Die ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ ist eine Norm zur Cyber-Security in Kraftfahrzeugen. Der Status der ISO-Norm ist seit August 2021 „Published“[1]. Die Benennung zeigt an, dass die Norm gemeinsam von einer Arbeitsgruppe der ISO und der SAE entwickelt und dann freigegeben wurde.

ISO/SAE 21434
Bereich Straßenfahrzeuge
Titel Road vehicles – Cybersecurity engineering
Erstveröffentlichung August 2021
Letzte Ausgabe August 2021
Klassifikation 43.040.15
Ersatz für SAE J3061

Aufgrund der zunehmenden Risiken durch Cyber-Angriffe auf Fahrzeuge und weil die Infrastruktur zu Online-Updates von Fahrzeugen (OTA), Flottenmanagement, Kommunikation zwischen Fahrzeugen (Car2x/V2X) und weiteren Anforderungen die Fahrzeuge neue Angriffsflächen bieten, soll die Norm Maßnahmen für die Entwicklung vorschlagen. Sie steht in Zusammenhang mit der UNECE-Regelung R 155Cyber security and cyber security management system“. Die UNECE R 155 fordert eine Zertifizierung der Fahrzeughersteller hinsichtlich eines Cyber Security Management Systems. Diese Zertifizierung ist Voraussetzung dafür, dass ein Fahrzeug in der EU[2][3] und anderen Vertragsstaaten eine Typgenehmigung für die Zulassung zum Straßenverkehr bekommen kann. Die Anwendung der ISO/SAE 21434 gilt als ein Baustein, um die Zertifizierung zu erleichtern. Allerdings deckt sie nicht alle Anforderungen der R 155 ab.

Ziele der Norm

Bearbeiten

Die Norm gilt für Komponenten (elektronische Bauteile und Software) von Fahrzeugen, die in Serie gefertigt werden, sowie Ersatz- und Zubehörteile. Sie umfasst die Phasen der Entwicklung, Produktion, Betrieb, Wartung und Recycling im Lebenszyklus eines Fahrzeuges. Infrastruktur außerhalb des Fahrzeugs, wie beispielsweise Server des Fahrzeug-Herstellers für Diagnosen, Software-Updates oder Diagnosetester (Off-Board-Diagnose) werden von der Norm nicht erfasst.[4]

Die Aktivitäten in der Produktentwicklung nach Norm werden auf Basis einer Risikoeinschätzung gesteuert, dazu werden Maßnahmen zur organisatorischen Verankerung gefordert. Prozesse werden zwar gefordert, die Norm beschreibt jedoch nur jeweils die Aufgabe eines Prozesses, überlässt die Gestaltung des Ablaufs aber den Unternehmen. Spezielle Technologien oder Lösungen werden nicht vorgeschlagen, und autonome Fahrzeuge erhalten keinen Sonderstatus in den Empfehlungen dieser Norm.

Inhalt und Aufbau

Bearbeiten

In Inhalt und Aufbau finden sich im Standard Ähnlichkeiten zur ISO 26262 „Road vehicles – Functional safety“, auf die an verschiedenen Stellen Bezug genommen wird. Der Aufbau der Norm ist derzeit einteilig mit folgender Kapitelstruktur:

Kapitel und Anhänge der ISO/SAE 21434 (Stand August 2021)
Kap. Titel Inhalt
1 Scope Vorwort
2 Normative references Normative Verweise
3 Terms and abbreviations Entwicklung einer gemeinsamen Terminologie zur Cyber-Security.
4 General considerations Beschreibt den Kontext und die Struktur dieser Norm, beispielsweise die Schnittstellen zur Umwelt des Fahrzeugs.
5 Overall Cybersecurity Management Organisatorische Maßnahmen des Unternehmens, in den Phasen des Lebenszyklus bis zur Außerbetriebnahme, beispielsweise Prozesse und spezifische Rollen für Mitarbeiter.
6 Project dependent Cybersecurity Management Project dependent Cybersecurity Management beschreibt die Anforderungen an das Management von Cybersecurity - Entwicklungsaktivitäten.
7 Distributed cybersecurity activities Zusammenarbeit mit Zulieferern und Kunden, Abstimmung der Aufgaben und Verantwortlichkeiten in einem „Cybersecurity Interface Document“ (Leistungsschnittstellenvereinbarung), Überprüfung der Kompetenz eines Lieferanten vor der Beauftragung.
8 Continual cybersecurity activities Kontinuierliche Cybersecurity Aktivitäten, die unabhängig von einem konkreten Entwicklungsprojekt sind. Dazu gehören Überwachung der Cybersecurity, Bewertung von Cybersecurity Ereignissen, Schwachstellenanalyse und Schwachstellenmanagement.
9 Concept Analysen, mit denen mögliche Cyber-Security-Risiken im Produkt erkannt werden sollen.
10 Product development Definition von Anforderungen und Aufgaben für die Produktentwicklung, beispielsweise Durchführung von Systemanalysen, Überprüfung der korrekten Umsetzung von Anforderungen.
11 Cybersecurity Validation Aktivitäten zur Cybersecurity Validierung auf Fahrzeugebene bzw. im Fahrzeug. Die Aktivitäten werden durchgeführt, wenn die Integration der Komponenten fertiggestellt ist, also wenn das Gesamtfahrzeug soweit steht, dass Versuche im Fahrbetrieb unternommen werden können.
12 Production Definition von Anforderungen und Aufgaben für die Produktion, so dass die Maßnahmen der Produktentwicklung tatsächlich im Produkt umgesetzt werden und dass die Produktion nicht zum Einfallstor für spätere Cyber-Angriffe auf das Produkt werden kann.
13 Operations and Maintenance Reaktion auf Cybersecurity-Vorfälle und Updates, Maßnahmen um diese Reaktionen zu organisieren.
14 End of cybersecurity support and decommissioning Umgang mit der Beendigung des Supports für Cyber Security im Feld. Da die Stilllegung nicht immer mit Kenntnis des Herstellers geschieht, sind die Produkte für eine sichere Stilllegung (Außerbetriebnahme) vorzubereiten.
15 Threat analysis and risk assessment methods Verschiedene Methoden zur Analyse von Risiken, z. B. Art der Bedrohung, Angriffswege und Schadenspotential.
A Summary of cybersecurity activities and work products Liste der Aktivitäten in den verschiedenen Phasen und deren stichwortartige Beschreibung.
B Examples of cybersecurity culture Positive und negative Beispiele, die eine Cyber-Security-Kultur in einem Unternehmen kennzeichnen.
C Example of Cybersecurity interface agreement template Das Development Interface Agreement (DIA, auch als Leistungsschnittstellenvereinbarung oder -beschreibung bezeichnet) ist bereits aus der ISO 26262 bekannt und legt die Aufgabenverteilung zwischen Lieferant und Kunde bei der Entwicklung von Komponenten/Teilsystemen fest.
D Cybersecurity relevance - example method and criteria Fragenkatalog, um die Relevanz eines Systems hinsichtlich der Cyber-Security zu bewerten, d. h. ob Maßnahmen nach dieser Norm überhaupt erforderlich sind.
E Cybersecurity Assurance Levels Hier werden beispielsweise die Cybersecurity Assurance Levels (CAL) definiert, die ähnlich dem ASIL in der ISO 26262 der Steuerung für den Aufwand der Cybersecurity-Maßnahmen dienen. Im Gegensatz zur ISO 26262 werden in der ISO/SAE 21434 keine Maßnahmen in Abhängigkeit vom CAL empfohlen. Die CALs bleiben eine qualitative Einstufung, die die Produktentwickler selbst bewerten.
F Guidelines for impact rating Zur Bewertung der Gefährdung einer Komponente werden verschiedene Schadenskategorien bewertet. Dazu gehört die Sicherheit für Mensch und Umwelt, der finanzielle Schaden für den Hersteller (Rückruf, Schadenersatz, Klagen, Image), Einfluss auf das Verhalten des Produktes (z. B. Ausfall/Defekt, Schwergängigkeit, Geräusch) und Kontrollverlust über schützenswerte Daten (persönliche Daten).
G Guidelines for attack feasibility rating Bewertung von Angriffswahrscheinlichkeiten, wobei drei alternative Bewertungsszenarien dargestellt werden:
  • Abschätzung der Faktoren Zeit, Fähigkeit des Angreifers, Ausrüstung, Gelegenheit und verfügbare Informationen zum Angriffsziel.
  • Abschätzung aufgrund Metriken aus dem CVSS
  • Bewertung nach Angriffsvektoren, also wie die Komponente angreifbar ist. Ist die Komponente direkt vernetzt, ist die Gefahr am größten, muss die Komponente dagegen in jedem Fahrzeug einzeln angefasst werden, ist die Gefahr am geringsten.
H Examples of application of TARA methods – headlamp system Beispiele für die Erstellung einer Threat Analysis and Risk Assessment (TARA, Risikoanalyse) mit der sich das Risiko eines Angriffs wie auch seiner Folgen qualitativ einordnen lässt.

