Kontakt

Kontaktieren
Sie uns!

Schnell und unkompliziert ...

WhatsApp

E-Mail

Messen

ISO/SAE 21434: Cyber-Security in Kraftfahrzeugen

Die internationale Norm ISO/SAE 21434:2021 definiert Anforderungen an das Cybersecurity-Risiko-Management bei Konzeption, Entwicklung, Produktion, Betrieb, Wartung und Außerbetriebnahme von E/E-Systemen (elektrischen und elektronischen Systemen) in Fahrzeugen. Damit umfasst sie den kompletten Lebenszyklus von Fahrzeugkomponenten – von der Entwicklung über Produktion, Betrieb und Wartung bis zur Außerbetriebnahme.

Die Norm wurde gemeinsam von der Internationalen Organisation für Normung (ISO) und der Society of Automotive Engineers (SAE) entwickelt und im August 2021 publiziert. Regelmäßige Aktualisierungen sind geplant, um aktuellen technologischen und bedrohungsbezogenen Entwicklungen Rechnung zu tragen.

 

Inhalt

 

Was ist das Ziel der ISO/SAE 21434?

Mit zunehmender Vernetzung (Infotainment, Telematik, Vehicle-to-Everything etc.) wächst die Cyberangriffsfläche von Fahrzeugen. Schwachstellen in Steuergeräten, unsichere Schnittstellen und Updateprozesse (Over-the-Air-Updates) sowie schwache Authentifizierungsprozesse ermöglichen Remote-Hijacking oder das Einschleusen von Schadsoftware. Dabei stellen Cyberangriffe auf Kraftfahrzeuge nicht nur eine ernsthafte Gefahr für die Sicherheit der Fahrzeuge, Fahrer und Umgebung dar, sondern auch für den Schutz der vom Fahrzeug gesammelten Daten (z. B. Bewegungsdaten etc.).

Mit der ISO/SAE 21434 sollen solche Cybergefahren minimiert werden. Dafür setzt die Norm vor allem auf Cybersecurity-Prozesse, eine gemeinsame Sprache für die Kommunikation sowie das Management von Cybersecurity-Risiken.

 

Wofür gilt und wen betrifft die Norm?

ISO/SAE 21434 gilt für alle elektrischen und elektronischen Komponenten (Hardware, Software und Kommunikationsschnittstellen) von in Serie gefertigten Straßenfahrzeugen. Auch Ersatz- und Zubehörteile werden von der Norm erfasst. Keine Gültigkeit hat sie dagegen für externe Systeme außerhalb des Fahrzeugs wie etwa Server zur Off-Board-Diagnose oder Systeme der Ladeinfrastruktur. Damit betrifft ISO/SAE 21434 alle Automobilhersteller, Zulieferer sowie Unternehmen, die an der Konstruktion, Entwicklung oder Wartung von elektrischen und elektronischen Fahrzeug-Systemen beteiligt sind.

 

Ein kurzer Inhalts-Überblick

Inhalt und Vorgehensweise der ISO/SAE 21434 ähneln in relevanten Aspekten der Norm ISO 26262, die sich mit der funktionalen Sicherheit von elektrischen und elektronischen Systemen in Kraftfahrzeugen beschäftigt. Beide Normen setzen eine systematische Gefahren- und Risikoanalyse an den Anfang, legen anschließend Schutzziele fest und definieren Maßnahmen zur Risikominimierung.

  • Kapitel 1-3: Vorwort, normative Verweise, Terminologie
  • Kapitel 4: Allgemeiner Überblick über das Cybersecurity Risiko Management 
  • Kapitel 5: Cybersecurity Management der Organisation
  • Kapitel 6: Cybersecurity Management von Projekten
  • Kapitel 7: Zusammenarbeit zwischen Zulieferern und Kunden (Leistungsschnittstellenvereinbarung)
  • Kapitel 8: Kontinuierliche Cybersecurity-Aktivitäten 
  • Kapitel 9: Cybersecurity-Konzept
  • Kapitel 10: Definition von Anforderungen und Aufgaben bei der Produktentwicklung
  • Kapitel 11: Validierung auf Ebene des Gesamtfahrzeugs
  • Kapitel 12: Anforderungen für die Produktion
  • Kapitel 13: Reaktion auf Cybersecurity-Vorfälle, Update-Maßnahmen
  • Kapitel 14: Verfahren bei Beendigung des Supports, Vorbereitungen für Außerbetriebnahme
  • Kapitel 15: Methoden für Threat Analysis and Risk Assessment (TARA)

Im Anhang finden sich verschiedene Beispiele (etwa zur Cybersecurity-Kultur in Unternehmen), Checklisten und Bewertungskriterien (z. B. zur Cybersicherheits-Relevanz des Systems, der Gefährdung einer Komponente oder der Durchführbarkeit eines Angriffs) sowie Beispiele für die Erstellung einer Bedrohungs- und Risikoanalyse (TARA).

