ISO/SAE 21434

ISO/SAE 21434
BereichStraßenfahrzeuge
TitelRoad vehicles – Cybersecurity engineering
ErstveröffentlichungAugust 2021
Letzte AusgabeAugust 2021
Klassifikation43.040.15
Ersatz fürSAE J3061

Die ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ ist eine Norm zur Cyber-Security in Kraftfahrzeugen. Der Status der ISO-Norm ist seit August 2021 „Published“[1]. Die Benennung zeigt an, dass die Norm gemeinsam von einer Arbeitsgruppe der ISO und der SAE entwickelt und dann freigegeben wurde.

Aufgrund der zunehmenden Risiken durch Cyber-Angriffe auf Fahrzeuge und weil die Infrastruktur zu Online-Updates von Fahrzeugen (OTA), Flottenmanagement, Kommunikation zwischen Fahrzeugen (Car2x/V2X) und weiteren Anforderungen die Fahrzeuge neue Angriffsflächen bieten, soll die Norm Maßnahmen für die Entwicklung vorschlagen. Sie steht in Zusammenhang mit der UNECE-Regelung R 155Cyber security and cyber security management system“. Die UNECE R 155 fordert eine Zertifizierung der Fahrzeughersteller hinsichtlich eines Cyber Security Management Systems. Diese Zertifizierung ist Voraussetzung dafür, dass ein Fahrzeug in der EU[2][3] und anderen Vertragsstaaten eine Typgenehmigung für die Zulassung zum Straßenverkehr bekommen kann. Die Anwendung der ISO/SAE 21434 gilt als ein Baustein, um die Zertifizierung zu erleichtern. Allerdings deckt sie nicht alle Anforderungen der R 155 ab.

Ziele der Norm

Die Norm gilt für Komponenten (elektronische Bauteile und Software) von Fahrzeugen, die in Serie gefertigt werden, sowie Ersatz- und Zubehörteile. Sie umfasst die Phasen der Entwicklung, Produktion, Betrieb, Wartung und Recycling im Lebenszyklus eines Fahrzeuges. Infrastruktur außerhalb des Fahrzeugs, wie beispielsweise Server des Fahrzeug-Herstellers für Diagnosen, Software-Updates oder Diagnosetester (Off-Board-Diagnose) werden von der Norm nicht erfasst.[4]

Die Aktivitäten in der Produktentwicklung nach Norm werden auf Basis einer Risikoeinschätzung gesteuert, dazu werden Maßnahmen zur organisatorischen Verankerung gefordert. Prozesse werden zwar gefordert, die Norm beschreibt jedoch nur jeweils die Aufgabe eines Prozesses, überlässt die Gestaltung des Ablaufs aber den Unternehmen. Spezielle Technologien oder Lösungen werden nicht vorgeschlagen, und autonome Fahrzeuge erhalten keinen Sonderstatus in den Empfehlungen dieser Norm.

Inhalt und Aufbau

In Inhalt und Aufbau finden sich im Standard Ähnlichkeiten zur ISO 26262 „Road vehicles – Functional safety“, auf die an verschiedenen Stellen Bezug genommen wird. Der Aufbau der Norm ist derzeit einteilig mit folgender Kapitelstruktur:

Kapitel und Anhänge der ISO/SAE 21434 (Stand August 2021)
Kap.TitelInhalt
1ScopeVorwort
2Normative referencesNormative Verweise
3Terms and abbreviationsEntwicklung einer gemeinsamen Terminologie zur Cyber-Security.
4General considerationsBeschreibt den Kontext und die Struktur dieser Norm, beispielsweise die Schnittstellen zur Umwelt des Fahrzeugs.
5Overall Cybersecurity ManagementOrganisatorische Maßnahmen des Unternehmens, in den Phasen des Lebenszyklus bis zur Außerbetriebnahme, beispielsweise Prozesse und spezifische Rollen für Mitarbeiter.
6Project dependent Cybersecurity ManagementProject dependent Cybersecurity Management beschreibt die Anforderungen an das Management von Cybersecurity - Entwicklungsaktivitäten.
7Distributed cybersecurity activitiesZusammenarbeit mit Zulieferern und Kunden, Abstimmung der Aufgaben und Verantwortlichkeiten in einem „Cybersecurity Interface Document“ (Leistungsschnittstellenvereinbarung), Überprüfung der Kompetenz eines Lieferanten vor der Beauftragung.
8Continual cybersecurity activitiesKontinuierliche Cybersecurity Aktivitäten, die unabhängig von einem konkreten Entwicklungsprojekt sind. Dazu gehören Überwachung der Cybersecurity, Bewertung von Cybersecurity Ereignissen, Schwachstellenanalyse und Schwachstellenmanagement.
9ConceptAnalysen, mit denen mögliche Cyber-Security-Risiken im Produkt erkannt werden sollen.
10Product developmentDefinition von Anforderungen und Aufgaben für die Produktentwicklung, beispielsweise Durchführung von Systemanalysen, Überprüfung der korrekten Umsetzung von Anforderungen.
11Cybersecurity ValidationAktivitäten zur Cybersecurity Validierung auf Fahrzeugebene bzw. im Fahrzeug. Die Aktivitäten werden durchgeführt, wenn die Integration der Komponenten fertiggestellt ist, also wenn das Gesamtfahrzeug soweit steht, dass Versuche im Fahrbetrieb unternommen werden können.
12ProductionDefinition von Anforderungen und Aufgaben für die Produktion, so dass die Maßnahmen der Produktentwicklung tatsächlich im Produkt umgesetzt werden und dass die Produktion nicht zum Einfallstor für spätere Cyber-Angriffe auf das Produkt werden kann.
13Operations and MaintenanceReaktion auf Cybersecurity-Vorfälle und Updates, Maßnahmen um diese Reaktionen zu organisieren.
14End of cybersecurity support and decommissioningUmgang mit der Beendigung des Supports für Cyber Security im Feld. Da die Stilllegung nicht immer mit Kenntnis des Herstellers geschieht, sind die Produkte für eine sichere Stilllegung (Außerbetriebnahme) vorzubereiten.
15Threat analysis and risk assessment methodsVerschiedene Methoden zur Analyse von Risiken, z. B. Art der Bedrohung, Angriffswege und Schadenspotential.
ASummary of cybersecurity activities and work productsListe der Aktivitäten in den verschiedenen Phasen und deren stichwortartige Beschreibung.
BExamples of cybersecurity culturePositive und negative Beispiele, die eine Cyber-Security-Kultur in einem Unternehmen kennzeichnen.
CExample of Cybersecurity interface agreement templateDas Development Interface Agreement (DIA, auch als Leistungsschnittstellenvereinbarung oder -beschreibung bezeichnet) ist bereits aus der ISO 26262 bekannt und legt die Aufgabenverteilung zwischen Lieferant und Kunde bei der Entwicklung von Komponenten/Teilsystemen fest.
DCybersecurity relevance - example method and criteriaFragenkatalog, um die Relevanz eines Systems hinsichtlich der Cyber-Security zu bewerten, d. h. ob Maßnahmen nach dieser Norm überhaupt erforderlich sind.
ECybersecurity Assurance LevelsHier werden beispielsweise die Cybersecurity Assurance Levels (CAL) definiert, die ähnlich dem ASIL in der ISO 26262 der Steuerung für den Aufwand der Cybersecurity-Maßnahmen dienen. Im Gegensatz zur ISO 26262 werden in der ISO/SAE 21434 keine Maßnahmen in Abhängigkeit vom CAL empfohlen. Die CALs bleiben eine qualitative Einstufung, die die Produktentwickler selbst bewerten.
FGuidelines for impact ratingZur Bewertung der Gefährdung einer Komponente werden verschiedene Schadenskategorien bewertet. Dazu gehört die Sicherheit für Mensch und Umwelt, der finanzielle Schaden für den Hersteller (Rückruf, Schadenersatz, Klagen, Image), Einfluss auf das Verhalten des Produktes (z. B. Ausfall/Defekt, Schwergängigkeit, Geräusch) und Kontrollverlust über schützenswerte Daten (persönliche Daten).
GGuidelines for attack feasibility ratingBewertung von Angriffswahrscheinlichkeiten, wobei drei alternative Bewertungsszenarien dargestellt werden:
  • Abschätzung der Faktoren Zeit, Fähigkeit des Angreifers, Ausrüstung, Gelegenheit und verfügbare Informationen zum Angriffsziel.
  • Abschätzung aufgrund Metriken aus dem CVSS
  • Bewertung nach Angriffsvektoren, also wie die Komponente angreifbar ist. Ist die Komponente direkt vernetzt, ist die Gefahr am größten, muss die Komponente dagegen in jedem Fahrzeug einzeln angefasst werden, ist die Gefahr am geringsten.
HExamples of application of TARA methods – headlamp systemBeispiele für die Erstellung einer Threat Analysis and Risk Assessment (TARA, Risikoanalyse) mit der sich das Risiko eines Angriffs wie auch seiner Folgen qualitativ einordnen lässt.

