| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| content:automotive [2025/06/03 15:41] – [Relevante Normen und Richtlinien (unvollständig)] approve | content:automotive [2025/10/16 16:59] (aktuell) – [VDI Richtlinien] droste |
|---|
| ====== Safety (Security) Risiko im Automobilbereich ====== | ====== Safety (Security) Risiko im Automobilbereich ====== |
| |
| Die Produktsichehrheit bei Straßenfahrzeugen ist ein sehr vielschichtiger Begriff, da er eine Vielzahl verschiedener Sicherheitsaspekte umfasst, die jeweils für sich aber auch zusammen betrachtet werden müssen. So stellt der Bereich Funktionale Sichereit nur einen Teil der Gesamtsicherheit dar, genau so wie dies für die Cybersicherheit gilt. Weitere Aspekte (einige davon nachfolgender Abbildung dargestellt), die nicht weniger wichtig sein können, betreffen die Datensicherheit, die Sicherheit der beabsichtigten Funktion, Sicherheit und künstliche Intelligenz, mechanische Sicherheit, Störfestigkeit, elektrische Sicherheit, Hochvolt-Sicherheit usw. | Die Produktsichehrheit bei Straßenfahrzeugen ist ein sehr vielschichtiger Begriff, da er eine Vielzahl verschiedener Sicherheitsaspekte umfasst, die jeweils für sich aber auch zusammen betrachtet werden müssen. So stellt der Bereich Funktionale Sichereit nur einen Teil der Gesamtsicherheit dar, genau so wie dies für die Cybersicherheit gilt. Weitere Aspekte (einige davon im nachfolgendem Bild dargestellt), die nicht weniger wichtig sein können, betreffen die Datensicherheit, die Sicherheit der beabsichtigten Funktion, Sicherheit und künstliche Intelligenz, mechanische Sicherheit, Störfestigkeit, elektrische Sicherheit, Hochvolt-Sicherheit usw. |
| |
| {{https://safetyandsecurity.vdi.de/_media/content:automotive2.svg?nolink&600x244}} | {{https://safetyandsecurity.vdi.de/_media/content:automotive2.svg?nolink&600x244}} |
| |
| **Abbildung 1: Struktur der Wechselbeziehungen zwischen verschiedenen Sicherheitsaspekten bei Straßenfahrzeugen ** | **Bild 1: Struktur der Wechselbeziehungen zwischen verschiedenen Sicherheitsaspekten bei Straßenfahrzeugen ** |
| | |
| ===== Relevante Normen und Richtlinien (unvollständig) ===== | ===== Relevante Normen und Richtlinien (unvollständig) ===== |
| |
| |
| ^Kennung^Jahr^Titel^Anmerkung| | ^Kennung^Jahr^Titel^Anmerkung| |
| |DIN EN 61508|2011|Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/ programmierbarer elektronischer Systeme|7 Teile der Normenreihe gelten als branchenunabhängige Sicherheitsgrundnorm| | |[[https://webstore.iec.ch/en/publication/22273|IEC 61508]]|2010|Functional safety of electrical/electronic/programmable electronic safety-related systems|7 Teile der Normenreihe gelten als branchenunabhängige Sicherheitsgrundnorm| |
| |ISO 26262|2018|Road vehicles – Functional safety|12 Teile der Normenreihe als sektorspezifisches Derivat der IEC 61508 für Straßenfahrzeuge| | |[[https://www.iso.org/standard/68383.html|ISO 26262]]|2018|Road vehicles – Functional safety|12 Teile der Normenreihe als sektorspezifisches Derivat der IEC 61508 für Straßenfahrzeuge| |
| |[[https://www.dinmedia.de/de/norm/sae-j-2980/373872556|SAE J2980]]|2023|Considerations for ISO 26262 ASIL Hazard Classification|Präsentation einer Methode sowie Beispielergebnisse für die ASIL-Ermittlung| | |[[https://www.dinmedia.de/de/norm/sae-j-2980/373872556|SAE J2980]]|2023|Considerations for ISO 26262 ASIL Hazard Classification|Präsentation einer Methode sowie Beispielergebnisse für die ASIL-Ermittlung| |
| |[[https://webshop.vda.de/VDA/de/vda-702-062023-v2|VDA 702]]|2023|Situationskatalog E-Parameter nach ISO 26262-3|Abbildung von Basissituationen und deren E-Parameter für die weitere Verwendung in der Gefährdungs- und Risikoanalyse| | |[[https://webshop.vda.de/VDA/de/vda-702-062023-v2|VDA 702]]|2023|Situationskatalog E-Parameter nach ISO 26262-3|Abbildung von Basissituationen und deren E-Parameter für die weitere Verwendung in der Gefährdungs- und Risikoanalyse| |
