ISO/SAE 21434 – Standard zur Cybersecurity im Automobilbereich

Fahrzeuge sind zunehmend vernetzt und mit entsprechender Technik ausgestattet, bis hin zu den Voraussetzungen für autonomes Fahren. Diese Vernetzung und die permanente Kommunikation mit dem Internet, in naher Zukunft auch die Car to car- oder Car to x-Kommunikation machen die Fahrzeuge anfällig für Cyberattacken. Da solche Angriffe natürlich immer sicherheitsrelevant für Nutzer, Fahrzeug und Dritte sind, müssen derartige Zwischenfälle von vornherein ausgeschlossen werden und entsprechende Abwehrmechanismen vorgesehen sein. 

Lange Zeit gingen bestehende Normen im Automobilbau nicht auf solche Herausforderungen in punkto Cybersicherheit ein. Hier war nun die Automobilindustrie gefordert: Sie hat im Jahr 2021 entsprechend reagiert und die Cybersecurity-Grundlagen für Automobilanwendungen gelegt. Mit der UN-Regelung Nr. 155 — Einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich der Cybersicherheit und des Cybersicherheitsmanagementsystems [2021/387] hat das Weltforum für die Harmonisierung von Fahrzeugvorschriften (UNECE World Forum for Harmonization of Vehicle Regulations - UNECE WP.29) für die Zulassung von Fahrzeugen neue Regelwerke und Anforderungen für die Sicherheit gegen Cyberangriffe definiert. Die UNECE WP.29 agiert als eine Arbeitsgruppe des Inland Transport Committee der Wirtschaftskommission der Vereinten Nationen für Europa. 

Zertifiziertes Cybersicherheitsmanagementsystem

Die Regelung UNECE WP.29/R155 fordert seit Juli 2022 von Fahrzeugherstellern – oder genauer von Unternehmen, die Fahrzeuge in Verkehr bringen, dass ein Cybersicherheitsmanagementsystem (CSMS) installiert ist und dass für die Typgenehmigung eines neuen Fahrzeugtyps der Nachweis angetreten wird, dass dieses CSMS wirkungsvoll arbeitet. Mit anderen Worten: R155 schreibt für die Fahrzeughersteller die Notwendigkeit einer Zertifizierung ihres CSMS als Voraussetzung für eine Typgenehmigung in der EU und anderen Vertragsstaaten fest. 

Um diese Ansätze und jeweiligen Prozesse in bestehende Systeme implementieren und die Zertifizierungsanforderungen der R155 umsetzen zu können, wurde der neue Standard ISO/SAE 21434 durch die Internationale Organisation für Normung (ISO) gemeinsam mit dem Verband der Automobilingenieure (SAE) erarbeitet und als ISO/SAE 21434:2021-08 Straßenfahrzeuge - Cybersecurity engineering im August 2021 veröffentlicht. Der internationale Standard unterstützt die Umsetzung der R155-Anforderungen in Unternehmen entlang der gesamten Lieferkette, um eine robuste Cybersicherheit für Fahrzeuge zu erreichen und die Fahrzeuge vor Cyberangriffen zu schützen. Die Anwendung der ISO-Norm stellt mithin einen wichtigen Baustein dar, der die Zertifizierung vereinfachen kann. Der Standard gibt dafür den organisatorischen und verfahrenstechnischen Rahmen vor, den Unternehmen bei der Definition eines strukturierten Prozesses zur Gewährleistung der Cybersicherheit während des gesamten Lebenszyklus einzuhalten haben – von der Entwicklung über die Produktion und Wartung bis hin zum Serienbetrieb und dem Management sowie der Löschung personenbezogener Daten. Eine wesentliche Rolle spielt dabei – wie bereits erwähnt – die Etablierung eines Cybersicherheitsmanagementsystem (CSMS), welches auch das Management von Cybersicherheitsrisiken umfasst. Dafür beschreibt die Norm Schritte, die für die Durchführung einer Bedrohungsanalyse und Risikobewertung potenzieller Cyberbedrohungen (TARA - Threat and Risk Analysis) erforderlich sind. Außerdem müssen die Organisationen Cybersecurity-Ereignisse überwachen und Vorfälle bewältigen, wenn diese auftreten. 

Sämtliche Sicherheitsfragen sind für alle elektronischen Systeme im vernetzten Fahrzeug in jeder Phase des Produktlebenszyklus‘ zu berücksichtigen – vom Konzept über die Herstellung bis zur Außerbetriebnahme. Es wird von den Systemen gefordert, dass sie einen starken Schutz vor sich entwickelnden Bedrohungen und Cyberattacken bieten.

Darüber hinaus stehen Fragen von Cybersecurity in unmittelbarem Zusammenhang mit der funktionalen Sicherheit des Fahrzeugs nach ISO 26262. Fakt ist: Funktionale Sicherheit ist auf Informationssicherheit angewiesen und ohne Cybersecurity-Konzept nicht realisierbar. Mangelnde Security hat direkte Folgen für Funktionalität, Benutzerfreundlichkeit und Sicherheit, was wiederum produkthaftungsrechtliche Fragen auf den Plan ruft. 

Zusammengefasst beinhaltet die ISO/SAE 21434 vier Hauptbestandteile, die entsprechende Anforderungen festschreiben: 

  1. Risikobewertung und -management: 
    Bewerten und Managen von Cybersicherheitsrisiken für Fahrzeugsysteme inkl. Planen des Umgangs mit Cyber-Vorfällen 

  2. Sicherheitskontrollen:
    Einrichten von Sicherheitskontrollen (z.B. Authentifizieren, Autorisieren, Verschlüsseln) zum Schutz der Fahrzeuge vor Cyberangriffen 

  3. Kommunikation und Informationsaustausch: Informationsaustausch zu Cybersicherheitsrisiken und -vorfällen mit Lieferanten, Kunden und anderen Beteiligten 

  4. Minderungsstrategien:
    Festlegen von Minderungsstrategien für den Umgang mit Cybervorfällen zum Minimieren von Auswirkungen eines Vorfalls auf Fahrzeugsysteme 

Seit Juli 2022 gilt in der gesamten EU die Zertifizierung nach ISO/SAE 21434 als Voraussetzung für die Typgenehmigung und Zulassung von neuen Fahrzeugtypen zum Straßenverkehr. Ab Juli 2024 werden dann zusätzlich auch sämtliche Neufahrzeuge, sowohl in der EU als auch in weiteren UNECE-Vertragsstaaten, von der Regelung berührt sein. Ein Umstand, der entsprechende Reaktionen und Vorkehrungen in allen betroffenen Organisationen notwendig macht. 


Herausforderung für Zulieferer 

Da die gesamte Lieferkette und der gesamte Lebenszyklus des Fahrzeugs unter die neue Regelung fallen, unterliegen neben den Fahrzeugherstellern auch mittelbar Zulieferer und Dienstleister den Auswirkungen der aktuellen Normungslage. Die ISO/SAE 21434 verlangt von Herstellern den Nachweis, dass lieferantenbezogene Risiken im Rahmen ihres zertifizierten CSMS identifiziert und verwaltet werden. Alle Zulieferer, die Teile und Fahrzeugkomponenten an OEM und in Fahrzeugwerke liefern, müssen also damit rechnen, durch ihre Kunden mit den Anforderungen gemäß ISO/SAE 21434 konfrontiert zu werden und sollten darauf vorbereitet sein. 

Bleiben Sie wissbegierig.