ISO 21434 für Cybersecurity in der Automobilindustrie

Fahrzeuge sind heute mehr denn je vernetzt. Von WiFi über Bluetooth und LTE bis hin zu USB - die Zahl der vernetzten Schnittstellen in Autos steigt jedes Jahr. Laut ABI Research wurden allein im Jahr 2020 30 Millionen neue vernetzte Autos verkauft - und sie sagen voraus, dass diese Zahl bis 2025 auf 115 Millionen Autos weltweit ansteigen wird. Mit zunehmender Konnektivität steigen jedoch auch die Sicherheitsrisiken, weshalb die Automobilindustrie neue Standards entwickelt hat, um die Cybersecurity in Straßenfahrzeugsystemen zu fördern.

Obwohl das Fahren eines vernetzten Autos viele Vorteile mit sich bringt - 5G-Mobilfunkverbindung für selbstfahrende Autos, fortschrittliche Navigationssysteme und weniger Verkehrsunfälle, um nur einige zu nennen -, hat die zunehmende Menge an Software in Fahrzeugen auch zu größeren Bedenken hinsichtlich der Cybersecurity geführt. Vernetzte und teilautonome Fahrzeuge sind viel anfälliger für Cyberangriffe als ihre herkömmlichen Vorgänger. Und mit den zunehmenden Fähigkeiten dieser vernetzten intelligenten Autos steigen auch die potenziellen Folgen von Cyber-Bedrohungen - für Fahrer, Verkehrsinfrastrukturen und Automobilhersteller. Daher sind Hersteller weltweit bestrebt, diese Schwachstellen zu minimieren und die Wahrscheinlichkeit von Unfällen und Verletzungen zu verringern. Hier kommt die ISO 21434 ins Spiel.

ISO 21434, „Road vehicles - Cybersecurity engineering“, ist eine Norm der Automobilindustrie, die von der International Standard of Organization (ISO) zusammen mit der Society of Automotive Engineers (SAE) entwickelt wurde. Aufbauend auf der ISO-Norm 26262, die sich auf die funktionale Sicherheit konzentriert, befasst sich die ISO-Norm 21434 mit den Cybersecurity-Risiken, die mit dem Design und der Entwicklung von Fahrzeugelektronik verbunden sind. Sie bietet aktualisierte Richtlinien für das Sicherheitsmanagement, fortlaufende sicherheitsbezogene Aktivitäten sowie Methoden zur Risikobewertung und -minderung.

Die ISO 21434 wurde entwickelt, um sicherzustellen, dass OEMs und Zulieferer Cybersecurity in jedem Schritt des Produktlebenszyklus berücksichtigen, von der Konzeptphase bis zur Ausmusterung. Die Norm enthält außerdem die Terminologie, Ziele, Anforderungen und Richtlinien, die Unternehmen benötigen, um:

• Definition von Cybersecurity-Richtlinien und -Prozessen
• Analysieren, Erkennen und Verwalten von Cybersecurity-Risiken
• Förderung einer Kultur der Cybersicherheit innerhalb des Unternehmens (Security by Design)

ISO 21434 gilt für alle Software, die zugehörigen elektronischen Systeme und Komponenten sowie die Hardware in Fahrzeugen. Das übergeordnete Ziel der Norm ist es, einen umfassenden Leitfaden für Automobilentwickler zu erstellen, der ihnen hilft, Cybersecurity-Themen während des gesamten Entwicklungszyklus abzudecken und sicherzustellen, dass auch die gesamte Zuliefererkette abgedeckt ist.