| |[[https://www.dinmedia.de/en/standard/iso-21448/356927331|ISO 21448]]|2022|Road vehicles – Safety of the intended functionality|Standard behandelt Gefahren durch Unzulänglichkeiten bei der Spezifikation der beabsichtigten Funktionalität auf Fahrzeugebene.| | |[[https://www.dinmedia.de/en/standard/iso-21448/356927331|ISO 21448]]|2022|Road vehicles – Safety of the intended functionality|Standard behandelt Gefahren durch Unzulänglichkeiten bei der Spezifikation der beabsichtigten Funktionalität auf Fahrzeugebene.| |
| |[[https://www.dinmedia.de/de/technische-regel/iso-pas-8800/387686743|ISO/PAS 8800]]|2024|Road vehicles – Safety and artificial intelligence|Standard befasst sich mit dem Risiko eines unerwünschten sicherheitsrelevanten Verhaltens auf Fahrzeugebene aufgrund von Leistungsmängeln, systematischen Fehlern und zufälligen Hardwarefehlern von KI-Elementen innerhalb des Fahrzeugs.| | |[[https://www.dinmedia.de/de/technische-regel/iso-pas-8800/387686743|ISO/PAS 8800]]|2024|Road vehicles – Safety and artificial intelligence|Standard befasst sich mit dem Risiko eines unerwünschten sicherheitsrelevanten Verhaltens auf Fahrzeugebene aufgrund von Leistungsmängeln, systematischen Fehlern und zufälligen Hardwarefehlern von KI-Elementen innerhalb des Fahrzeugs.| |
| |[[https://www.dinmedia.de/de/norm/din-en-iso-12100/128264334|DIN EN ISO 12100]]|2011|Sicherheit von Maschinen - Allgemeine Gestaltungsleitsätze - Risikobeurteilung und Risikominderung|Standard kann zur systematischen Identifikation von Risikoquellen als Quelle herangezogen werden, auch wenn er nicht explizit für den Bereich der Straßenfahrzeuge erstellt wurde, da er die grundsätzliche Terminologie und Methodik festlegt und allgemeine Leitsätze zur Risikobeurteilung und Risikominderung aufstellt.| | |[[https://www.iso.org/standard/51528.html|ISO 12100]]|2010|Safety of machinery — General principles for design — Risk assessment and risk reduction|Standard kann zur systematischen Identifikation von Risikoquellen als Quelle herangezogen werden, auch wenn er nicht explizit für den Bereich der Straßenfahrzeuge erstellt wurde, da er die grundsätzliche Terminologie und Methodik festlegt und allgemeine Leitsätze zur Risikobeurteilung und Risikominderung aufstellt.| |
| |[[https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:02019R2144-20240707|EU-Verordnung 2144]]|2019|Typgenehmigung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge im Hinblick auf ihre allgemeine Sicherheit und den Schutz der Fahrzeuginsassen und von ungeschützten Verkehrsteilnehmern „General Safety Regulation"| \\ Europäische Verordnung mit Anforderungen für die Typgenehmigung bzgl. der Sicherheit von Kraftfahrzeugen, Anhängern, Komponenten und separaten technischen Einheiten| | |[[https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:02019R2144-20240707|EU-Verordnung 2144]]|2019|Typgenehmigung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge im Hinblick auf ihre allgemeine Sicherheit und den Schutz der Fahrzeuginsassen und von ungeschützten Verkehrsteilnehmern „General Safety Regulation"| \\ Europäische Verordnung mit Anforderungen für die Typgenehmigung bzgl. der Sicherheit von Kraftfahrzeugen, Anhängern, Komponenten und separaten technischen Einheiten| |
| |[[https://www.dinmedia.de/de/norm/din-en-61131-6/190488771|DIN EN 61131-6]]|2013|Speicherprogrammierbare Steuerungen - Teil 6: Funktionale Sicherheit| \\ Standard legt Anforderungen an speicherprogrammierbare Steuerungen und ihre zugehörigen Peripheriegeräte, welche für den Einsatz als Logikteilsysteme eines sicherheitsbezogenen elektrischen/elektronischen/ programmierbaren Systems vorgesehen sind, fest| | |[[https://webstore.iec.ch/en/publication/4555|IEC 61131-6]]|2012|Programmable controllers - Part 6: Functional safety| \\ Standard legt Anforderungen an speicherprogrammierbare Steuerungen und ihre zugehörigen Peripheriegeräte, welche für den Einsatz als Logikteilsysteme eines sicherheitsbezogenen elektrischen/elektronischen/ programmierbaren Systems vorgesehen sind, fest| |
| |
| **Tabelle 2: Relevante Normen und Richtlinien für den Bereich "Security"** | **Tabelle 2: Relevante Normen und Richtlinien für den Bereich "Security"** |
