White Paper

Systeme zum Management der Cybersecurity für den Automobilmarkt

Neue Fahrzeugtechnologien bringen zunehmende Sicherheitsbedrohungen mit sich. Deshalb empfiehlt sich die Integration bewährter Cybersecurity-Verfahren entlang des gesamten Lebenszyklus des Fahrzeugs – von der Konstruktion über die Produktion und Wartung bis hin zur Stilllegung.

Das regulatorische Umfeld

Zum Schutz von Straßenfahrzeugen und ihren Insassen vor Sicherheitsbedrohungen hat die Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) grundlegende Anforderungen an die Cybersecurity von Fahrzeugen eingeführt.

Regelung UN-R155

Diese Norm wird bis Juli 2024 vollständig in Kraft treten und alle Automobilhersteller verpflichten, ein Cybersecurity-Management-System (CSMS) in ihren Produktlebenszyklus, auch für von Dritten gelieferte Komponenten, einzuführen und anzuwenden und den Nachweis für dessen Implementierung während der Typzulassungsphase zu erbringen. Dies wird erhebliche Auswirkungen auf die gesamte Automobilbranche und ihre Akteure haben, da die Nichteinhaltung der rechtlichen Anforderungen die Möglichkeit zur Vermarktung der Fahrzeuge beeinträchtigen könnte.

ISO/SAE 21434

Dies ist die Norm, auf die in der Regelung UN-R155 Bezug genommen wird. Es handelt sich dabei um eine anerkannte Leitlinie zur Gewährleistung der R155-Konformität und somit für den Erhalt der Typzulassung für ein Fahrzeug. In dieser Norm wird das Konzept eines Cybersecurity-Management-Systems näher ausgeführt.

ISO/PAS 5112

Diese Norm wurde 2022 veröffentlicht, um Leitlinien für die Umsetzung eines Cybersecurity-Audit-Programms für die Automobilindustrie bereitzustellen. Sie gibt spezifische Kriterien für die Prüfung von CSMS, die auf der Norm ISO/IEC 21434 basieren, an.

Schlüsselelemente für CSMS

Das Cybersecurity-Management-System (CSMS) ist ein systematischer, risikobasierter Ansatz, der organisatorische Abläufe, Verantwortlichkeiten und Governance zur Behandlung von Risiken im Zusammenhang mit Cyberbedrohungen für Fahrzeuge und zum Schutz der Fahrzeuge vor Cyberangriffen definiert. Um ein angemessenes Cybersecurity-Risikomanagement über den gesamten Produktlebenszyklus zu gewährleisten, folgt das CSMS dem V-Modell. Dieses stellt in der Automobilindustrie eine angemessene Berücksichtigung der Cybersecurity von der Konzeptphase bis zur Stilllegungsphase elektrischer und elektronischer Systeme in Straßenfahrzeugen, einschließlich ihrer Komponenten und Schnittstellen, sicher.

Wie wir Sie unterstützen können

Der Ansatz von Reply zur Implementierung eines CSMS beruht auf unserer umfassenden Erfahrung im Bereich der Cybersecurity in der Automobilindustrie und der Umsetzung von maßgeschneiderten Strategien, die auf die Bedürfnisse unserer Kunden zugeschnitten sind. Auf der Grundlage unserer Kompetenzen in den Bereichen Sicherheitsberatung, Systemintegration und Schutzmaßnahmen bieten wir im Automotive-Bereich sowohl Beratungsleistungen als auch die Implementierung integrierter Lösungen an.

Die Leistungen von Reply

Analyse und Strategiedefinition

  • Beurteilung und Bewertung der aktuellen Cybersecurity-Lage zur Einhaltung der UN-R155 und UN-R156

  • Bewertung der Konformität mit anderen geltenden Vorschriften (z. B. IATF, TISAX)

  • Bereitstellung einer detaillierten Schwachstellenanalyse

  • Festlegung von Strategien und Korrekturmaßnahmen zur Erfüllung der gesetzlichen Anforderungen

Unterstützende Aktivitäten

Picture

Entwicklung von Cybersecurity-Lösungen & Security by Design

Fahrzeug-Cybersicherheitstechnik gemäß ISO/SAE 21434 und der Regelung UNECE/WP R155.

Picture

Third Party Risk Management

Management der mit den Lieferanten verbundenen Risiken während des gesamten Lebenszyklus (Lieferantenbewertung/-überwachung)

Picture

Connected Vehicle ICT Security

Security-Services im Zusammenhang mit Backend-Anwendungen, die von Connected Vehicles genutzt werden (z. B. Service Delivery Platform, Authenticated Diagnostic)

Picture

Sichere Entwicklung und Testung

Sichere Entwicklung und Durchführung von Penetrationstests für Fahrzeugkomponenten oder Netzwerke

Picture

Sicherheit in der Produktion

Implementierung, Integration und Verwaltung von V-PKI (SW Sign, ECU Identify, ADA)

Picture

CSMS-Betrieb & Threat Intelligence

Implementierung und Management von V-SOC und PSIRT, Management von Sicherheitslücken