Warum ISO/SAE 21434?

 

Autos werden immer vernetzter und damit anfälliger für die zunehmenden Cyber-Angriffe von außen. Dies könnte die Sicherheit der Passagiere und der Öffentlichkeit ernsthaft gefährden. Die bestehenden Normen gehen jedoch nicht auf die neuen Herausforderungen der Cybersicherheit im Automobilbau ein, z.B. Funktionale Sicherheit, eine lange Lebensdauer und die Verwendung eingebetteter Steuergeräte. Daher müssen einheitliche Richtlinien und Standards für die Cybersicherheit im Automobilbau eingeführt werden.

ISO/SAE 21434 "Road vehicles - Cybersecurity engineering" ist der künftige Sicherheitsstandard für Kraftfahrzeuge.  Er ist wichtig für die automobile Produktentwicklung und alle damit verbundenen Prozesse.

Die ISO/SAE 21434 wird gemeinsame Terminologien für die gesamte globale Automobil-Lieferkette definieren und den Konsens der Industrie in wichtigen Fragen der Cybersicherheit vorantreiben. Sie legt Mindestkriterien für das Cybersicherheits-Engineering von Fahrzeugen fest und bietet eine Guideline, auf die sich die Qualität der Technik stützen kann.

 

 

Geltungsbereich von ISO/SAE 21434

Die neue ISO/SAE 21434 sichert den gesamten Entwicklungsprozess und Lebenszyklus eines Straßenfahrzeugs und fördert "Sicherheit durch Design". In Anlehnung an das V-Modell umfasst sie Requirements Engineering, Design, Spezifikation, Implementierung, Test und Betrieb.

Die ISO/SAE 21434 ist daher ein prozessorientierter Standard und hilft bei der Definition eines strukturierten Prozesses zur Gewährleistung der Cybersicherheit während des gesamten Lebenszyklus. Sie schreibt keine spezifischen Technologien, Lösungen oder Wiederherstellungsmethoden für die Cybersicherheit vor.

Cyber-Sicherheitsprozesse

Wir unterstützen die Einrichtung eines hochmodernen Cybersicherheitsprozesses, bei dem wir die folgenden Aktivitäten durchführen:

  • Analyse bestehender Prozesse im Hinblick auf Sicherheitsrelevanz.
  • Lücken im aktuellen Prozess identifizieren und mit einem maßgeschneiderten Cybersicherheitsprozess schließen.
  • Moderation und Ermöglichen kontinuierlicher Workshops zur Überprüfung und Umsetzung des Sicherheitsprozesses.
  • Cybersicherheitsanforderungen identifizieren und während des gesamten Lebenszyklus aufrechterhalten
  • Durchführung von Wettbewerbsanalysen und Aufrechterhaltung des Wissens über neue Technologien sowohl im Automobil- als auch im Unterhaltungselektronik-Bereich
  • Entwicklung eines geeigneten Sicherheitskonzepts (kurz-, mittel- und langfristiger Schwerpunkt) in Bezug auf Sicherheitsmerkmale

Im Falle sicherheitskritischer Produkte und wenn eine effektive Kultur und Infrastruktur der Funktionalen Sicherheit vorhanden ist, richten wir den Prozess nach ISO 26262 aus. Dadurch wird die vorhandene Kompetenz bestmöglich genutzt, was eine effiziente Einführung des Cybersicherheitsprozesses ermöglicht.

 

Unsere Lösungen

  • Vector SecurityCheck mit Bedrohungs- und Risikoanalyse (TARA), Sicherheitskonzept, priorisierten Vorschlägen und ersten methodischen Anweisungen
  • Methodik und Werkzeugunterstützung für sicherheitsorientierte Tests und Belastbarkeit
  • Prozessbewertungen für Ihre Lieferanten
  • Bewusstseinsschulung zur Cybersicherheit und ISO 21434 für Manager und Entwickler
  • Schulung und Coaching für Manager und Entwickler für die effektive Umsetzung von ISO 21434 über den gesamten Lebenszyklus
  • Interimsmanager für Cybersicherheit und Funktionale Sicherheit

Vector SecurityCheck

  • Sicherheitsanalysen und Sicherheitskonzept für End-to-End-Schutzmaßnahmen
  • Entwicklung und Spezifikation von Sicherheitsanforderungen auf der Grundlage von Bedrohungsszenarien und „Automotive Common Criteria“
  • Assets werden vereinbart, und jedes Asset wird im Hinblick auf potenzielle Angriffe, die Wirkung des Angriffs und die daraus resultierende Bedrohung analysiert. Jede Bedrohung wird nach einer Sicherheitsstufe klassifiziert. Der erste Schritt in diesem Arbeitspaket ist die Analyse der Sicherheitselemente im Rahmen des Sicherheitstechnikprozesses.
  • Entwicklung von Konzepten und Lösungen rund um verwandte Cybersicherheitsvorfälle, die in Industrie und Forschungsorganisationen gemeldet werden.
  • Analysieren von Steuergeräten, finden von potenzielle Sicherheitsschwächen und Berichterstattung, um neue Anforderungen, Tests oder Prozesse zu finden, die aktualisiert werden können, um zukünftige Risiken zu vermeiden. Storyboards, Anwendungsfälle, Proof-of-Concept-Demonstrationen, Spezifikationen und Erfahrungen bei der Anforderungsentwicklung
  • Sicherheitskonzept und Angriffspläne analysieren
  • Für jede Bedrohung mit einem hohen Sicherheitsniveau werden Sicherheitsziele abgeleitet. Sicherheitsziele können als high-level Sicherheitsanforderungen zusammengefasst werden.
  • Jedes Sicherheitsziel wird dann weiter verfeinert in funktionale und technische Sicherheitsanforderungen, die helfen, das Sicherheitsziel zu erreichen. Dieser Schritt beantwortet die Fragen nach dem "Wie?" und liefert konkrete Antworten für die Umsetzung.
  • Darüber hinaus kann, wenn bereits die ersten Konzeptdokumente vorliegen, eine vorläufige Lückenanalyse durchgeführt werden, bei der geprüft wird, ob die Systemanforderungsspezifikation die entsprechenden Sicherheitsaspekte auf der Grundlage der Sicherheitsanforderungen abdeckt oder nicht.