| |[[https://unece.org/transport/documents/2021/03/standards/un-regulation-no-156-software-update-and-software-update|UN-Regelung Nr. 156]]|2021|Genehmigung von Kraftfahrzeugen hinsichtlich der Softwareaktualisierung und des Softwareaktualisierungsmanagementsystems|Regulierung fordert den Betrieb eines zertifizierten Softwareupdatemanagementsystems als Bedingung für die zukünftige Typengenehmigung über den kompletten Fahrzeug-Lebenszyklus (inkl. Compliance der Zulieferer)| | |[[https://unece.org/transport/documents/2021/03/standards/un-regulation-no-156-software-update-and-software-update|UN-Regelung Nr. 156]]|2021|Genehmigung von Kraftfahrzeugen hinsichtlich der Softwareaktualisierung und des Softwareaktualisierungsmanagementsystems|Regulierung fordert den Betrieb eines zertifizierten Softwareupdatemanagementsystems als Bedingung für die zukünftige Typengenehmigung über den kompletten Fahrzeug-Lebenszyklus (inkl. Compliance der Zulieferer)| |
| |[[https://www.dinmedia.de/de/norm/sae-j-3061/349587715|SAE J3061]]|2021|Cybersecurity Guidebook for Cyber-Physical Vehicle Systems|Praxisleitfaden für die Cyber-Sicherheit von Fahrzeugen über den gesamten Lebenszyklus| | |[[https://www.dinmedia.de/de/norm/sae-j-3061/349587715|SAE J3061]]|2021|Cybersecurity Guidebook for Cyber-Physical Vehicle Systems|Praxisleitfaden für die Cyber-Sicherheit von Fahrzeugen über den gesamten Lebenszyklus| |
| |[[https://webshop.vda.de/QMC/de/automotive-spice-for-cybersecurity_1st-edit-2021|VDA QMC]]|2025 V2.0|Automotive SPICE for Cybersecurity|Erweiterung des bekannten Automotive SPICE Standards um zusätzliche Prozesse mit dem Ziel, die Cybersecurity-relevanten Prozesse in das bewährte Grundgerüst zu integrieren| | |[[https://webshop.vda.de/QMC/de/automotive-spice-for-cybersecurity-2nd-edit-2025|VDA QMC]]|2025 V2.0|Automotive SPICE for Cybersecurity|Erweiterung des bekannten Automotive SPICE Standards um zusätzliche Prozesse mit dem Ziel, die Cybersecurity-relevanten Prozesse in das bewährte Grundgerüst zu integrieren| |
| |[[https://www.iso.org/standard/80840.html|ISO/PAS 5112]]|2022|Road vehicles - Guidelines for auditing cybersecurity engineering|Leitfaden zur Auditierung von Cybersecurity-Management-Systemen (CSMS) und den Kompetenzen des CSMS-Auditors| | |[[https://www.dinmedia.de/de/technische-regel/iso-pas-5112/353687920|ISO/PAS 5112]]|2022|Road vehicles - Guidelines for auditing cybersecurity engineering|Leitfaden zur Auditierung von Cybersecurity-Management-Systemen (CSMS) und den Kompetenzen des CSMS-Auditors| |
| |NIST SP 800-57 Part 1|2020 Rev. 5|Recommendation for Key Management: Part 1 – General|Allgemeine Richtlinien für die Verwaltung kryptografischer Schlüsselmaterialien| | |[[https://csrc.nist.gov/pubs/sp/800/57/pt1/r5/final|NIST SP 800-57 Part 1]]|2020 Rev. 5|Recommendation for Key Management: Part 1 – General|Allgemeine Richtlinien für die Verwaltung kryptografischer Schlüsselmaterialien| |
| |NIST SP 800-57 Part 2|2019 Rev. 1|Recommendation for Key Management: Part 2 – Best Practices for Key Management Organizations|Richtlinien für Organisationen zur Verwaltung kryptografischer Schlüssel| | |[[https://csrc.nist.gov/pubs/sp/800/57/pt2/r1/final|NIST SP 800-57 Part 2]]|2019 Rev. 1|Recommendation for Key Management: Part 2 – Best Practices for Key Management Organizations|Richtlinien für Organisationen zur Verwaltung kryptografischer Schlüssel| |
| |NIST SP 800-57 Part 3|2015 Rev. 1|Recommendation for Key Management, Part 3: Application-Specific Key Management Guidance|Richtlinien für die Nutzung kryptografischer Funktionen in aktuellen Systemen| | |[[https://csrc.nist.gov/pubs/sp/800/57/pt3/r1/final|NIST SP 800-57 Part 3]]|2015 Rev. 1|Recommendation for Key Management, Part 3: Application-Specific Key Management Guidance|Richtlinien für die Nutzung kryptografischer Funktionen in aktuellen Systemen| |
