ISO/SAE 21434

Die ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ ist eine Norm zur Cyber-Security in Kraftfahrzeugen. Der Status der ISO-Norm ist seit August 2021 „Published“^[1]. Die Benennung zeigt an, dass die Norm gemeinsam von einer Arbeitsgruppe der ISO und der SAE entwickelt und dann freigegeben wurde.

ISO/SAE 21434
Bereich	Straßenfahrzeuge
Titel	Road vehicles – Cybersecurity engineering
Erstveröffentlichung	August 2021
Letzte Ausgabe	August 2021
Klassifikation	43.040.15
Ersatz für	SAE J3061

Aufgrund der zunehmenden Risiken durch Cyber-Angriffe auf Fahrzeuge und weil die Infrastruktur zu Online-Updates von Fahrzeugen (OTA), Flottenmanagement, Kommunikation zwischen Fahrzeugen (Car2x/V2X) und weiteren Anforderungen die Fahrzeuge neue Angriffsflächen bieten, soll die Norm Maßnahmen für die Entwicklung vorschlagen. Sie steht in Zusammenhang mit der UNECE-Regelung R 155 „Cyber security and cyber security management system“. Die UNECE R 155 fordert eine Zertifizierung der Fahrzeughersteller hinsichtlich eines Cyber Security Management Systems. Diese Zertifizierung ist Voraussetzung dafür, dass ein Fahrzeug in der EU^[2][3] und anderen Vertragsstaaten eine Typgenehmigung für die Zulassung zum Straßenverkehr bekommen kann. Die Anwendung der ISO/SAE 21434 gilt als ein Baustein, um die Zertifizierung zu erleichtern. Allerdings deckt sie nicht alle Anforderungen der R 155 ab.

Ziele der Norm

Die Norm gilt für Komponenten (elektronische Bauteile und Software) von Fahrzeugen, die in Serie gefertigt werden, sowie Ersatz- und Zubehörteile. Sie umfasst die Phasen der Entwicklung, Produktion, Betrieb, Wartung und Recycling im Lebenszyklus eines Fahrzeuges. Infrastruktur außerhalb des Fahrzeugs, wie beispielsweise Server des Fahrzeug-Herstellers für Diagnosen, Software-Updates oder Diagnosetester (Off-Board-Diagnose) werden von der Norm nicht erfasst.^[4]

Die Aktivitäten in der Produktentwicklung nach Norm werden auf Basis einer Risikoeinschätzung gesteuert, dazu werden Maßnahmen zur organisatorischen Verankerung gefordert. Prozesse werden zwar gefordert, die Norm beschreibt jedoch nur jeweils die Aufgabe eines Prozesses, überlässt die Gestaltung des Ablaufs aber den Unternehmen. Spezielle Technologien oder Lösungen werden nicht vorgeschlagen, und autonome Fahrzeuge erhalten keinen Sonderstatus in den Empfehlungen dieser Norm.

Inhalt und Aufbau

In Inhalt und Aufbau finden sich im Standard Ähnlichkeiten zur ISO 26262 „Road vehicles – Functional safety“, auf die an verschiedenen Stellen Bezug genommen wird. Der Aufbau der Norm ist derzeit einteilig mit folgender Kapitelstruktur:

Kapitel und Anhänge der ISO/SAE 21434 (Stand August 2021)

