Cybersecurity - neue Herausforderungen: ISO/SAE 21434, UNECE WP.29 R155 und R156
Die Mobilität von morgen begeistert die Kunden und bietet Fahrzeugherstellern hervorragende Geschäftschancen. Die zunehmende Vernetzung ermöglicht dabei neue Mobilitätslösungen wie autonom fahrende Fahrzeuge oder Funktionsupgrades, die über eine Funkschnittstelle („Over-the-Air“) bereitgestellt werden. Leider profitieren auch Hacker von diesen neuen Möglichkeiten – die zunehmende Vernetzung öffnet neue Einfallstore für Cyberangriffe.
Internationale Regulierungen
Die Wirtschaftskommission der Vereinten Nationen für Europa ist ein weltweites Regulierungsforum für die Harmonisierung von Fahrzeugvorschriften (UNECE WP.29).
Aufgrund der zunehmenden Bedeutung der Cybersecurity wurden unlängst Leitlinien wie die ISO/SAE 21434 oder die Regelungen 155 und 156 der UNECE WP.29 zu Cybersecurity und Softwareupdates veröffentlicht.
Die ISO/SAE-Norm legt die technischen Anforderungen für das Risikomanagement im Bereich der Cybersecurity fest. Die UN-Regelung 155 (R155) enthält einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich ihrer Cybersecurity und eines entsprechenden Managementsystems (CSMS). Darüber hinaus umfasst die UN-Regelung 156 (R156) weitere Sicherheitsanforderungen und legt das Hauptaugenmerk auf Softwareupdates.
Die internationalen Regelungen lassen sich wie folgt zusammenfassen: Sie sollen die Sicherheit von Fahrzeugen gewährleisten und den Rahmen für die Cybersecurity im Automobilbereich setzen. Damit wird die Cybersecurity für die Bauartzulassung verpflichtend.
ISO/SAE 21434, R155 und R156 der UNECE WP.29
Die UN R155 nimmt Bezug auf die Industrienorm ISO/SAE 21434 „Road vehicles –Cybersecurity Engineering“ (Cybersecurity in Kraftfahrzeugen). Diese Norm definiert die technischen Anforderungen für das Cybersecurity-Risikomanagement in Bezug auf Konzept, Produktentwicklung, Produktion, Betrieb, Wartung und Außerbetriebnahme von elektrischen und elektronischen Systemen in Kraftfahrzeugen, einschließlich ihrer Bauteile und Schnittstellen.
R155 und R156 schreiben Maßnahmen vor, die vom Fahrzeughersteller umzusetzen sind, und zwar für Pkw, Kleintransporter, Lkw und Busse, leichte vierrädrige Fahrzeuge, wenn sie mit Funktionen für automatisiertes Fahren ab Level 3 ausgestattet sind, sowie Anhänger, wenn sie mit mindestens einem elektronischen Steuergerät ausgerüstet sind.
Die Regelungen verlangen Maßnahmen in vier verschiedenen Disziplinen:
- "Management fahrzeugbezogener Cyberrisiken
- Konstruktive Absicherung von Fahrzeugen zur Minderung der Risiken innerhalb der Wertschöpfungskette
- Erkennung von Sicherheitsvorfällen in der Fahrzeugflotte und Reaktion darauf
- Bereitstellung sicherer Softwareupdates und Gewährleistung der unversehrten Fahrzeugsicherheit durch Einführung einer Rechtsgrundlage für sogenannte Over-the-Air- bzw. OTA-Updates der Fahrzeugsoftware.“*
Darüber hinaus sind hinsichtlich der Voraussetzungen für die Bauartzulassung aus der R155 der UNECE WP.29 zwei verschiedene Perspektiven zu berücksichtigen:
1) Prozesse und Organisationsstrukturen in Bezug auf das Cybersecurity-Management sowie
2) Fahrzeuganforderungen zum Management von Cybersecurity-Risiken.
Sie haben Fragen oder brauchen Unterstützung? - Wir sind für Sie da.
Kontaktieren Sie unseren Experten
Alexander Harlass