| |BSI-TR-02102-1|2025|Kryptographische Verfahren: Empfehlungen und Schlüssellängen|Technische Richtlinie vom BSI mit einer Bewertung der Sicherheit von ausgewählten kryptographischen Verfahren.| | |[[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html|BSI-TR-02102-1]]|2025|Kryptographische Verfahren: Empfehlungen und Schlüssellängen|Technische Richtlinie vom BSI mit einer Bewertung der Sicherheit von ausgewählten kryptographischen Verfahren.| |
| |[[https://www.iso.org/standard/45123.html|ISO/IEC 29100]]|2024|Information technology – Security techniques – Privacy framework|Dokument legt gemeinsame Terminologie für den Datenschutz fest und definiert Akteure und ihre Rollen bei der Verarbeitung von personenbezogenen Daten.| | |[[https://www.dinmedia.de/de/norm/iso-iec-29100/378089168|ISO/IEC 29100]]|2024|Information technology – Security techniques – Privacy framework|Dokument legt gemeinsame Terminologie für den Datenschutz fest und definiert Akteure und ihre Rollen bei der Verarbeitung von personenbezogenen Daten.| |
| |
| **Tabelle 3: Weitere relevante Normen und Richtlinien** | **Tabelle 3: Weitere relevante Normen und Richtlinien** |
| |
| ^Kennung ^Jahr ^Titel ^Anmerkung | | ^Kennung ^Jahr ^Titel ^Anmerkung | |
| |[[https://www.beuth.de/de/technische-regel/iatf-16949/263942493|IATF]] 16949 |2016 |Anforderungen an Qualitätsmanagementsysteme für die Serien- und Ersatzteilproduktion in der Automobilindustrie |Festlegung von grundlegenden Anforderungen an Qualitätsmanagementsysteme im Rahmen der Serien- und Ersatzteilproduktion in der Automobilindustrie | | |[[https://www.dinmedia.de/de/technische-regel/iatf-16949/263942493|IATF 16949]] |2016 |Anforderungen an Qualitätsmanagementsysteme für die Serien- und Ersatzteilproduktion in der Automobilindustrie |Festlegung von grundlegenden Anforderungen an Qualitätsmanagementsysteme im Rahmen der Serien- und Ersatzteilproduktion in der Automobilindustrie | |
| |[[https://www.beuth.de/de/technische-regel/iatf-16949/263942493|VDA Automotive]] SPICE |2023 V. 4.0 |Automotive SPICE Process Reference Model / Process Assessment Model |Verbindliches Verfahren zur objektiven Prozessbewertung und der daraus resultierenden anschließenden Prozessverbesserung auf Projekt- sowie Organisationsebene | | |[[https://vda-qmc.de/wp-content/uploads/2023/12/Automotive-SPICE-PAM-v40.pdf|VDA Automotive SPICE]]|2023 V. 4.0 |Automotive SPICE Process Reference Model / Process Assessment Model |Verbindliches Verfahren zur objektiven Prozessbewertung und der daraus resultierenden anschließenden Prozessverbesserung auf Projekt- sowie Organisationsebene | |
| |DIN EN 61000-1-2 |2017 |Elektromagnetische Verträglichkeit (EMV): Allgemeines - Verfahren zum Erreichen der funktionalen Sicherheit von elektrischen und elektronischen Systemen einschließlich Geräten und Einrichtungen im Hinblick auf elektromagnetische Phänomene |Zu betrachtende Gesichtspunkte, wenn E/E/PES elektromagnetischen Störgrößen ausgesetzt sind, die deren Betrieb beeinflussen können | | |[[https://webstore.iec.ch/en/publication/24517|IEC 61000-1-2]]|2017 |Electromagnetic compatibility (EMC) - Part 1-2: General - Methodology for the achievement of functional safety of electrical and electronic systems including equipment with regard to electromagnetic phenomena |Zu betrachtende Gesichtspunkte, wenn E/E/PES elektromagnetischen Störgrößen ausgesetzt sind, die deren Betrieb beeinflussen können | |
| |ISO/SAE PAS 22736 |2021 |Taxonomy and definitions for terms related to driving automation systems for on-road motor vehicles|Das Dokument enthält eine Taxonomie mit detaillierten Definitionen für sechs Stufen der Fahrautomatisierung, die von keiner Fahrautomatisierung (Stufe 0) bis zur vollständigen Fahrautomatisierung (Stufe 5) reichen, im Zusammenhang mit Fahrzeugen und deren Betrieb auf der Straße:| | |[[https://www.dinmedia.de/de/technische-regel/iso-sae-pas-22736/345375919|ISO/SAE PAS 22736]] |2021 |Taxonomy and definitions for terms related to driving automation systems for on-road motor vehicles|Das Dokument enthält eine Taxonomie mit detaillierten Definitionen für sechs Stufen der Fahrautomatisierung, die von keiner Fahrautomatisierung (Stufe 0) bis zur vollständigen Fahrautomatisierung (Stufe 5) reichen, im Zusammenhang mit Fahrzeugen und deren Betrieb auf der Straße:| |