 

Welchen Ansatz verfolgt die Norm?

Wie erwähnt, nutzt ISO/SAE 21434 bewährte Methoden und Strukturen der ISO 26262 und überträgt sie auf den Bereich der Cybersicherheit. Dabei verfolgt sie einen systematischen, risikobasierten Ansatz, der den kompletten Produktlebenszyklus abdeckt. Zudem werden Maßnahmen zur organisatorischen Verankerung beschrieben.

Grundsätzlich müssen Unternehmen ein Cybersecurity Management System (CSMS) einrichten, um organisatorische und projektbezogene Cybersicherheitsaktivitäten zu steuern. Bei der Entwicklung von Komponenten und Systemen wird gefordert, zunächst eine systematische Bedrohungs- und Risikoanalyse zur Identifizierung, Bewertung und Behandlung von Cybersecurity-Risiken durchzuführen. Aus der Risikobewertung werden dann spezifische Sicherheitsziele und -anforderungen abgeleitet und ein Sicherheitskonzept entwickelt, das sowohl technische als auch organisatorische Maßnahmen beschreibt. Dabei werden neben den Entwicklungsprozessen auch Produktion, Betrieb, Wartung und Außerbetriebnahme berücksichtigt – etwa die Einbindung von Lieferanten und Partnern in Sicherheitsprozesse oder ein kontinuierliches Schwachstellenmanagement, Update-Prozesse und ein Vorfallmanagement.

TARA – Threat Analysis and Risk Assessment

Die Norm verlangt die Durchführung einer "Bedrohungsanalyse und Risikobewertung" (engl. Threat Analysis and Risk Assessment, kurz TARA), um Cyberrisiken im Fahrzeug frühzeitig zu erkennen und passende Schutzmaßnahmen abzuleiten.

  • Die Threat Analysis beinhaltet die systematische Identifizierung potenzieller Bedrohungen, die die Cybersicherheit vernetzter Fahrzeuge gefährden könnten. Dabei werden mögliche Angriffsvektoren, Schwachstellen und potenzielle Angriffsszenarien analysiert. 
  • Das Risk Assessment konzentriert sich auf die Bewertung und Priorisierung der identifizierten Bedrohungen und deren potenzieller Auswirkungen auf die Sicherheit.

Die Ergebnisse der TARA bilden die Basis für die Entwicklung und Implementierung effektiver Cybersecurity-Maßnahmen über den gesamten Produktlebenszyklus hinweg.

 

Regulatorischer Kontext

Mit der ISO/SAE 21434 steht den Unternehmen ein strukturierten Rahmen für die Einführung eines CSMS (Cybersicherheitsmanagementsystems) zur Verfügung, das von der Europäischen Union in der Regelung UN/ECE Nr. 155 von Automobilherstellern gefordert wird. Diese Regelung gilt seit dem 1. Juli 2024 für die Typgenehmigung von Kraftfahrzeugen, welche unter anderem die Prüfung der Risikobewertung und der Prozessdokumentation des Antragstellers beinhaltet.

 

Bezugsquellen

Die ISO/SAE 21434 kann bei der Internationalen Organisation für Normung oder bei DIN Media erworben werden.

 

Unterstützung bei Entwicklung und Betrieb cybersicherer Fahrzeugkomponenten

Unsere Sicherheitsexperten haben eingehende Erfahrung bei Identifizierung, Bewertung und Schutz vor potenziellen Bedrohungen im Automotive-Umfeld. Auf Basis jahrzehntelanger Entwicklungstätigkeit für sicherheitsgerichtete Embedded-Systeme hat NewTec einen strukturierten Prozess entwickelt, um Unternehmen bei der umfassenden Absicherung ihrer Produkte bzw. Produktionsumgebungen zu unterstützen.

Automobilhersteller und Zulieferer unterstützen wir mit ganzheitlicher Beratung zu Security-Management-Prozessen gemäß ISO/SAE 21434 sowie TARA-Schulungen. Wir sind Ihr Partner bei einer strukturierten Safety- und Security-Risikoabschätzung (auch bzgl. eines Patch- und Updatesystems) und bei einer sicheren Systemintegration.

Fragen? Kontaktieren Sie uns: Kontakt.
Oder rufen Sie uns an unter +49 7302 9611-0.
 

 

 
Das könnte Sie interessieren:
Ihr Ansprechpartner
Kontakt - Stephan Strohmeier
Stephan Strohmeier
Head of Safety & Security Solutions

NewTec GmbH
Buchenweg 3
89284 Pfaffenhofen a. d. Roth
Telefon +49 7302 9611-0
Kontakt

DEUTSCHENGLISH中国