Cybersecuritymanagementsysteme (CSMS)
Weltweiter Standard gegen Cyberrisiken in der Automobilindustrie. Zukünftig nur noch eine Typenzulassung in
der EU mit einem Cybersecuritymanagementsystem!
Wir beraten Sie - kompetent, pragmatisch, schnell und lösungsorientiert
Cybersicherheit im Automobil
Das "Auto fahren" wird immer stärker von der Informationstechnologie (IT) unterstützt. Lange ist es her, dass man die Motorhaube öffnete und einen einfachen Motor mit Vergaser erblickte - so wie damals bei einem GOLF I.
In modernen Auto´s findet man zwar immer noch einen Motor vor, aber der Motorraum und das ganze Auto ist voller elektronischer Bauteile, die mittels Software gesteuert werden. Wie bei allem, gibt es auch hier die zwei Seiten einer Medaillie. Auf der einen Seite unterstützt uns der Einsatz von Informationstechnologie (IT) im Straßenverkehr immer besser und auf der anderen Seite brigt sie erhebliche Bedrohungen und somit Risiken für den Fahrzeuglenker.
Durch immer stärkere Vernetzung und Digitalisierung der
Fahrzeuge und den Einsatz neuen Technologien wie zum Beispiel 5G bei der
Datenübertragung entstehen gravierende Bedrohungen und Risiken über den
gesamten Lebenszyklus eines modernen Fahrzeugs. Autonomes Autofahren und alle
modernen Unterstützungen durch IT beim Autofahren müssen ab 2022 über den
gesamten Lebenszyklus des Fahrzeugs vom Fahrzeughersteller (OEM) und den Zulieferern
beherrscht werden.
Der erste erfolgreiche "Hack" eines Automobils erfolgte 2009 noch über den Kontrollzugang mit Kabel und Laptop. Die Gruppe um den Wissenschaftler Stephen Checkoway hatte damals Zugriff auf das fahrzeuginterne Netzwerk. So konnten schon damals die Bremsen und die Motorsteuerung beeinflusst werden. Aber schon mit dem nächsten "Hack" steigerte sich die Bedrohungslage. Über eine Zusatzsoftware bei einer Mietwagenfirma sollte es für einen säumigen Mieter nicht mehr möglich sein, den Mietwagen zu starten. Das funktionierte auch perfekt - aber nicht wie gedacht - ein verärgerter Mitarbeiter hatte die Software gehackt und die Mietwagenflotte einfach still gelegt. Mit dem schockierenden weiterentwickelten „Jeep-Hack“, bei welchem
2015 Charlie MIller und Chris Valasek die Kontrolle aus über 1.000 Kilometer
Entfernung über den Chrysler Jeep auf der Autobahn übernommen und aktiv in die
Fahrzeugkomponenten wie Scheibenwischer und Klimaanlage eingegriffen hatten und
zuletzt auf einem Parkplatz den Motor bei laufender Fahrt abgeschaltet hatten,
beschäftigten sich die Fahrzeughersteller (OEM – als Fahrzeughersteller selbst[1])
mit der gefährdeten IT-Infrastruktur im Automobil. Chrysler musste über
1.400.000 Fahrzeuge zurückrufen und erhielt eine Strafzahlung von 105 Millionen
Dollar. Damit hatte das Thema Cybersicherheit im Automobil auf Behördenseite
extrem an Bedeutung erfahren.
[1]
Original Equipment Manufacturer
(OEM): Die Fahrzeughersteller bezeichnen sich selbst als OEM und stehen an der
Spitze der Zuliefererpyramide. Darunter sind die Zulieferer horizontal in
verschiedenen Ebenen angeordnet (Tier-1, Tier-2 usw.). OEM-Erstausrüster
liefern direkt in die Werke, wie Bosch, Dunlop, Brembo. Dann wird weiter als Modulhersteller,
Komponentenhersteller und Teilelieferanten unterschieden.
Das Video aus dem Jahr 2014 zeigt interessante Aussagen zu den Bedrohungen und Möglichkeiten ein Fahrzeug zu "hacken"?
Lange Jahre wurde das Thema nicht weiterverfolgt. Aber die Bedrohungen im Video sind immer noch real und werden nun auch ernst genommen. Immer mehr Angriffe werden bekannt und nun wurde gehandelt.
Sehr interessant, aber Achtung - das Video läuft ca. 60 Minuten.