| |IEC 61000-6-7 |2015 |Elektromagnetische Verträglichkeit (EMV) – Teil 6-7: Fachgrundnormen - Störfestigkeitsanforderungen an Geräte und Einrichtungen, die zur Durchführung von Funktionen in sicherheitsbezogenen Systemen (funktionale Sicherheit) an industriellen Standorten vorgesehen sind |Bestimmt für Lieferanten, die Angaben zur Störfestigkeit von Geräten machen müssen, die zur Verwendung in sicherheitsbezogenen Systemen bestimmt sind. 2021 erschien eine Berichtigung | | |[[https://www.dinmedia.de/de/norm/din-en-61000-6-7/241796186|IEC 61000-6-7]] |2015 |Elektromagnetische Verträglichkeit (EMV) – Teil 6-7: Fachgrundnormen - Störfestigkeitsanforderungen an Geräte und Einrichtungen, die zur Durchführung von Funktionen in sicherheitsbezogenen Systemen (funktionale Sicherheit) an industriellen Standorten vorgesehen sind |Bestimmt für Lieferanten, die Angaben zur Störfestigkeit von Geräten machen müssen, die zur Verwendung in sicherheitsbezogenen Systemen bestimmt sind. 2021 erschien eine Berichtigung | |
| |
| | |
| | ===== VDI Richtlinien ===== |
| | |
| | ^ Kennung ^ Jahr ^ Titel ^ Anmerkung ^ |
| | | [[https://www.dinmedia.de/de/technische-regel/vdi-ee-4020/378351818|VDI-EE 4020]] | 2024 | Grundlagen der Funktionalen Sicherheit gemäß IEC 61508 und spezifische Sektor-Normen | — | |
| | | [[https://www.dinmedia.de/de/technische-regel/vdi-2700/76329774|VDI 2700]] | 2004 | Ladungssicherung auf Straßenfahrzeugen | Richtlinienreihe | |
| | | [[https://www.dinmedia.de/de/technische-regel/vdi-vde-2862-blatt-1/146660826|VDI/VDE 2862 Blatt 1]] | 2025 | Mindestanforderungen beim Einsatz von Schraubsystemen und -werkzeugen – Anwendungen in der Fahrzeug- und Anbauteileindustrie | Neuer Entwurf 06/2025 | |
| | | [[https://www.vdi.de/mitgliedschaft/vdi-richtlinien/details/vdi-5950-blatt-1-umgang-mit-hochleistungsbatterien-begriffe-und-grundlagen|VDI 5950]] | - | Umgang mit Hochleistungsbatterien | Noch nicht veröffentlicht| |
| |
| |
| {{https://safetyandsecurity.vdi.de/_media/content:automotive1.svg?nolink&400x508|Iterativer Prozess zur Risikobeurteilung und Risikoreduzierung gem. ISO/IEC Guide 51}} | {{https://safetyandsecurity.vdi.de/_media/content:automotive1.svg?nolink&400x508|Iterativer Prozess zur Risikobeurteilung und Risikoreduzierung gem. ISO/IEC Guide 51}} |
| |
| **Abbildung 2: Iterativer Prozess zur Risikobeurteilung und Risikoreduzierung gem. ISO/IEC Guide 51** | **Bild 2: Iterativer Prozess zur Risikobeurteilung und Risikoreduzierung gem. ISO/IEC Guide 51** |
| |
| Diese Vorgehensweise wird in der ISO 26262 für die funktionale Sicherheit von Straßenfahrzeugen folgendermaßen abgebildet: Das Risiko wird als Kombination der Eintrittswahrscheinlichkeit eines Schadens und des entsprechenden Schadensausmaßes definiert. ISO 26262-3 gibt in einem informativen Anhang zur Gefährdungsanalyse und Risikobeurteilung (engl.: hazard analysis and risk assessment, HARA) an, dass ein Risiko als Funktion wie folgt beschrieben werden kann: R=F(f,C,S) | Diese Vorgehensweise wird in der ISO 26262 für die funktionale Sicherheit von Straßenfahrzeugen folgendermaßen abgebildet: Das Risiko wird als Kombination der Eintrittswahrscheinlichkeit eines Schadens und des entsprechenden Schadensausmaßes definiert. ISO 26262-3 gibt in einem informativen Anhang zur Gefährdungsanalyse und Risikobeurteilung (engl.: hazard analysis and risk assessment, HARA) an, dass ein Risiko als Funktion wie folgt beschrieben werden kann: R=F(f,C,S) |
| {{https://safetyandsecurity.vdi.de/_media/content:automotive4.svg?direct&550x434}} | {{https://safetyandsecurity.vdi.de/_media/content:automotive4.svg?direct&550x434}} |
| |
| **Abbildung 3: Heatmap zur Risikokalkulation** | **Bild 3: Heatmap zur Risikokalkulation** |
| |
