ISO/SAE 21434

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Mit der ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ wird ein neuer Standard zur Cyber-Security/Informationssicherheit entwickelt. Der Status des Committee Draft (CD) wurde im September 2018 erreicht, d. h. einige der im Folgenden beschriebenen Details können sich noch ändern. Die Veröffentlichung der endgültigen Norm ist für November 2020 geplant[1]. Die Benennung zeigt an, dass der Standard gemeinsam von einer Arbeitsgruppe der ISO und der SAE entwickelt, und dann von beiden Organisationen freigegeben werden soll.

Aufgrund der zunehmenden Risiken durch Cyber-Angriffe auf Fahrzeuge und weil die Infrastruktur zu Online-Updates von Fahrzeugen (OTA), Flottenmanagement, Kommunikation zwischen Fahrzeugen (Car2X) und weiteren Anforderungen die Fahrzeuge neue Angriffsflächen bieten, soll der Standard Maßnahmen für die Entwicklung vorschlagen. Die Normung steht in Zusammenhang mit der derzeit erarbeiteten EU Regelung zur Cyber-Security. In Abstimmung mit der EU wird von der UNECE eine Zertifizierung für ein „Cyber Security Management System“ (CSMS) erarbeitet, die nach den aktuellen Vorschlägen verpflichtend für die Typzulassung von Fahrzeugen sein soll[2]. Mit der ISO 21434 soll dazu ein technischer Standard für die Automobilentwicklung geschaffen werden, um die Einhaltung der erwarteten Regelungen zumindest teilweise nachweisen zu können[1].

Ziele der Norm[Bearbeiten | Quelltext bearbeiten]

Der Fokus der Norm liegt auf der Definition einer gemeinsamen Terminologie und den wichtigsten Aspekten der Cybersecurity. Durch die Anwendung der Norm soll es den Unternehmen erleichtert werden, einen verantwortungsvollen und sorgfältigen Umgang bei der Entwicklung von Fahrzeugen und der Vorbeugung gegen Cyber-Angriffe nachzuweisen. Die Aktivitäten in der Produktentwicklung nach Norm werden auf Basis einer Risikoeinschätzung gesteuert, dazu werden Maßnahmen zur organisatorischen Verankerung gefordert. Prozesse werden zwar gefordert, die Norm beschreibt jedoch nur jeweils die Aufgabe eines Prozesses, überlässt die Gestaltung des Ablaufs aber den Anwendern. Spezielle Technologien oder Lösungen werden nicht vorgeschlagen und autonome Fahrzeuge erhalten keinen Sonderstatus in den Empfehlungen der Norm.

Inhalt und Aufbau[Bearbeiten | Quelltext bearbeiten]

In Inhalt und Aufbau finden sich im Standard Ähnlichkeiten zur ISO 26262 „Road vehicles – Functional safety“, auf die an verschiedenen Stellen Bezug genommen wird. Der Aufbau der Norm ist derzeit einteilig mit folgender Kapitelstruktur:

Kapitel und Anhänge der ISO 21434
Kap. Titel Inhalt
1 Scope Allgemeine Punkte, die in jedem ISO-Standard enthalten sind.
2 Normative references
3 Terms and abbreviations Entwicklung einer gemeinsamen Terminologie zur Cyber-Security.
4 General considerations Beschreibt den Kontext und die Struktur dieser Norm, beispielsweise die Schnittstellen zur Umwelt des Fahrzeugs.
5 Management of Cybersecurity Organisatorische Maßnahmen des Unternehmens, in den Phasen des Lebenszyklus’ bis zur Außerbetriebnahme, beispielsweise Prozesse und spezifische Rollen für Mitarbeiter.
6 Risk assessment methods Verschiedene Methoden zur Analyse von Risiken, z. B. Art der Bedrohung, Angriffswege und Schadenspotential.
7 Concept Phase Hier geht es um die Analyse, ob und welche Cyber-Security-Risiken für das Produkt bestehen.
8 Product development Definition von Anforderungen und Aufgaben für die Produktentwicklung, beispielsweise Durchführung von Systemanalysen, Überprüfung der korrekten Umsetzung von Anforderungen.
9 Production, operations and maintenance Definition von Anforderungen und Aufgaben für die Produktion, so dass die Maßnahmen der Produktentwicklung tatsächlich im Produkt umgesetzt werden und dass die Produktion nicht zum Einfallstor für Cyber-Angriffe werden kann.
10 Supporting processes Beschreibung von unterstützenden Prozessen, die für eine optimale Umsetzung von Cyber-Security-Maßnahmen erforderlich sind.
A Summary of cybersecurity activities Liste der Aktivitäten in den verschiedenen Phasen und deren stichwortartige Beschreibung.
B Examples of a cybersecurity culture Positive und negative Beispiele, die eine Cyber-Security-Kultur in einem Unternehmen kennzeichnen.
C DIA Template Example Das Development Interface Agreement (DIA, auch als Leistungsschnittstellenvereinbarung oder -beschreibung bezeichnet) ist bereits aus der ISO 26262 bekannt und legt die Aufgabenverteilung zwischen Lieferant und Kunde bei der Entwicklung von Komponenten/Teilsystemen fest.
D Cybersecurity Relevance Assessment: Methodology and Examples Fragenkatalog, um die Relevanz eines Systems hinsichtlich der Cyber-Security zu bewerten, d. h. ob Maßnahmen nach dieser Norm überhaupt erforderlich sind.
E Cybersecurity Assurance Levels Hier werden beispielsweise die Cybersecurity Assurance Levels (CAL) definiert, die ähnlich dem ASIL in der ISO 26262 der Steuerung für den Aufwand der Cybersecurity-Maßnahmen dienen. Im Gegensatz zur ISO 26262 werden in der ISO 21343 keine Maßnahmen in Abhängigkeit vom CAL empfohlen. Die CALs bleiben eine qualitative Einstufung, die die Organisation (entwickelndes Unternehmen) selbst bewertet.
F Methods for Verification and Validation Stichwortartige Beschreibung der Methoden zur Überprüfung von Produkt und den entwicklungsbegleitenden Analysen.
G Artefacts needed for production and post‐production phase Typische Dokumente für die Produktion, die zeigen, dass Maßnahmen zur Cyber-Security umgesetzt wurden. Dieser Abschnitt ist in der CD-Version noch unvollständig.
H Example Use Cases and Work Products: Head Lamp System Beispielhafte Anwendung der Norm an einem Frontscheinwerfer, der elektronisch gesteuert wird.
I Information to reader about terms with Oxford dictionary definition Allgemeine Information zu Begriffen, die auch außerhalb der Norm verwendet werden.
J Methods for testing cybersecurity vulnerabilities in the cybersecurity event assessment Dieser Abschnitt ist in der CD-Version noch unvollständig.

Kapitel 4 und die Anhänge (Annexes) A–J sind informativ.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

  • SAE J3061 „Cybersecurity Guidebook for Cyber-Physical Vehicle Systems“
  • ISO 26262 „Road vehicles – Functional safety“

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. a b Präsentation von Markus Tschersich, Continental AG auf dem „Infinion Automotive Cybersecurity Forum“, 25. Oktober 2018
  2. UN Task Force on Cyber security and OTA issues (CS/OTA) - Transport - Vehicle Regulations - UNECE Wiki. Abgerufen am 23. Januar 2019.