München, 19.05.2022: Cybersicherheit, Datenschutz und die Abwehr von Cyber-Angriffen auf die hochgradig vernetzten Fahrzeuge spielen in der Automobilindustrie heute und in Zukunft – nicht zuletzt durch das autonome Fahren – eine immer entscheidendere Rolle. Regelwerke und Anforderungen für die Sicherheit gegen Cyber-Angriffe müssen dafür entwickelt werden.

Diesem Handlungsdruck hat das UNECE World Forum for Harmonization of Vehicle Regulations (UNECE WP.29) – bereits im Jahr 2021 – konsequent Rechnung getragen und als Gesetzgeber frühzeitig und richtungsweisen reagiert. Durch die seitens der UNECE erlassene Regulierung R155 wurde eine Leitlinie für deren Umsetzung erlassen, welche die Cyber-Sicherheit in Form der Norm ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ für Fahrzeughersteller verbindlich festlegt und regelt. Ab Juli 2022 gilt durch den erlassenen Rechtsakt in der gesamten EU die Zertifizierung nach ISO/SAE 21434 als Voraussetzung für die Typgenehmigung und Zulassung von neuen Fahrzeugtypen zum Straßenverkehr sowie ab Juli 2024 für alle Neufahrzeuge, sowohl in der EU als auch für die weiteren UNECE Vertragsstaaten.

Wer ist betroffen?

Zunächst betrifft dieser Standard die Herstellerunternehmen (OEMs). Nachdem die R155 aber auch explizit die Zulieferer aufführt, müssen viele Zulieferer damit rechnen, zeitnah durch die OEMs mit den Anforderungen gem. ISO/SAE 21434 konfrontiert zu werden. Insbesondere Zulieferern von Elektrik/Elektronik-Komponenten (E-E) kommt hier eine besondere Bedeutung für die Sicherheit und Gefahrenabwehr zu.

Was regelt die neue Norm?

Die ISO/SAE 21434 umfasst die wichtigsten Phasen im gesamten Lebenszyklus eines Fahrzeuges, von der Entwicklung über die Fertigung bis zum Betrieb und finalen Verschrottung eines Fahrzeugs (inkl. Löschung der im Fahrzeug gespeicherten Daten). Die Norm unterstützt die Implementierung eines Cyber-Security-Management-Systems (CSMS) beim Entwicklungsdienstleister und/oder OEM, indem es ein aktives Management von (potenziellen) Schwachstellen in Hinblick auf vernetzte Fahrzeuge und deren Komponenten ermöglicht. Eine zentrale Rolle spielt dabei die Aufgabe des Cyber Security Managements im Projekt, welche idealerweise durch die Funktion des sogenannten Cyber Security Managers übernommen wird.

„Ein zentraler Punkt der ISO/SAE 21434 ist die Bedrohungsanalyse und Risikobewertung, sowie deren Bündelung zu einem ganzheitlichen Cybersicherheitskonzept im Entwicklungsprojekt. Sie ist die vorderste Front in der Absicherung von Cyberrisiken am Fahrzeug und in dessen Entwicklungsprozess“, so Thomas Salvador, Gründer der QM Experts GmbH, der auf Grundlage seiner langjährigen Erfahrung im Bereich zivil-militärischer Avionik- und IT-Systeme sehr erfolgreich Automobilzulieferer im Bereich der Informationssicherheitsmanagementsysteme (ISMS) berät.

Die Zertifizierung nach ISO/SAE 21434 ist ab 2022 sowie ab 2024 Voraussetzung für die Typgenehmigung und Zulassung von neuen Fahrzeugtypen sowie Neufahrzeugen. Hier sind nun insbesondere diejenigen Unternehmen, die bereits heute nach IATF 16949 und TISAX® arbeiten stark im Vorteil, denn auf dieser Norm-Basis kann die Implementierung und Umsetzung der ISO/SAE 21434 deutlich beschleunigt erfolgen, indem auf bestehende Prozesse und das Wissen der Organisation aufgebaut werden können.

Fazit

Der Gesetzgeber hat mit den Zulassungsvorgaben die Voraussetzungen Cybersicherheit im Auto geschaffen, es ist nun an der Industrie, diese umzusetzen und die Norm effizient und schnell einzuführen, um die Zulassungsfähigkeit für neue Fahrzeuge zu sichern. Jeder OEM und auch direkte Zulieferer müssen sich daher zeitnah über die Norm informieren und diese implementieren, um die Zulassungsfähigkeit zu erhalten.

Informationssicherheit spielt seit jeher eine wichtige Rolle, und das nicht erst, seit über Vorfälle in der Presse berichtet wird. Hier die richtigen Maßnahmen zu ergreifen ist eine wichtige Aufgabe, die mit allen Stakeholdern gut abgestimmt werden muss.

Informationssicherheit sollte daher im oberen Management ein wichtiges Thema sein, wobei der Bedarf für große, mittelständische und kleine Unternehmen gleichermaßen hoch und die Bedrohungslage drastisch an Kritikalität gewonnen hat.

Wir haben es uns zur Aufgabe gemacht, jedem Unternehmen eine angemessene Sicherheit zu ermöglichen.