Cybersecurity in der Automobilindustrie ist von entscheidender Bedeutung, da moderne Fahrzeuge für kritische Funktionen wie Lenkung, Bremsen und Navigation in hohem Maße auf Software angewiesen sind. Die zunehmende Konnektivität erhöht das Risiko von Cyberangriffen, die die Sicherheit gefährden und Menschenleben in Gefahr bringen können. Die Möglichkeit, eine große Anzahl von Fahrzeugen zu kompromittieren und in einem Netzwerk zu verwenden, stellt eine zusätzliche Bedrohung dar. Vernetzte Fahrzeuge verarbeiten auch sensible Daten, die ohne angemessene Sicherheitsvorkehrungen anfällig für Identitätsdiebstahl und unbefugte Überwachung sein könnten. Die potenzielle Gefahr, die von böswilligen Akteuren für ein einzelnes Fahrzeug (oder ganze Flotten) ausgeht, ist nicht mehr nur eine Science-Fiction-Geschichte. Während sich die Automobilhersteller auf die neue Realität vernetzter Autos mit ernsthaften intelligenten Funktionen einstellen müssen, könnte ein bedeutender Angriff auf die Fahrzeugsysteme ihrem Ruf, ihrer Marke und ihrer Wettbewerbsposition in einem sich schnell verändernden Markt einen schweren Schlag versetzen.

Robuste und effektive Cybersecurity ist entscheidend für das Vertrauen der Öffentlichkeit in Technologien wie autonomes Fahren und Fahrzeug-zu-Fahrzeug-Kommunikation (V2V). Während Automobilhersteller Milliarden für die Entwicklung intelligenter Funktionen ausgeben, stellen erfolgreiche Angriffe auf ihre Fahrzeuge nicht nur eine Belastung für ihre Marken dar, sondern drohen auch die Nachfrage nach diesen als Belastung empfundenen Funktionen zu untergraben. Da Cybersecurity bald genauso wichtig wird wie die Unfallsicherheit, brauchen Unternehmen strenge Standards, damit die Öffentlichkeit darauf vertrauen kann, dass ihre Fahrzeuge sicher sind. Die Einhaltung von Normen wie ISO 21434 ist für diese Unternehmen der beste Weg, um Risiken zu mindern, finanzielle Verluste zu vermeiden und ihren Ruf zu schützen.

Die ISO-Norm 21434 sieht vor, dass Cybersecurity in jeder Phase des Lebenszyklus eines Automobilprodukts integriert wird. Die Norm hilft Herstellern und Zulieferern, Cybersecurity-Risiken von der ersten Konzeptphase über die Produktion bis hin zur Außerbetriebnahme effektiv zu erkennen und zu managen. Letztendlich zielt sie darauf ab, Fahrzeugsysteme vor Cyberbedrohungen zu schützen, die Sicherheit der Nutzer zu gewährleisten und das Vertrauen in vernetzte und autonome Fahrzeugtechnologien zu erhalten.

Die Einführung der ISO-Norm 21434 hilft Unternehmen, einen sicheren Managementprozess zu etablieren und aufrechtzuerhalten, indem bewährte Cybersecurity-Verfahren in den gesamten Produktlebenszyklus integriert werden. Dadurch wird sichergestellt, dass potenzielle Schwachstellen frühzeitig erkannt und behoben werden, was das Risiko kostspieliger Rückrufe und späterer Sicherheitsvorfälle verringert.

ISO 21434 bietet einen strukturierten Ansatz für die Risikobewertung und das Bedrohungsmanagement, mit dem Unternehmen Cyberangriffe besser vorhersehen und verhindern können. Diese umfassende Strategie steigert die allgemeine Widerstandsfähigkeit von Fahrzeugsystemen und unterstützt die kontinuierliche Verbesserung von Cybersecurity-Maßnahmen. Durch die wirksame Eindämmung potenzieller Bedrohungen können Unternehmen der Automobilindustrie kritische Funktionen schützen und die Sicherheit der Nutzer auf höchstem Niveau halten.

Die Integration von Cybersecurity-Anforderungen in die Entwicklungsabläufe fördert eine verbesserte betriebliche Effizienz. ISO 21434 strafft Prozesse und reduziert Redundanzen, was eine bessere Kollaboration zwischen Abteilungen und Beteiligten ermöglicht.

Im Laufe der Zeit kann die Investition in robuste Cybersecurity-Maßnahmen wie ISO 21434 zu erheblichen Kosteneinsparungen führen. Unternehmen können finanzielle Verluste minimieren, indem sie Datenschutzverletzungen, Systemausfälle und mögliche Rechtsstreitigkeiten verhindern. Die Einhaltung dieser Norm trägt auch dazu bei, Bußgelder und rechtliche Konsequenzen zu vermeiden, was sie zu einer kosteneffizienten Strategie für langfristige Sicherheit macht.

