Der neueste Automotive-Cybersicherheitsstandard ISO/SAE 21434 zielt darauf ab, vernetzten Fahrzeugen einen robusten Schutz vor böswilligen Cyberangriffen zu bieten. Der Standard verlangt von OEMs und ihren Lieferketten, einen Security-by-Design-Ansatz für ihre Komponenten, Server und Prozesse anzuwenden, um das Risiko einer Anfälligkeit für Angriffe zu jedem Zeitpunkt während der Lebensdauer eines Fahrzeugs zu reduzieren, von der ersten Konzept- und Designphase bis hin zu Ende des Lebens.
Gemäß ISO/SAE 21434 muss die Sicherheit aller elektronischen Systeme im vernetzten Auto in jeder Phase vom Konzept über die Herstellung bis hin zur Außerbetriebnahme berücksichtigt werden, und die Systeme müssen so konstruiert sein, dass sie einen robusten Schutz vor neuen Bedrohungen bieten. Die vom Standard definierten Anforderungen müssen in die DNA eines Unternehmens eingebettet sein, und Organisationen müssen ein Cyber Security Management System (CSMS) implementieren, einschließlich Cybersecurity Risk Management.
Vernetzte Fahrzeuge werden unweigerlich mit externen Einheiten kommunizieren, von anderen Fahrzeugen über die Smart-City-Infrastruktur bis hin zur Cloud. Wenn sie ungesichert bleiben, könnte die Fahrzeugelektronik von Angreifern kompromittiert werden. Robuste Sicherheitsmaßnahmen sind unerlässlich, um Angriffe zu verhindern und das Fahrzeug, seine Systeme und die Back-End-Netzwerke, die sie bedienen, vor Cyberangriffen zu schützen.
Die Bemühungen zur Schaffung eines Cybersicherheitsstandards für die Automobilindustrie begannen im Jahr 2016, als die Society of Automotive Engineering (SAE) und die International Organization for Standardization (ISO) eine gemeinsame Initiative zur Schaffung eines Industriestandards für die Cybersicherheit von Fahrzeugen starteten. Beide Organisationen hatten getrennt an Automobilsicherheit und sicherheitsbezogenen Standards gearbeitet: ISO 26262 ist der renommierte Automobilsicherheitsstandard, und SAE nutzte den Rahmen von ISO 26262 bei der Erstellung von J3061, dem „Cybersecurity Guidebook for Cyber-Physical Systems“.
Die beiden Organisationen schlossen sich schließlich zusammen und arbeiteten mit Automobilherstellern, Komponenten- und Systemlieferanten sowie Anbietern von Cybersicherheit zusammen – mit über 100 Experten aus mehr als 82 Unternehmen in 16 Ländern. Das Ergebnis dieser Zusammenarbeit ist die neue Norm ISO/SAE 21434. Es definiert genaue prozessuale und organisatorische Anforderungen, um eine robuste Cybersicherheit von Fahrzeugen zu erreichen. In der Norm sind auch die Schritte aufgeführt, die für die Durchführung einer Bedrohungsanalyse und Risikobewertung potenzieller Cyberbedrohungen während des gesamten Lebenszyklus des Fahrzeugs erforderlich sind. Darüber hinaus müssen Unternehmen Cybersicherheitsereignisse überwachen und Vorfälle verwalten, wenn sie auftreten.
Darüber hinaus müssen Fahrzeughersteller (Automobil-OEMs) ab Juli 2022 bei der Einführung neuer Fahrzeugtypen in Europa, Japan und Korea, die mehr als ein Drittel der weltweiten Fahrzeugproduktion ausmachen, die neue Cybersicherheitsverordnung UN R155 für die Automobil-Cybersicherheit einhalten. Weitere Regionen sollen folgen.
UN R155 ist ein weiterer Schritt zur Verbesserung der Cybersicherheit. Die Verordnung wurde 2020 von der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) WP.29, auch bekannt als World Forum for Harmonization of Vehicle Regulations, verabschiedet. Gemäß UN R155 können Fahrzeughersteller nur dann eine Fahrzeugtypgenehmigung erlangen und neue Fahrzeugtypen verkaufen, wenn sie über ein zertifiziertes CSMS verfügen.
Der Standard ISO/SAE 21434 unterstützt die Umsetzung der R155-Anforderungen in Organisationen entlang der Lieferkette. NXP ist die erste Halbleiter Lieferant von TÜV SÜD nach ISO/SAE 21434 zertifizieren lassen. Dies hilft OEMs, die Anforderungen der R155-Verordnung zu erfüllen.
Es ist wichtig zu betonen, dass der Standard nicht bedeutet, dass OEMs bestehende Systeme zerlegen und Legacy-Komponenten nach Belieben entfernen sollten. Sie müssen Automotive-Systeme analysieren und feststellen, ob ihre Komponenten relevante Sicherheitskriterien erfüllen. Diese Analyse wird sich für neue, konforme Komponenten als einfacher erweisen. Vorhandene Standardkomponenten erfordern eine weitere Bewertung ihrer Eignung und die Identifizierung – und Behebung – potenzieller Sicherheitslücken. Angesichts der Vielzahl elektronischer Komponenten, die in einem Neuwagen von Tier-1- und Tier-2-Lieferanten verwendet werden, wird die Verantwortung geteilt, mit Auswirkungen auf die gesamte Lieferkette.
Zukünftige Automobilprodukte müssen dem Standard entsprechen und die Hersteller müssen entsprechende Nachweise erbringen. NXP und andere Lieferanten müssen eng mit Tier-1- und OEM-Kunden zusammenarbeiten und ihnen bei der Durchführung ihrer Risikobewertungen und Compliance-Validierung helfen.
In Zukunft werden Verbraucher und Automobilhersteller von der Umsetzung der Standards und der Einhaltung der Vorschriften profitieren. Verbraucher können konsistent und nahtlos genießen Technologie Dies erhöht die Sicherheit und das Benutzererlebnis durch robusten Schutz vor Cyberangriffen und sich entwickelnden Bedrohungen.
über NXP Semiconductors