen mindern.
DO-326 legt den Schwerpunkt auf die Musterzulassung während der ersten drei Phasen der Entwicklung eines Flugzeugs:
- Einführung
- Entwicklung oder Erwerb
- Implementierung
Außerdem enthält sie Leitlinien für die vollständige Entwicklung der Cybersecurity-Sicherheitsvorkehrungen für die Avionik, die sie in sieben Schritten darlegt:
- Plan für Sicherheitsaspekte der Zertifizierung
- Definition des Sicherheitsumfangs
- Bewertung der Sicherheitsrisiken
- Festlegung der Risikobereitschaft
- Entwicklung der Sicherheit
- Sicherheitswirksamkeit
- Kommunikation der Nachweise
Zusammen bilden diese Schritte einen Prozess, in dem alle Bedrohungsszenarien bewertet werden. Auf diese Weise ermöglicht DO-326A allen beteiligten Akteuren, Anwendungsfälle und mögliche Bedrohungen zu identifizieren und sicherzustellen, dass die richtigen Sicherheitsmaßnahmen zu deren Bewältigung getroffen werden. Die Befolgung der Empfehlungen von DO-326A hilft Ihrem Unternehmen, Entwicklungs- und Compliance-Kosten zu senken und gleichzeitig ein Höchstmaß an Cybersecurity und Sicherheit für Ihre Luftfahrt- und Flugzeugsysteme zu gewährleisten.
Die Leitlinien der DO-326A ergänzen andere Leitfäden zur Hardware-/Software-Zertifizierung wie RTC DO-178C und RTCA DO-254. Wenn Sie nach Möglichkeiten suchen, die Entwicklung von Luftfahrtprodukten, Luftfahrtsoftware und eingebetteten Avioniksystemen zu optimieren und gleichzeitig die Konformität mit DO-178C und anderen Luftfahrtstandards zu erreichen, sind Sie bei uns genau richtig.
Sichern Sie sich Ihre kostenlose Testversion von Codebeamer
Vereinfachen Sie komplexe Produkt- und Softwareentwicklung in großem Maßstab. Starten Sie Ihre kostenlose Testversion der offenen Plattform Codebeamer.
Jetzt testen