ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“
Die ISO/SAE 21434 wurde von der Interanational Organization for Standardization (ISO) entwickelt, um die Umsetzung der UN-R155 zu unterstützen. Diese stellt für die Fahrzeughersteller auf zwei Ebenen Anforderungen, welche von der ISO/SAE 21434 unterstützt werden.
Das von der ISO/SAE 21434 geforderte CSMS, fordert wie alle anderen Managementsystemen der ISO Welt die Regelung von Aufbau- und Ablauforganisation, die Umsetzung von Prozessen und Verfahren und die notwendigen Dokumentationen und Nachweisen. Schwerpunkte sind dabei das Risikomanagement und alle Phasen der Produktentwicklung, SW-Programmierung, Betrieb, Wartung bis zu Ende des Lebenszyklus. Dies gilt für alle elektronischen Systemen, Komponenten und Software im Fahrzeug sowie alle externen Konnektivitäten wie Wi-Fi und Bluetooth.
Die Anforderungen sind aber viel umfangreicher als die reine Struktur eines Managementsystems auf der High Level Ebene. Es werden spezifische Anforderungen für die Softwareentwicklung, einschließlich Schwachstellenanalyse und Designentscheidungen formuliert.
Wie man aus dem Kapitel 5 erkennen kann, umfasst die Norm weitere Anforderungspunkte, spezifisch für ein CSMS. Es reicht für ein Unternehmen somit nicht, ein QMS nach ISO 9001 oder ein ISMS nach ISO 27001 oder TISAX eingeführt zu haben. Es muss ein CSMS aufgebaut werden.
Dieses CSMS hat verteilte und laufende Aufgaben zu bearbeiten und nachzuweisen (Kapitel 7+8).
Im Kerngeschäft der Softwareentwicklung müssen die Prozesse und Dokumentationen gemäß den Anforderungen des Kapitel 6, 9 bis 14 abgebildet werden um eine Konformitätsbestätigung einer Prüfungsorganisation zu erhalten.
Hierzu sollte in einer GAP-Analyse der Status aufgenommen werden und gegen die Anforderungen verglichen werden. Meistens müssen darauf:
- Ein spezifisches Risikomanagement aufgebaut werden. Bestehende RM-Systeme eines ISMS (ISO27001 oder TISAX) erfüllen diese Punkte nicht. UN-R155 liefert hierfür einen spezifischen Bedrohungskatalog,
- SW-Entwicklungsprozesse im Projekt müssen meist neu modelliert werden,
- SW Sprachen müssen nach entsprechenden Schwachstellen analysiert werden und die bekannten Fehler ausgeschlossen werden,
- Dies bedingt die Überarbeitung von Programmierrichtlinien und -handbüchern
Falls Sie eine GAP-Analyse planen oder Unterstützung zu diesen Punkten haben – sprechen Sie uns bitte an.