Kap.	Titel	Inhalt
1	Scope	Vorwort
2	Normative references	Normative Verweise
3	Terms and abbreviations	Entwicklung einer gemeinsamen Terminologie zur Cyber-Security.
4	General considerations	Beschreibt den Kontext und die Struktur dieser Norm, beispielsweise die Schnittstellen zur Umwelt des Fahrzeugs.
5	Overall Cybersecurity Management	Organisatorische Maßnahmen des Unternehmens, in den Phasen des Lebenszyklus bis zur Außerbetriebnahme, beispielsweise Prozesse und spezifische Rollen für Mitarbeiter.
6	Project dependent Cybersecurity Management	Project dependent Cybersecurity Management beschreibt die Anforderungen an das Management von Cybersecurity - Entwicklungsaktivitäten.
7	Distributed cybersecurity activities	Zusammenarbeit mit Zulieferern und Kunden, Abstimmung der Aufgaben und Verantwortlichkeiten in einem „Cybersecurity Interface Document“ (Leistungsschnittstellenvereinbarung), Überprüfung der Kompetenz eines Lieferanten vor der Beauftragung.
8	Continual cybersecurity activities	Kontinuierliche Cybersecurity Aktivitäten, die unabhängig von einem konkreten Entwicklungsprojekt sind. Dazu gehören Überwachung der Cybersecurity, Bewertung von Cybersecurity Ereignissen, Schwachstellenanalyse und Schwachstellenmanagement.
9	Concept	Analysen, mit denen mögliche Cyber-Security-Risiken im Produkt erkannt werden sollen.
10	Product development	Definition von Anforderungen und Aufgaben für die Produktentwicklung, beispielsweise Durchführung von Systemanalysen, Überprüfung der korrekten Umsetzung von Anforderungen.
11	Cybersecurity Validation	Aktivitäten zur Cybersecurity Validierung auf Fahrzeugebene bzw. im Fahrzeug. Die Aktivitäten werden durchgeführt, wenn die Integration der Komponenten fertiggestellt ist, also wenn das Gesamtfahrzeug soweit steht, dass Versuche im Fahrbetrieb unternommen werden können.
12	Production	Definition von Anforderungen und Aufgaben für die Produktion, so dass die Maßnahmen der Produktentwicklung tatsächlich im Produkt umgesetzt werden und dass die Produktion nicht zum Einfallstor für spätere Cyber-Angriffe auf das Produkt werden kann.
13	Operations and Maintenance	Reaktion auf Cybersecurity-Vorfälle und Updates, Maßnahmen um diese Reaktionen zu organisieren.
14	End of cybersecurity support and decommissioning	Umgang mit der Beendigung des Supports für Cyber Security im Feld. Da die Stilllegung nicht immer mit Kenntnis des Herstellers geschieht, sind die Produkte für eine sichere Stilllegung (Außerbetriebnahme) vorzubereiten.
15	Threat analysis and risk assessment methods	Verschiedene Methoden zur Analyse von Risiken, z. B. Art der Bedrohung, Angriffswege und Schadenspotential.
A	Summary of cybersecurity activities and work products	Liste der Aktivitäten in den verschiedenen Phasen und deren stichwortartige Beschreibung.
B	Examples of cybersecurity culture	Positive und negative Beispiele, die eine Cyber-Security-Kultur in einem Unternehmen kennzeichnen.
C	Example of Cybersecurity interface agreement template	Das Development Interface Agreement (DIA, auch als Leistungsschnittstellenvereinbarung oder -beschreibung bezeichnet) ist bereits aus der ISO 26262 bekannt und legt die Aufgabenverteilung zwischen Lieferant und Kunde bei der Entwicklung von Komponenten/Teilsystemen fest.
D	Cybersecurity relevance - example method and criteria	Fragenkatalog, um die Relevanz eines Systems hinsichtlich der Cyber-Security zu bewerten, d. h. ob Maßnahmen nach dieser Norm überhaupt erforderlich sind.
E	Cybersecurity Assurance Levels	Hier werden beispielsweise die Cybersecurity Assurance Levels (CAL) definiert, die ähnlich dem ASIL in der ISO 26262 der Steuerung für den Aufwand der Cybersecurity-Maßnahmen dienen. Im Gegensatz zur ISO 26262 werden in der ISO/SAE 21434 keine Maßnahmen in Abhängigkeit vom CAL empfohlen. Die CALs bleiben eine qualitative Einstufung, die die Produktentwickler selbst bewerten.
F	Guidelines for impact rating	Zur Bewertung der Gefährdung einer Komponente werden verschiedene Schadenskategorien bewertet. Dazu gehört die Sicherheit für Mensch und Umwelt, der finanzielle Schaden für den Hersteller (Rückruf, Schadenersatz, Klagen, Image), Einfluss auf das Verhalten des Produktes (z. B. Ausfall/Defekt, Schwergängigkeit, Geräusch) und Kontrollverlust über schützenswerte Daten (persönliche Daten).
G	Guidelines for attack feasibility rating	Bewertung von Angriffswahrscheinlichkeiten, wobei drei alternative Bewertungsszenarien dargestellt werden: Abschätzung der Faktoren Zeit, Fähigkeit des Angreifers, Ausrüstung, Gelegenheit und verfügbare Informationen zum Angriffsziel. Abschätzung aufgrund Metriken aus dem CVSS Bewertung nach Angriffsvektoren, also wie die Komponente angreifbar ist. Ist die Komponente direkt vernetzt, ist die Gefahr am größten, muss die Komponente dagegen in jedem Fahrzeug einzeln angefasst werden, ist die Gefahr am geringsten.
H	Examples of application of TARA methods – headlamp system	Beispiele für die Erstellung einer Threat Analysis and Risk Assessment (TARA, Risikoanalyse) mit der sich das Risiko eines Angriffs wie auch seiner Folgen qualitativ einordnen lässt.