Die Umsetzung von ISO 21434 ist ein sicherer Weg, um das Engagement für fortschrittliche Cybersecurity-Praktiken zu demonstrieren. Dieses Engagement verbessert den Ruf und stärkt das Vertrauen der Kunden in die Sicherheit und Zuverlässigkeit vernetzter und autonomer Fahrzeuge. Die Einhaltung strenger Cybersecurity-Standards fördert das Vertrauen der Beteiligten und trägt dazu bei, einen Wettbewerbsvorteil in der sich entwickelnden Automobilindustrie zu sichern.

Der Zweck der ISO 21434 ist es, Automobilhersteller und -zulieferer zu ermutigen, Cybersecurity-Belange und -Maßnahmen während des gesamten Lebenszyklus des Produkts zu berücksichtigen. Um die ISO-Anforderungen an die Cybersecurity in der Automobilindustrie zu erfüllen, müssen OEMs und Zulieferer nachweisen, dass sie die empfohlenen Sicherheitsvorkehrungen umgesetzt und ihre Sorgfaltspflicht erfüllt haben. Außerdem müssen OEMs und Zulieferer Cybersecurity-Maßnahmen über die gesamte Lieferkette hinweg ergreifen, wobei die Verantwortung letztlich beim Hersteller liegt.

Die ISO 21434 fördert die Einstellung der Unternehmen, dass Sicherheit und Datenschutz an erster Stelle stehen, und legt deshalb Richtlinien für den gesamten Lebenszyklus der Produktentwicklung fest. Sie folgt dem V-Modell und beschreibt detailliert, wie Cybersecurity in jeder Phase von der Anforderungsdefinition über den Entwurf, die Implementierung, die Prüfung und den Betrieb vom Kauf bis zur Ausmusterung eine Rolle spielt. Einige der Aktivitäten, die OEMs und Zulieferer gemäß dieser Richtlinie durchführen müssen, sind:

• Durchführung von Risikobewertungen

• Identifizierung von Schwachstellen in der Cybersecurity

• Sicherstellung, dass die Entwicklung mit den richtigen Sicherheitsvorkehrungen erfolgt, um diese Schwachstellen zu beseitigen

• Rigoroses Testen von Anwendungen und Software-/Hardwarekomponenten, um sicherzustellen, dass diese Risiken gemindert wurden

Die Norm schreibt strenge Test- und Validierungsverfahren vor, um die Robustheit der Cybersecurity-Maßnahmen während des gesamten Lebenszyklus der Fahrzeuge zu gewährleisten. Unternehmen müssen umfassende Risikobewertungen durchführen, Penetrationstests durchführen und Systeme kontinuierlich überwachen, um die Einhaltung der Vorschriften zu gewährleisten. Moderne Lösungen für das Application Lifecycle Management (ALM) können Automobilunternehmen dabei helfen, strenge Anforderungen wie ISO 21434 zu erfüllen, indem sie durchgängige Rückverfolgbarkeit, Transparenz und effiziente Kollaboration über den gesamten Lebenszyklus der Entwicklung ermöglichen. Dies kann letztlich eine proaktive Haltung zur Cybersecurity gewährleisten und die Widerstandsfähigkeit gegen sich entwickelnde Bedrohungen fördern.

ISO 21434 enthält eine Reihe von Anforderungen an die Cybersecurity-Entwicklung in der Automobilindustrie. Diese dienen dazu, Schwachstellen zu analysieren und Schutzmaßnahmen zu ergreifen, um ein höchstmögliches Maß an Cybersecurity zu gewährleisten. Der Ansatz basiert auf der Prämisse, dass Cybersecurity bei allen Konstruktionsfragen an erster Stelle stehen und bei jedem Schritt des Produktlebenszyklus berücksichtigt werden sollte, anstatt eine isolierte Maßnahme zu sein, die in einer späteren Phase separat eingeführt wird. Dieser Ansatz betrifft zum Beispiel Entscheidungen wie die verwendete Programmiersprache, da sichere Codierungstechniken sowie eindeutige Syntax- und Semantikdefinitionen implementiert werden müssen.