| Das zunehmende Wachstum von Firmware-, Software- und Cloudkomponenten macht moderne Fahrzeuge zu Datenhubs. Gleichzeitig sind die Daten von fahrzeugimmanenten Systemen attraktive Ziele für Cyberattacken. Erfolgreiche Angriffe können, bedingt durch die Interoperabilität von Systemkomponenten innerhalb des Fahrzeugs, unerwünschte Schadensereignisse hervorrufen, die die Safety bzw. die physische Security betreffen. Um den Herausforderungen durch Cyberbedrohungen zu begegnen, wurde im Januar 2021 die UNECE R 155-Regulation (kurz: R 155) für Cybersecurity-Managementsysteme von der United Nations Economic Commission for Europe (UNECE) eingeführt. Die EU-Regelung Nr. 155 ist Teil der UNECE WP.29, welche aus den Regelungen Nr. 155 (Cybersecurity-betreffend), Nr. 156 (Software-Updates-betreffend) und Nr. 157 (Automated Lane Keeping-betreffend) besteht.ö | Das zunehmende Wachstum von Firmware-, Software- und Cloudkomponenten macht moderne Fahrzeuge zu Datenhubs. Gleichzeitig sind die Daten von fahrzeugimmanenten Systemen attraktive Ziele für Cyberattacken. Erfolgreiche Angriffe können, bedingt durch die Interoperabilität von Systemkomponenten innerhalb des Fahrzeugs, unerwünschte Schadensereignisse hervorrufen, die die Safety bzw. die physische Security betreffen. Um den Herausforderungen durch Cyberbedrohungen zu begegnen, wurde im Januar 2021 die UNECE R 155-Regulation (kurz: R 155) für Cybersecurity-Managementsysteme von der United Nations Economic Commission for Europe (UNECE) eingeführt. Die EU-Regelung Nr. 155 ist Teil der UNECE WP.29, welche aus den Regelungen Nr. 155 (Cybersecurity-betreffend), Nr. 156 (Software-Updates-betreffend) und Nr. 157 (Automated Lane Keeping-betreffend) besteht.ö |
| |
| Grundlage der Norm ist die SAE J3061 "Cybersecurity Guidebook for Cyber-Physical Vehicle Systems", welche einen Praxisleitfaden für die Cyber-Sicherheit von Produkten im Fahrzeug über den gesamten Lebenszyklus beinhaltet. Sie kann unter[[https://www.sae.org/standards/content/j3061_202112|der]][[https://www.sae.org/standards/content/j3061_202112| SAE.org]]-Webseite erworben werden. In der SAE J3061 werden die Threat and Operability Analysis, Attack Tree Analysis und das HEAVENS Security Model zur Analyse und Bewertung von Cybersecurity-Risiken vorgeschlagen. Im Gegensatz zur ISO/SAE 21434 wird die SAE J3061 jedoch nicht mehr weiterentwickelt. | Grundlage der Norm ist die SAE J3061 "Cybersecurity Guidebook for Cyber-Physical Vehicle Systems", welche einen Praxisleitfaden für die Cyber-Sicherheit von Produkten im Fahrzeug über den gesamten Lebenszyklus beinhaltet. Sie kann unter der [[https://www.sae.org/standards/content/j3061_202112| SAE.org]]-Webseite erworben werden. In der SAE J3061 werden die Threat and Operability Analysis, Attack Tree Analysis und das HEAVENS Security Model zur Analyse und Bewertung von Cybersecurity-Risiken vorgeschlagen. Im Gegensatz zur ISO/SAE 21434 wird die SAE J3061 jedoch nicht mehr weiterentwickelt. |
| <font 11pt/inherit;;inherit;;inherit>Die ISO/SAE 21434 fasst den Umfang etwas weiter und beschreibt allgemein Anforderungen an die Informationssicherheit (als „Dach“, beschrieben in ISO 27001), die Prozessgüte (als „Träger“, beschrieben in Automotive SPICE Supply Chain & Cybersecurity) und die Produktsicherheit (als „Fundament“, dem Nukleus der SAE J3061 und beschrieben in dem TARA der ISO/SAE 21434). Es gibt eine Vielzahl von Parallelen zur ISO 26262, so sind z.B. beim Cybersecurity Process Overview (SAE J3061, Teil 8) die Phasen des Entwicklungszyklus an die Teile 3-8 der ISO 26262 angelehnt. Sie beinhalten die Konzeptphase, die Systementwicklung (Hardware bzw. Software), die Produktion und unterstützende (Support-)Prozesse. Sie gilt für Bauteile (elektronische Teile und Software) von in Serie hergestellten Fahrzeugen sowie für Ersatzteile und Zubehör. Sie deckt die Phasen der Entwicklung, der Produktion, des Betriebs, der Wartung und des Recyclings im Lebenszyklus eines Fahrzeugs ab, d.h. OEM müssen die Anforderungen aus der Norm über die gesamte Lieferantenwirkkette nachweisen. Zentrale Punkte der ISO/SAE 21434 ist der Aufbau sowie Betrieb eines Cybersecurity Managementsystems und die Bedrohungsanalyse und Risikobewertung, Threat Analysis and Risk Assessment (TARA) genannt.