Kapitel 4 und die Anhänge (Annexes) A–J sind informativ.

Bedrohungsanalyse und Risikobewertung

Ein zentraler Punkt der ISO/SAE 21434 ist die Bedrohungsanalyse und Risikobewertung. Das allgemeine Bestreben, eine Bedrohungsanalyse und Risikobewertung durchzuführen, wird in Kapitel 8 beschrieben. Die Konzeptphase, wie in Kapitel 9 beschrieben, besteht aus der Definition des Untersuchungsgegenstandes (Abschnitt 9.3), dem Finden von Cybersicherheitszielen (Abschnitt 9.4) und deren Bündelung zu einem ganzheitlichen Cybersicherheitskonzept (Abschnitt 9.5). Der größte Teil der Identifizierung von Cybersicherheitszielen besteht darin, sich auf das in Kapitel 8 beschriebene Vorgehen zu berufen.[5]

Die Hauptschritte bei der Durchführung einer ISO/SAE 21434-konformen Bedrohungsanalyse und Risikobewertung sind (in der Reihenfolge einer idealisierten linearen Ausführung):

  • Item-Definition (Abschnitt 9.3)
  • Asset-Identifizierung (Abschnitt 8.3)
  • Identifizierung von Bedrohungsszenarien (Abschnitt 8.4)
  • Schadens-Bewertung (Abschnitt 8.5)
  • Angriffspfadanalyse (Abschnitt 8.6)
  • Bewertung der Durchführbarkeit eines Angriffs (Abschnitt 8.7)
  • Risikobestimmung (Abschnitt 8.8)
  • Entscheidung zur Risikobehandlung (Abschnitt 8.9)
  • Ziele der Cybersicherheit [RQ-09-07]
  • Cyber-Sicherheitsansprüche [RQ-09-08]
  • Cyber-Sicherheitskonzept (Abschnitt 9.5)

Siehe auch

  • ISO 26262 „Road vehicles – Functional safety“
  • SAE J3061 „Cybersecurity Guidebook for Cyber-Physical Vehicle Systems“

Weblinks

Einzelnachweise

  1. ISO/SAE 21434. International Organization for Standardization, abgerufen am 18. Juli 2021 (englisch).
  2. Amtsblatt der Europäischen Union. (PDF) Rechtsakte von Gremien, die im Rahmen internationaler Übereinkünfte eingesetzt wurden. Europäischen Union, 9. März 2021, abgerufen am 11. Februar 2022 (baskisch, Betrifft die UN-ECE Regelungen 153, 155, 156 und 157).
  3. UN Task Force on Cyber security and OTA issues (CS/OTA) - Transport - Vehicle Regulations - UNECE Wiki. Abgerufen am 23. Januar 2019.
  4. ISO/SAE 21434, Kapitel Introduction, 1 Scope und 4 General considerations
  5. Inside the ISO/SAE 21434. In: YSEC. Abgerufen am 30. Juni 2020 (amerikanisches Englisch).

Auf dieser Seite verwendete Medien

SAE International logo.svg
Logo von SAE International
ISO Logo (Red square).svg
The current logo of the International Organization for Standardization (ISO).