Durch immer stärkere Vernetzung und Digitalisierung der Fahrzeuge und den Einsatz neuen Technologien wie zum Beispiel 5G bei der Datenübertragung entstehen gravierende Bedrohungen und Risiken über den gesamten Lebenszyklus eines modernen Fahrzeugs. Autonomes Autofahren und alle modernen Unterstützungen durch IT beim Autofahren müssen ab 2022 über den gesamten Lebenszyklus des Fahrzeugs vom Fahrzeughersteller (OEM) und den Zulieferern beherrscht werden.
Weltweite Regulierung Cybersicherheit im Automobil
In der ganzen Welt - auf allen Kontinenten wird an dieser Herausforderung gearbeitet. In den USA gibt es verschiedene Gesetzesentwürfe, in der EU wurde der Cybersecurity Act entwickelt. In den asiatischen Ländern die neuen JASAR Richtlinien in Japan oder das ICV-Programm in China.
Die wichtigste in der EU sind aber die UN-Regelungen der UNECE (World Forum for Harmonisation of Vehicle Regulation). Diese ist eine weltweite Organisation der United Nation (UN), welche die Typenzulassung in der EU regelt.
Die UNECE WP.29 TF-CS/OTA Arbeitsgruppe hat Anfang 2021 drei wichtige UN-Regelungen für die Cybersicherheit im Automobil veröffentlicht:
· UN-R155 (Cyber Security Managementsystem) [CSMS],
· UN-R156 (Software-Updates und SUMS) und· UN-R157 (Automated Lane Keeping Systems (ALKS).
Diese Regelungen wurden im Amtsblatt der EU am 09. März 2021 in Kraft gesetzt und sind somit rechtswirksam in allen EU-Staaten. Außereuropäische Autohersteller, die ihre Fahrzeuge in den UNECE Mitgliedstaaten verkaufen wollen, müssen gleichwertige Prinzipien wie die o.g. UN-Regeln übernehmen, deren Einhaltung nachweisen oder sich den genannten UN-Regel einfach unterwerfen.
Mit der in Kraftsetzung müssen die Fahrzeughersteller für die Typenzulassungen Ihrer Fahrzeuge zukünftig ein CSMS im Rahmen der Antragstellung bei der UNECE nahweisen. Bis zum Juli 2022 müssen alle neue Fahrzeugtypen die neuen Anforderungen und ein CSMS erfüllen und bis 2024 müssen alle neu produzierten Fahrzeuge den Regelungen entsprechen und die entsprechenden Nachweise vorlegen. Das CSMS muss durch einen Technischen Dienst (Prüfungsorganisation als unabhängiger Dritter) geprüft und bestätigt sein.
Cybersicherheitsmanagementsystem (CSMS) Forderung nach UN R155
In Europa wurde von der Wp.29, einer Arbeitsgruppe der Wirtschaftskommission der Vereinten Nationen von Europa (UNECE), die neue Regelungen UN R155 für Cybersicherheit im Automobil erarbeitet und diese im Jahre 2020 verabschiedet. Dieses Weltforum für die Harmonisierung von Fahrzeugregelungen hat mit der UN R155 festgelegt, dass Fahrzeughersteller nur dann zukünftig eine Fahrzeugtypengenehmigung erhalten können, wenn sie über ein von Dritten zertifiziertes Cybersicherheitsmanagementsystem (CSMS) verfügen. Dies soll ab Juli 2022 weltweit umgesetzt werden.
Anforderungen an OEM und die Zulieferer
Die UNECE hat in der UN R155 am 22. Januar 2021 im Amtsblatt der Europäischen Union veröffentlicht. Dabei muss der OEM nicht nur das Cybersicherheitsmanagementsystem (CSMS) nachweisen, sondern unter Kapitel 7 wird er auch Wechselwirkungen mit Zuliefern, Dienstleistern oder Unterorganisationen umgeht. Lieferantenbezogene Risiken müssen somit auch im CSMS identifiziert und verwaltet werden.
ISO 21434
Die Anforderungen der UN R155 werden von der ISO 21434 unterstützt. Damit wird diese für die Umsetzung entlang der Lieferkette zum Nachweis für die OEM sehr wichtig. Die OEM benötigen hierzu Lieferanten, welche ebenso die ISO 21434 umsetzen. Die Lieferanten benötigen hierfür wieder Konformitätsbestätigungen von Prüfungsorganisationen, da es für die ISO 21434 derzeit kein Zertifizierungsverfahren gibt.