Kapitel 4 und die Anhänge (Annexes) A–J sind informativ.

Bedrohungsanalyse und Risikobewertung

Ein zentraler Punkt der ISO/SAE 21434 ist die Bedrohungsanalyse und Risikobewertung. Das allgemeine Bestreben, eine Bedrohungsanalyse und Risikobewertung durchzuführen, wird in Kapitel 8 beschrieben. Die Konzeptphase, wie in Kapitel 9 beschrieben, besteht aus der Definition des Untersuchungsgegenstandes (Abschnitt 9.3), dem Finden von Cybersicherheitszielen (Abschnitt 9.4) und deren Bündelung zu einem ganzheitlichen Cybersicherheitskonzept (Abschnitt 9.5). Der größte Teil der Identifizierung von Cybersicherheitszielen besteht darin, sich auf das in Kapitel 8 beschriebene Vorgehen zu berufen.^[5]

Die Hauptschritte bei der Durchführung einer ISO/SAE 21434-konformen Bedrohungsanalyse und Risikobewertung sind (in der Reihenfolge einer idealisierten linearen Ausführung):

• Item-Definition (Abschnitt 9.3)
• Asset-Identifizierung (Abschnitt 8.3)
• Identifizierung von Bedrohungsszenarien (Abschnitt 8.4)
• Schadens-Bewertung (Abschnitt 8.5)
• Angriffspfadanalyse (Abschnitt 8.6)
• Bewertung der Durchführbarkeit eines Angriffs (Abschnitt 8.7)
• Risikobestimmung (Abschnitt 8.8)
• Entscheidung zur Risikobehandlung (Abschnitt 8.9)
• Ziele der Cybersicherheit [RQ-09-07]
• Cyber-Sicherheitsansprüche [RQ-09-08]
• Cyber-Sicherheitskonzept (Abschnitt 9.5)

Siehe auch

• SAE J3061 „Cybersecurity Guidebook for Cyber-Physical Vehicle Systems“
• ISO 26262 „Road vehicles – Functional safety“

Weblinks

• ISO/SAE CD 21434. International Organization for Standardization, abgerufen am 31. August 2021 (englisch).
• Angela Barber: Status of Work in Process on ISO/SAE 21434 Automotive Cybersecurity Standard. (PDF) 8. Mai 2018, S. 25, abgerufen am 18. November 2018 (englisch).
• ISO-SAE 21434 Road vehicles – Cybersecurity Engineering General Overview. (PDF) Wirtschaftskommission für Europa der Vereinten Nationen (UNECE), 11. Mai 2017, abgerufen am 18. November 2018 (englisch).
• ISO/SAE 21434: Cyber Security Assurance Level (deutsch)