</font> | <font 11pt/inherit;;inherit;;inherit>Die ISO/SAE 21434 fasst den Umfang etwas weiter und beschreibt allgemein Anforderungen an die Informationssicherheit (als „Dach“, beschrieben in ISO 27001), die Prozessgüte (als „Träger“, beschrieben in Automotive SPICE Supply Chain & Cybersecurity) und die Produktsicherheit (als „Fundament“, dem Nukleus der SAE J3061 und beschrieben in dem TARA der ISO/SAE 21434). Es gibt eine Vielzahl von Parallelen zur ISO 26262, so sind z.B. beim Cybersecurity Process Overview (SAE J3061, Teil 8) die Phasen des Entwicklungszyklus an die Teile 3-8 der ISO 26262 angelehnt. Sie beinhalten die Konzeptphase, die Systementwicklung (Hardware bzw. Software), die Produktion und unterstützende (Support-)Prozesse. Sie gilt für Bauteile (elektronische Teile und Software) von in Serie hergestellten Fahrzeugen sowie für Ersatzteile und Zubehör. Sie deckt die Phasen der Entwicklung, der Produktion, des Betriebs, der Wartung und des Recyclings im Lebenszyklus eines Fahrzeugs ab, d.h. OEM müssen die Anforderungen aus der Norm über die gesamte Lieferantenwirkkette nachweisen. Zentrale Punkte der ISO/SAE 21434 ist der Aufbau sowie Betrieb eines Cybersecurity Managementsystems und die Bedrohungsanalyse und Risikobewertung, Threat Analysis and Risk Assessment (TARA) genannt.</font> |
| <font 11pt/inherit;;inherit;;inherit>Die ISO/SAE 21434 beschreibt lediglich ein Rahmenwerk. Die konkrete Implementierung liegt beim Anwender. Weil die OEMs zur Homologation gemäß UN R155 für ihre Produkte (Fahrzeuge) das CSMS über die gesamte Lieferantenwirkkette nachzuweisen haben, werden diese von den automobilen Zulieferern Konformität mit den Anforderungen an ein CSMS respektive an die Erstellung einer TARA fordern. Weiterhin werden die Nachweise zur cybersecurity Testumsetzung und die Testergebnisse im Rahmen des CSMS über die Lieferantenwirkkette nachzuweisen sein. Grundsätzlich ist die Homologation OEM-Verantwortung. Es gibt Ausnahmen z. B. Systeme der passiven Sicherheit, wo auch Tier-1 selber Systeme homologieren. Mit der ISO/PAS 5112 wurde ein Standard herausgegeben, in der die Auditierung eines CSMS und die Komponenten des CSMS-Auditors definiert sind.</font> | <font 11pt/inherit;;inherit;;inherit>Die ISO/SAE 21434 beschreibt lediglich ein Rahmenwerk. Die konkrete Implementierung liegt beim Anwender. Weil die OEMs zur Homologation gemäß UN R155 für ihre Produkte (Fahrzeuge) das CSMS über die gesamte Lieferantenwirkkette nachzuweisen haben, werden diese von den automobilen Zulieferern Konformität mit den Anforderungen an ein CSMS respektive an die Erstellung einer TARA fordern. Weiterhin werden die Nachweise zur cybersecurity Testumsetzung und die Testergebnisse im Rahmen des CSMS über die Lieferantenwirkkette nachzuweisen sein. Grundsätzlich ist die Homologation OEM-Verantwortung. Es gibt Ausnahmen z. B. Systeme der passiven Sicherheit, wo auch Tier-1 selber Systeme homologieren. Mit der ISO/PAS 5112 wurde ein Standard herausgegeben, in der die Auditierung eines CSMS und die Komponenten des CSMS-Auditors definiert sind.</font> |
| {{https://safetyandsecurity.vdi.de/_media/content:automotive5.svg?direct&400x228}} | {{https://safetyandsecurity.vdi.de/_media/content:automotive5.svg?direct&400x228}} |
| |
| **Abbildung 4: Schnittmenge von Safety und Cybersecurity** | **Bild 4: Schnittmenge von Safety und Cybersecurity** |
| |
| Andererseits ist die Funktionale Sicherheit nur eine Untermenge der Cybersecurity Betrachtung. Die TARA berücksichtigt den Impact für Safety, aber auch für den betrieblichen Einfluss, finanziellen Schaden und Datenschutzverletzung. | Andererseits ist die Funktionale Sicherheit nur eine Untermenge der Cybersecurity Betrachtung. Die TARA berücksichtigt den Impact für Safety, aber auch für den betrieblichen Einfluss, finanziellen Schaden und Datenschutzverletzung. |
| {{https://safetyandsecurity.vdi.de/_media/content:automotive6.svg?direct&250x226}} | {{https://safetyandsecurity.vdi.de/_media/content:automotive6.svg?direct&250x226}} |
| |
| **Abbildung 5: Safety als Untermenge der Cybersecurity** | **Bild 5: Safety als Untermenge der Cybersecurity** |