Kapitel 4 und die Anhänge (Annexes) A–J sind informativ.

Bedrohungsanalyse und Risikobewertung

Bearbeiten

Ein zentraler Punkt der ISO/SAE 21434 ist die Bedrohungsanalyse und Risikobewertung. Das allgemeine Bestreben, eine Bedrohungsanalyse und Risikobewertung durchzuführen, wird in Kapitel 8 beschrieben. Die Konzeptphase, wie in Kapitel 9 beschrieben, besteht aus der Definition des Untersuchungsgegenstandes (Abschnitt 9.3), dem Finden von Cybersicherheitszielen (Abschnitt 9.4) und deren Bündelung zu einem ganzheitlichen Cybersicherheitskonzept (Abschnitt 9.5). Der größte Teil der Identifizierung von Cybersicherheitszielen besteht darin, sich auf das in Kapitel 8 beschriebene Vorgehen zu berufen.[5]

Die Hauptschritte bei der Durchführung einer ISO/SAE 21434-konformen Bedrohungsanalyse und Risikobewertung sind (in der Reihenfolge einer idealisierten linearen Ausführung):

  • Item-Definition (Abschnitt 9.3)
  • Asset-Identifizierung (Abschnitt 8.3)
  • Identifizierung von Bedrohungsszenarien (Abschnitt 8.4)
  • Schadens-Bewertung (Abschnitt 8.5)
  • Angriffspfadanalyse (Abschnitt 8.6)
  • Bewertung der Durchführbarkeit eines Angriffs (Abschnitt 8.7)
  • Risikobestimmung (Abschnitt 8.8)
  • Entscheidung zur Risikobehandlung (Abschnitt 8.9)
  • Ziele der Cybersicherheit [RQ-09-07]
  • Cyber-Sicherheitsansprüche [RQ-09-08]
  • Cyber-Sicherheitskonzept (Abschnitt 9.5)

Siehe auch

Bearbeiten
  • SAE J3061 „Cybersecurity Guidebook for Cyber-Physical Vehicle Systems“
  • ISO 26262 „Road vehicles – Functional safety“
Bearbeiten

Einzelnachweise

Bearbeiten
  1. ISO/SAE 21434. International Organization for Standardization, abgerufen am 18. Juli 2021 (englisch).
  2. Amtsblatt der Europäischen Union. (PDF) Rechtsakte von Gremien, die im Rahmen internationaler Übereinkünfte eingesetzt wurden. Europäischen Union, 9. März 2021, abgerufen am 11. Februar 2022 (baskisch, Betrifft die UN-ECE Regelungen 153, 155, 156 und 157).
  3. UN Task Force on Cyber security and OTA issues (CS/OTA) - Transport - Vehicle Regulations - UNECE Wiki. Abgerufen am 23. Januar 2019.
  4. ISO/SAE 21434, Kapitel Introduction, 1 Scope und 4 General considerations
  5. Inside the ISO/SAE 21434. In: YSEC. Abgerufen am 30. Juni 2020 (amerikanisches Englisch).