Nachweise für ältere Komponenten
Auch in neuen Fahrzeugen werden alte Komponenten verbaut werden. Daher sind auch diese einer Analyse auf die weitere Eignung zu unterziehen, um mögliche Sicherheitsrisiken zu erkennen und die zukünftige Sicherheitsanforderungen zu erfüllen.
Um die UN-Regelungen R155, R156 und R157 zu erfüllen, bzw. überhaupt eine Prüfung durch einen Dritten durchführen zu können, wurden parallel durch die Organisation für Standardisierung (ISO) und des Verbandes der Automobilingenieure (SAE) neue ISO/SAE Normen entwickelt und bereits zur Anwendung veröffentlicht.
- Die UN-R155 wird durch die ISO/SAE 21434 konkretisiert. Die Umsetzung des CSMS wird auf der Basis dieser Norm durch den Technischen Dienst (eine Prüfungsorganisation) geprüft
- Die UN-R156 wird durch die ISO/SAE 24089 konkretisiert, befindet sich jedoch noch im Entwurfsstadium,
- Die UN-R157 für Spurhaltesysteme erfolgt zukünftig durch div. ISO Normen und technische Standards.
In den UN-Regelungen zur Cybersicherheit im Automobil ist vor allem von den OEM die Rede, welche die neuen Anforderungen für die Typenzulassung zu erfüllen haben. Die Regelungen verpflichten die OEM jedoch auch dazu, die Cybersicherheit über die gesamte Lieferkette zu beobachten und zu überprüfen. Dies müssen die OEM jederzeit nachweisen können – damit ist der OEM zur Kontrolle der Zulieferer verpflichtet, die quasi Bestandteil des CSMS des OEM geworden sind und dies ebenfalls zu erfüllen haben.
Hierzu kann ein Zulieferer ein CSMS nach der ISO/SAE 21434 aufbauen und sich von einer Prüfungsorganisation zum Nachweis gegenüber dem OEM hierzu zertifizieren lassen.
Prüfung entlang der Zulieferkette
Der Verband der Automobilindustrie (VDA) hat bereits in einer ersten Auflage im Dezember 2020 ergänzend zur ISO/SAE 21434 eine Prüfungsgrundlage „Automotive Cybersecurity Managementsystem Audit“ entwickelt. Derzeit wird darüber beraten, ob der Nachweis der Prüfung eines CSMS bei Lieferantenzukünftig über ein weiteres TISAX-Label nachgewiesen werden kann.
Zusammenfassung Cybersicherheit im Automobil
Zusammenfassend kann gesagt werden, dass sich die Brisanz der ISO/SAE 21434 und erweitert ab 4. Quartal 2022 durch die ISO/SAE 24089 durch die Herausforderungen bei der neuen Typenzulassung für die Fahrzeuge ergeben und hier die gesetzlichen Vorgaben in knapper Zeit zu erfüllen sind.
Hierzu muss der Fahrzeughersteller einen risikobasierten Ansatz verfolgen und dazu gehören u.a.:
- Der OEM muss ein CSMS aufbauen,
- Er muss nachweisen, wie die Zulieferer in der Lieferkette die Risiken über ihr CSMS beherrschen und wie diese Risiken bei dem OEM berücksichtigt und beherrscht sind,
- Er muss die externen Schnittstellen und dessen Subsysteme ermitteln,
- Er muss die Sicherheits-relevanten Abhängigkeiten von Zulieferern, Dienstleistern und weiteren Dritten ermitteln und beherrschen,
- Er muss die ständig sich ändernde Bedrohungslage mit dem CSMS beherrschen und zwar ebenso in seiner Lieferkette.
Ein wichtiges Element ist die Lieferkette mit den Lieferanten. Diese müssen in dem gesamten System integriert sein und auch die Nachweise erbringen. Deshalb werden von den Prüfungsorganisationen die Konformitätsbestätigungen für Zulieferer zur ISO/SAE 21434 angeboten. Die Bestätigungen des CSMS werden eine Gültigkeit von drei Jahren haben. Der OEM muss die Funktionstüchtigkeit des CSMS zu jedem Zeitpunkt sicherstellen und den Status der gesamten Software umfangreich dokumentieren. Der OEM muss jährlich über den Status des CSMS an die Genehmigungsbehörde berichten. Es ist davon auszugehen, dass in baldiger Zeit die Fahrzeughersteller diese Nachweise einfordern werden, da diese sonst keine Typengenehmigungen mehr erhalten werden.