| |
| Der Abgleich der Impactbewertungen kann im Rahmen eines TARA/HARA-Cross-Checks erfolgen. Der Safety Manager wird damit zum Review-Stakeholder für die TARA. Die Hazards werden Teil der Schadensszenariendefinition in der TARA. Theoretisch können mit den Schadensszenarien aus der TARA auch neue Hazards abgeleitet werden. Abschnitt 2 führte die Impactklassifizierungen in der TARA ein. Für Safety Impact der TARA schlägt die ISO/SAE 21434 die Severity-Einstufung aus der ISO 26262 vor. Da diese jedoch keinen bindenden Charakter hat, können auch weitere Definitionen für die Safety-Impactklassifizierung erfolgen, z.b. eine Kombination von Severity (ISO 26262) und Controllability (ISO 26262): | Der Abgleich der Impactbewertungen kann im Rahmen eines TARA/HARA-Cross-Checks erfolgen. Der Safety Manager wird damit zum Review-Stakeholder für die TARA. Die Hazards werden Teil der Schadensszenariendefinition in der TARA. Theoretisch können mit den Schadensszenarien aus der TARA auch neue Hazards abgeleitet werden. Abschnitt 2 führte die Impactklassifizierungen in der TARA ein. Für Safety Impact der TARA schlägt die ISO/SAE 21434 die Severity-Einstufung aus der ISO 26262 vor. Da diese jedoch keinen bindenden Charakter hat, können auch weitere Definitionen für die Safety-Impactklassifizierung erfolgen, z.b. eine Kombination von Severity (ISO 26262) und Controllability (ISO 26262): |
| Im Automobilbereich wird das Umfeld der Produktentwicklung, d.h. die Erfüllung eines Informationssicherheitsstandards zertifiziert. Der VDA Information Security Assessment Fragenkatalog hat sich als Branchenstandard etabliert und ist die Grundlage für das Branchenmodell TISAX ([[https://enx.com/en-US/TISAX/|Link TISAX]]), über das eine unternehmensübergreifende Anerkennung von Information Security Assessment-Ergebnissen gewährleistet wird. Der VDA hat die ENX Association als neutrale Instanz für die Steuerung und Betreuung des TISAX-Modells hinzugezogen. | Im Automobilbereich wird das Umfeld der Produktentwicklung, d.h. die Erfüllung eines Informationssicherheitsstandards zertifiziert. Der VDA Information Security Assessment Fragenkatalog hat sich als Branchenstandard etabliert und ist die Grundlage für das Branchenmodell TISAX ([[https://enx.com/en-US/TISAX/|Link TISAX]]), über das eine unternehmensübergreifende Anerkennung von Information Security Assessment-Ergebnissen gewährleistet wird. Der VDA hat die ENX Association als neutrale Instanz für die Steuerung und Betreuung des TISAX-Modells hinzugezogen. |
| |
| Safety- und Security-Entwicklungen im Automobilbereich verfolgen trotz unterschiedlichem Fokus (s. Einleitung) teils ähnliche Ansätze und die relevanten Standards erwarten teils ähnliche Aktivitäten entlang des Produktlebenszyklus. Dies lässt recht deutlich in nachfolgender Abbildung gem. [7] erkennen, wo die jeweiligen Kernaspekte mittels des bekannten V-Modells dargestellt sind. Die vorherrschenden Symbiosen gilt es von den involvierten Unternehmen bestmöglich zu nutzen, so dass die beiden Bereiche nicht vollständig losgelöst voneinander agieren. | Safety- und Security-Entwicklungen im Automobilbereich verfolgen trotz unterschiedlichem Fokus (s. Einleitung) teils ähnliche Ansätze und die relevanten Standards erwarten teils ähnliche Aktivitäten entlang des Produktlebenszyklus. Dies lässt recht deutlich im nachfolgenden Bild gem. [7] erkennen, wo die jeweiligen Kernaspekte mittels des bekannten V-Modells dargestellt sind. Die vorherrschenden Symbiosen gilt es von den involvierten Unternehmen bestmöglich zu nutzen, so dass die beiden Bereiche nicht vollständig losgelöst voneinander agieren. |
| |
| {{https://safetyandsecurity.vdi.de/_media/content:automotive3.svg?nolink&600x355}} | {{https://safetyandsecurity.vdi.de/_media/content:automotive3.svg?nolink&600x355}} |
| |
| **Abbildung 6: Aktivitäten von Safety & Security im Lebenszyklus ** | **Bild 6: Aktivitäten von Safety & Security im Lebenszyklus ** |
| |
| ===== 4 Lösungsansätze ===== | ===== 4 Lösungsansätze ===== |