Cybersicherheit in der Automobilindustrie | Unser Informationssicherheitsexperte klärt auf.

Cybersicherheit in der Automobilindustrie

Inhaltsverzeichnis

„Im Rahmen meiner TISAX® Beratertätigkeit habe ich festgestellt, wie schwierig es ist,
den Überblick über die notwendigen Regelungen, Bedingungen und Normen der Cybersecurity
und Homologation (ein vom VDA festgelegtes Reglement) zu behalten.
Ich möchte etwas Licht ins Dunkel bringen und Ihnen mit dem folgenden Beitrag eine Übersicht
über die aktuellen Initiativen im Transport- und Verkehrsbereich geben.“
Michael Kirsch

Richtlinien und Normen zur Cybersicherheit: Das steckt dahinter…

Bei der Genehmigung von Fahrzeugen spielt auch die Cybersicherheit inkl. des Cybersicherheitsmanagementsystems eine entscheidende Rolle. Um im Rahmen der Genehmigung von Fahrzeugen für einheitliche Bedingungen zu sorgen, wurde die UN-Regelung R155 eingeführt. Sie bestimmt, welche Maßnahmen die Hersteller während und nach der Produktion ergreifen müssen, um die Cybersicherheit der Fahrzeuge sicherzustellen. Nur bei Erfüllung der Kriterien kann eine Typengenehmigung erteilt werden. Zu den Kriterien gehören neben einer lückenlosen Risikobewertung u. a. auch die Datensicherheit in bestimmten Umgebungen des Unternehmens. Zudem werden implementierte Verfahren für eine einheitliche Bewertung verlangt.

Sicherheitsprozesse in der internen Entwicklung

Unternehmen im Bereich Transport und Verkehr wenden nach eigenen Angaben überwiegend SAE J3061 an, den Cybersecurity-Leitfaden für „Cyber Physical Vehicle Systems“. Dieser beschreibt praktische Sicherheitsprozesse, und klärt u. a. darüber auf, wie Cybersecurity-Systeme in Fahrzeugen vom Unternehmen intern entwickelt und aufgebaut werden können.

Industrielle Cybersicherheit in der Produktion und Infrastruktur

Die Normenreihe IEC 62443 (Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme) beschreibt hingegen technische und prozessorientierte Gesichtspunkte der industriellen Cybersicherheit und wird häufig in der Infrastruktur und Produktion von Fahrzeugen angewendet.

Work in Progress: Richtlinien-Entwicklung in enger Zusammenarbeit

Auch weitere Initiativen definieren ähnliche Richtlinien oder Regeln für die Branche. Andere fordern die Automobilindustrie sogar zur aktiven Mitarbeit an der Erarbeitung von Sicherheitsregelungen auf.

Einige Richtlinien und Normen befinden sich bereits in der Entwicklung, wie beispielsweise die ISO 21434 (Road Vehicles – Automotive Security Engineering). Hier befasst sich das Komitee aktuell mit dem Sicherheitsaspekt im Rahmen der ISO 26262 (Road vehicles – Functional safety).

Die Rolle des Cybersecurity-Managementsystems (CSMS) und der R155

Die UNECE Regulation R155 legt fest, dass Fahrzeughersteller ein Cybersecurity-Managementsystem (CSMS) einführen müssen. Die Vorschrift definiert Anforderungen an ein systematisch risikobasiertes Managementsystem mit organisatorischen Prozessen, festgelegten Verantwortlichkeiten und Methoden zur Eindämmung von Bedrohungen und dem Schutz vor Cyberangriffen auf Fahrzeuge. Sie orientiert sich am Standard der Norm ISO 21434.

Der Unterschied von ISMS und CSMS

Im Gegensatz zum ISMS zielt das Automotive CSMS vor dem Hintergrund zunehmender digitaler Vernetzung und Automatisierung von Fahrzeugen auf den Schutz der Verkehrsteilnehmer und der Bevölkerung ab, wohingegen ein ISMS die Informationssicherheit innerhalb einer Organisation gewährleistet und auf die Sicherheit innerhalb der gesamten Lieferkette abzielt.

Um es kurz zu machen: Ein ISMS stellt Datensicherheit innerhalb Ihrer Organisation sicher, ein CSMS zielt auf die Sicherheit des Fahrzeugs und Verkehrsteilnehmer ab.

Norm ISO 27001 ist Pflicht und Kür

Übergreifend stelle ich immer wieder fest, dass die Norm ISO 27001 die Grundvoraussetzung ist, um in Ihrer Organisation eine regelkonforme Grundlage für allumfassende Informationssicherheit – und damit auch Cybersicherheit – zu schaffen und dies auch objektiv nachzuweisen. Die internationale Norm spezifiziert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheit-Managementsystems (ISMS) und bildet die Grundlage für ein erfolgreiches TISAX® Assessment. Sie betrifft alle Aspekte – von der Produktion über das fertige Produkt bis hin zu Dienstleistungen. Ohne ein etabliertes ISMS sind die Herausforderungen der Digitalisierung nicht zu meistern.

NORM X | Auf der Überholspur zum TISAX® Assessment

Mit NORM X bieten wir eine softwarebasierte Lösung für die Automobilindustrie, um auf schnellem Wege zum TISAX® Assessment zu gelangen. Während des gesamten Prozesses und den Audits leitet Sie Ihr persönlicher ISEGRIM X Informationssicherheitsbeauftragter (IX ISB) und steht für Fragen zur Verfügung. 

Wir stellen Ihnen unsere innovative Lösung gerne persönlich vor. Vereinbaren Sie über den Button ganz einfache ein unverbindliches Erstgespräch!

Die Relevanz der Cybersicherheit für Unternehmen

Um weiterhin konkurrenzfähig bleiben zu können, müssen Sie Informationssicherheit einen prominenten Platz innerhalb Ihrer Unternehmenskultur einräumen und fest bei allen Verantwortlichen, Führungskräften und Mitarbeitern verankern. Die jüngsten und zukünftigen Regulierungen machen dies zu einer absoluten Notwendigkeit.

Daher möchte ich Ihnen folgend weitere Normen und Regelungen als Hilfestellung zur Hand geben. Sie dienen als Blaupause zur Umsetzung der notwendigen und geforderten Sicherheitsanforderungen in einer komplexen, digital vernetzten Fahrzeugwelt.

  • SAE J3061: Cybersecurity Guidebook for CyberPhysical Vehicle Systems
  • SAE J3101: Requirements for Hardware Protected Security for Ground Vehicle Applications (WiP)
  • ISO 15031: Road Vehicles – Communication between. vehicle and external equipment for emissions-related diagnostics. Part 7: Data link security
  • ISO 15764: Road Vehicles – Extended data link security
  • ISO 21434: Road Vehicles – Automotive Security Engineering 
  • ISO 26262-1:2011 Road vehicles – Functional safety 
  • TS 102 940: Intelligent Transport Systems (ITS); Security; ITS communications security architecture and security management 
  • TS 103 096-1 to TS 103 096-3 Intelligent Transport Systems (ITS) 
  • TR 103 061-6 Intelligent Transport Systems (ITS); Testing; Conformance test specifications for ITS Security; Part 6: Validation report 
  • Auto ISAC – Automotive Information Sharing and Analysis Centre, Best Practices 
  • I Am the Cavalry – Five Star Automotive Cyber Safety Program 
  • UNECE – Guideline on cybersecurity and data protection of connected vehicles and vehicles with ADT 
  • ENISA – Cyber Security and Resilience of smart cars 

Noch Fragen? Kontaktieren Sie mich.