Die UN R155 ist eine der Regelungen, die vom UNECE-Weltharmonisierungsforum für Fahrzeugregelungen (WP.29) zusammen mit ihrer Schwesterregelung UN 156 erlassen wurden. Sie gilt seit Juli 2022 als verbindlich für neue Fahrzeuge auf den UNECE-Märkten.

Die RN155 schreibt die Verwendung eines zertifizierten Cybersecurity-Managementsystems vor und legt besonderes Augenmerk auf folgende Punkte:

• Analyse, Bewertung und Management von Cyberrisiken bei vernetzten Fahrzeugen

• Einsatz von Cybersecurity „by design“ zur Verringerung der Risiken in der gesamten Lieferkette

• Fahrzeugsoftware sicher auf dem neuesten Stand halten

• Vorhandensein von Systemen zur Erkennung und Behebung von Sicherheitsvorfällen in Fahrzeugen

UN R155 und ISO 21434 sind sehr ähnlich, wobei es sich bei der ersten um eine UN-Vorschrift und bei der zweiten um eine Industrienorm handelt. Beides sind Richtlinien mit Anforderungen, die zur Förderung der Cybersecurity in der Automobilindustrie erfüllt werden müssen. Um die Anforderungen sowohl der ISO-Normen für Cybersecurity in der Automobilindustrie als auch der UN-Vorschriften zu erfüllen und Ihre Produkte schnell und reibungslos zur Markteinführung zu genehmigen, müssen Sie über die richtigen Tools verfügen, die die Einhaltung der Vorschriften unterstützen.

In ihrer Gesamtheit bieten diese Vorschriften Schutzmaßnahmen und Herausforderungen. Während die Vorschriften und Normen dazu beitragen, negative Folgen für die Cybersecurity zu vermeiden, haben sie die Hersteller gezwungen, wichtige Bereiche ihres Geschäfts zu ändern oder neu zu erfinden. Man könnte argumentieren, dass genau das der Sinn dieser Normen ist. Um diese digitale Transformation erfolgreich zu bewältigen, suchen führende Unternehmen nicht nur nach CAD-, PLM- und ALM-Systemen, sondern nach Lösungen, die beide integrieren können, um einen zuverlässigeren, flexibleren und stabileren Compliance-Prozess zu schaffen. Die richtige Technologie trägt auch dazu bei, dass Automobilhersteller nicht gezwungen sind, sich zwischen der strikten Einhaltung von Standards und einer schnellen Markteinführung zu entscheiden.

Bevor Sie ISO 21434 einführen, sollten Sie zunächst Ihren aktuellen Cybersecurity-Rahmen bewerten, um Ihre Bedürfnisse und Lücken zu verstehen. Wie effektiv identifizieren und verwalten Sie Cybersecurity-Risiken in jeder Phase des Produktlebenszyklus? Verfügen Sie über ein solides Schulungsprogramm, um sicherzustellen, dass alle Teams mit den bewährten Verfahren und den Anforderungen der Compliance vertraut sind? Sobald Sie ein solides Verständnis der aktuellen Prozesse haben, können Sie eine umfassende Cybersecurity-Richtlinie definieren, die Teams in bewährten Verfahren schulen und Methoden zur Risikobewertung in den Entwicklungszyklus integrieren. Der Einsatz moderner ALM-Lösungen kann diese Bemühungen weiter straffen, indem Prozesse zentralisiert, die teamübergreifende Kollaboration verbessert und Tools zur kontinuierlichen Überwachung von Compliance und Risikomanagement bereitgestellt werden. Der richtige Ansatz in Verbindung mit der richtigen Technologieinvestition kann die Herausforderung der Cybersecurity-Compliance in einen Wettbewerbsvorteil verwandeln.

Mit jedem Tag werden mehr Fahrzeuge (und Funktionen in ihnen) vernetzt. Kritische Funktionen, die früher manuell ausgeführt wurden, hängen heute vollständig von Software ab, und ihre Sicherheit ist notwendiger denn je, um die Sicherheit der Benutzer und den Datenschutz zu gewährleisten.

Straffen Sie Ihre Compliance

Erfahren Sie mehr über die Revolution der Software-Defined Vehicles.

Video ansehen