Zuwachs in der Informationssicherheit: die Vehicle Cyber Security (VCS) nach ISO 21434
Die VDA-ISA 6.0 wird erwartet, genauere Informationen sowie einen Zeitpunkt wann sie erscheint, gibt es noch nicht.
ABER: Aktuell wird ein Begriff immer lauter und es mehren sich die Gerüchte, dass es bald neben der Informationssicherheit im Automotivbereich eine Vehicle Cyber Security (VCS) geben soll, welche auf der ISO 21434 basiert. Diese ist eine internationale Norm, die sich mit der Cybersecurity für Straßenfahrzeuge beschäftigt.
Sie legen Anforderungen und Leitlinien fest, um die Sicherheit von Fahrzeugen in Bezug auf Cyberbedrohungen zu gewährleisten.
Bei der Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) gibt es verschiedene Aspekte die zu berücksichtigen sind:
- Risikobewertung und -management: Die ISO 21434 fordert einen umfassenden Risikobewertungs- und -managementprozess, um die potenziellen Cyberbedrohungen und Schwachstellen in Straßenfahrzeugen zu identifizieren. Dies umfasst die Identifizierung von Bedrohungen, die Bewertung von Schwachstellen und die Festlegung von Gegenmaßnahmen zur Risikominderung.
- Sicherheitsrichtlinien und -verfahren: Die Entwicklung und Implementierung von klaren Sicherheitsrichtlinien und -verfahren sind entscheidend, um sicherzustellen, dass alle relevanten Stakeholder im Fahrzeugentwicklungsprozess die erforderlichen Sicherheitsmaßnahmen verstehen und befolgen.
- Sicherheitsbewusstseinsprogramme: Schulungen und Sensibilisierungsmaßnahmen für die Mitarbeiter sind wichtig, um ein Bewusstsein für Cybersecurity-Risiken zu schaffen und sicherzustellen, dass alle vorgeschriebenen Maßnahmen auf Bedrohungen reagieren können.
- Sicherheitsziele und -metriken: Die Festlegung von klaren Sicherheitszielen und -metriken (z.B. über KPIs) ermöglicht es, den Fortschritt bei der Umsetzung von Sicherheitsmaßnahmen zu verfolgen und sicherzustellen, dass die definierten Ziele erreicht werden.
- Zugriffskontrolle: Die Kontrolle des Zugriffs auf Fahrzeugsysteme und -daten ist entscheidend, um unbefugte Zugriffe zu verhindern. Hierzu gehört die Umsetzung von Authentifizierungs- und Autorisierungsmechanismen.
- Sicherheitsüberprüfungen: Regelmäßige Sicherheitsüberprüfungen und Penetrationstests von einem Fahrzeugsystem sind notwendig, um Schwachstellen zu identifizieren und zu beheben, bevor sie von potenziellen Angreifern ausgenutzt werden können.
- Notfallmaßnahmen und Incident Response: Ein klarer Plan für den Umgang mit Sicherheitsvorfällen sollte entwickelt und regelmäßig geübt werden, um im Falle eines Cyberangriffs ggf. auf eine Fahrzeugflotte, angemessen reagieren zu können.
- Sicherheitslebenszyklus: Die Sicherheit sollte von Anfang bis Ende des Fahrzeugentwicklungslebenszyklus berücksichtigt werden, einschließlich Design, Produktion, Wartung und Stilllegung.
- Lieferantenmanagement: Die Sicherheitsanforderungen sollten auch an Lieferanten und Drittanbieter ausgeweitet werden, da diese häufig in den Fahrzeugentwicklungsprozess involviert sind.
- Dokumentation und Berichterstattung: Eine klare Dokumentation aller Sicherheitsmaßnahmen und -prozesse ist wichtig, um die Einhaltung der Anforderungen der ISO 21434 nachzuweisen und eine transparente Berichterstattung zu ermöglichen.
Was bedeutet das für Ihr Unternehmen?
Wenn Sie Entwickler von Fahrzeugsystemen sind, kommen Sie in Zukunft nicht mehr um die Vehicle Cyber Security (VCS) herum und müssen den Scope Ihrer Informationssicherheit im Automotivebereich dahingehend erweitern um auch die VCS Prüfung zu bestehen.
Fazit:
Um zukünftig Ihr Managementensystem effektiv betreiben zu können und weiterhin erfolgreich zusein, müssen Sie Ihr bestehendes System zu einem Integriertes Managementsystem (IMS) umwandeln. Denn alle hier aufgezählten Punkte sind zum größten Teil schon vorhanden:
- Risikomanagementsystem: bereits in QM, TISAX®*, ISO 27001 und anderen gefordert
- Sicherheitsrichtlinien: bereits in der ISO 27001 und in der TISAX®* gefordert
- Sicherheitsbewusstseinsprogramme: bereits in QM, TISAX®*, ISO 27001 und anderen gefordert
- Sicherheitsziele und KPIs: bereits in QM, ISO 27001 und anderen gefordert
- Zugriffskontrolle: bereits in TISAX®* & ISO 27001 gefordert
- Sicherheitsüberprüfungen: bereits in TISAX®* & ISO 27001 gefordert
- Notfallmaßnahmen und Incident Response: bereits in QM, ISO 27001 und anderen gefordert
- Sicherheitslebenszyklus: bereits in der Automobilbrange über den PSB und PSCR gefordert (siehe VDA Produktintegrität)
- Lieferantenmanagement: bereits in QM, ISO 27001 und anderen gefordert
- Dokumentation und Berichterstattung: im VDA Band 1 beschrieben
Ansprechpartner:
Michael Will
Abteilungsleiter
Projekt- & Qualitätsmanagement
Standort Wolfsburg
Tel.: +49 5361 – 89 65 65 0
Fax: +49 5361 – 89 65 65 12
Mobil: +49 151 – 25 34 32 97
michael.will(at)dos-online.de
Weitere Informationen für den Seminaren zur Automotive-Cyber-Security des TÜV-Nord finden Sie hier: www.tuev-nord.de
Wir weisen darauf hin, dass die DOS Software-Systeme GmbH keine TISAX®*-Assessments durchführt sowie keine TISAX®-Labels ausstellt. Die angebotenen Dienstleistungen dienen der Vorbereitung und Informationsgabe zum Thema TISAX®*.
*TISAX® ist eine eingetragene Marke der ENX Association. Die DOS Software-Systeme GmbH steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.