Derzeit wird auch darüber nachgedacht, in einer späteren Version von TISAX eine solche Prüfungsbestätigung abzubilden.
Für die Zertifizierung eines Software Update Management Systems soll die Norm ISO 24089 zum Standard werden. Die Gestaltung ist zum jetzigen Zeitpunkt (Januar 2022) allerdings noch offen.
Für weitere Informationen stehen wir jederzeit gerne zur Verfügung.
Mit freundlichen Grüßen
Peter Rentschler
p.rentschler@consuvation.com
Unterstützung im Bereich der Cybersicherheit im Automobil
Die CONSUVATION unterstützt Sie gerne in allen Fragestellungen zu dem Cybersicherheitsmanagementsystem (CSMS) nach U R155, U R156 und den Normen wie der ISO 21434 u.a.
Zögern Sie nicht und sprechen Sie uns an - wir geben Ihnen umgehend die Antworten zu Ihren Fragen.
Kontaktinformationen
+49 (0) 7031.4181-860
contact(@)consuvation.com
CONSUVATION GmbH
Ziegelstraße 20
71063 Sindelfingen
Deutschland
MONTAG-FREITAG 09:00 - 17:00
SAMSTAG-SONNTAG geschlossen
Bildnachweise für diese Seite:
pixabay.com | Lizenztyp: Pixabay License | Freie kommerzielle Nutzung - Kein Bildnachweis nötig
consuvation.com
--------------------------------------------------------------------------------------------
Markenhinweise auf dieser Seite:
TISAX ® ist eine eingetragene Marke der ENX Association
ISO ® ist eine eingetragene Marke der International Organization for Standardization
ONR ®, ÖNORM ® und ASI ® sind eingetragene Marken des Österreichischen Normungsinstitut
DIN ® ist eine eingetragene Marke des Deutsches Institut für Normung
Bei der Nennung von Marken handelt es sich ausschließlich um eine Bestimmungsangabe zur Erklärung von Nutzungsmöglichkeiten der von CONSUVATION angebotenen Dienstleistungen oder Produkte. Es besteht keinerlei Geschäfts- oder Handelsbeziehungen zwischen CONSUVATION und dem Markeninhaber - dies ist auch in keinerlei Weise beabsichtigt., Sollte eine derartige Beziehung bestehen, wird auf diese hingewiesen. Eine weitere Möglichkeit für die Nennung von Marken kann in der redaktionellen Verwendung begründet sein.
TISAX TISAX TISAS TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAS TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX T Beratung TISAX Beratung TISAX Beratung TISAX Beratung TISAX Beratung TISAX Beratung TISAX Beratung TISAX Beratung TISAX Beratung TISAX Beratung TISAX Beratung TISAX Beratung TISAX Beratung TISAX Beratung TISAX BTISAX TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Kosten TISAX Schulung TISAX Schulung TISAX Schulung TISAX Schulung TISAX Schulung TISAX Schulung TISAX Schulung TISAX Schulung TISAX Schulung TISAX Schulung TISAX Schulung TISAX Schulung TISAX Schulung TISAX Schulung TISAX TISAX Lösung TISAX Lösung TISAX Lösung TISAX Lösung TISAX Lösung TISAX Lösung TISAX Lösung TISAX Lösung TISAXTISAX Lösung TISAX Lösung TISAX Lösung TISAX Lösung TISAX Lösung TISAX Lösung TISAX Lösung Prozesse TISAX Prozesse TISAX Prozesse TISAX Prozesse TISAX Prozesse TISAX Prozesse TISAX Prozesse TISAX Prozesse TISAX Prozesse TISAX Prozesse TISAX Prozesse TISAX Prozesse TISAX Prozesse TISAX Prozesse TISAX
TISAX Zertifizierung TISAX Zertifizierung TISAX Zertifizierung TISAX Zertifizierung TISAX Zertifizierung TISAX Zertifizierung TISAX Zertifizierung TISAX Zertifizierung TISAX Zertifizierung TISAX Zertifizierung TISAX Zertifizierung