Handlungsbedarf für 1st-Tier Supplier: Gesetzesänderung zugunsten der Cybersecurity in der Automobilindustrie15 | 09 | 22
Cybersicherheit, Datenschutz und die Abwehr von Cyber-Angriffen auf die heute hochgradig vernetzten Fahrzeuge spielen in der Automobilindustrie eine immer entscheidendere Rolle. Diesem Handlungsdruck, welcher durch das autonome Fahren weiter erhöht wird, hat das UNECE World Forum for Harmonization of Vehicle Regulations (UNECE WP.29) – bereits im Jahr 2021 – konsequent Rechnung getragen und dazu für die Zulassung von Fahrzeugen neue Regelwerke und Anforderungen für die Sicherheit gegen Cyber-Angriffe definiert.
Durch die seitens der UNECE erlassene Regulierung R155 (Amtsblatt der Europäischen Union, L 82, Rechtsvorschriften, 64. Jahrgang, 9. März 2021) wurde eine Leitlinie für deren Umsetzung erlassen, welche die Cyber-Sicherheit in Form der Norm ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ für Fahrzeughersteller verbindlich festlegt und regelt. Seit Juli 2022 gilt durch den erlassenen Rechtsakt in der gesamten EU die Zertifizierung nach ISO/SAE 21434 als Voraussetzung für die Typgenehmigung und Zulassung von neuen Fahrzeugtypen zum Straßenverkehr sowie ab Juli 2024 für alle Neufahrzeuge, sowohl in der EU als auch für die weiteren UNECE Vertragsstaaten.
Herausforderung für Zulieferer
Nachdem die R155 auch die Zulieferer aufführt, müssen alle IATF 16949 Zulieferer, die bereits heute Teile und Fahrzeugkomponenten an OEMs und in Fahrzeugwerke liefern, damit rechnen, zeitnah durch Ihre Kunden mit den Anforderungen gem. ISO/SAE 21434 konfrontiert zu werden. Insbesondere Zulieferern von Elektrik/Elektronik-Komponenten (E-E) kommt hier eine besondere Bedeutung zu.
Die ISO/SAE 21434 umfasst die wichtigsten Phasen im gesamten Lebenszyklus eines Fahrzeuges, von der Entwicklung über die Fertigung bis zum Betrieb und finalen Verschrottung eines Fahrzeugs (inkl. Löschung der im Fahrzeug gespeicherten Daten). Die Norm unterstützt die Implementierung eines Cyber-Security-Management-Systems (CSMS) beim Entwicklungsdienstleister und/oder OEM, indem es ein aktives Management von (potenziellen) Schwachstellen in Hinblick auf vernetzte Fahrzeuge und deren Komponenten ermöglicht. Eine zentrale Rolle spielt dabei die Funktion des Cyber Security Managements im Projekt, welche idealerweise durch die Funktion des sogenannten Cyber Security Managers übernommen wird.
Ausblick
In einer zunehmend vernetzten Welt mit einem steigenden Grad an autonom unterstützten Fahrzeugen gewinnt das Thema Sicherheit weiter an Bedeutung. Die Gesetzgebung hat dies frühzeitig erkannt. Die europäische Automobilindustrie entwickelt sich mehr und mehr zu einer Tech-Branche. Sie steht somit an vorderster Front, um Cyberrisiken am Produkt Fahrzeug und in dessen Entwicklungsprozess abzusichern. Der Gesetzgeber hat die Voraussetzungen für eine zeitnahe Umsetzung geschaffen. Es ist nun an der Industrie, die Vorgaben zu erfüllen.
Unternehmen, die bereits heute nach IATF 16949 und TISAX arbeiten, sind hier im Vorteil. Denn auf dieser Basis kann eine Implementierung beschleunigt erfolgen, indem auf die Prozesse und das Wissen der Organisation aufgebaut wird. Ein zentraler Punkt der ISO/SAE 21434 ist die Bedrohungsanalyse und Risikobewertung, sowie deren Bündelung zu einem ganzheitlichen Cybersicherheitskonzept im Entwicklungsprojekt. Sowohl für die Risikobewertung als auch das Sicherheitskonzept werden mit einem Informationssicherheitsmanagement auf Basis des VDA-ISA-Fragenkatalogs (TISAX-Verfahren) bereits wichtige Grundlagen gelegt. So fordern beispielweise die Controls 1.3.1 und 1.3.2 die Identifikation und Risikobewertung von Informationswerten. Hinzu kommt die Forderung nach einem Management von Informationssicherheitsereignissen (Control 1.6) oder dem Schutz von Datenübertragung in einem Netzwerk (Control 5.1). Die Aufzählung ließe sich fortsetzen.
Sie möchten weitere Tipps und Tricks rund um TISAX kennenlernen? Dann melden Sie sich zu unseren kostenlosen DGQ-Webinaren an:
- Tipps und Tricks für TISAX: Optimierung des TISAX-Kostentreibers Facility Management »
- Tipps und Tricks für TISAX: Schwachstelle IOT – Erfahrungen aus der Praxis »
- Tipps & Tricks für TISAX: Whistleblowing im Vorfallmanagement »
Über die Autoren:
Thomas Salvador ist Gründer der QM Experts GmbH, einem auf die Automobilindustrie spezialisierten Beratungsunternehmen im Bereich Zertifizierung und Managementsysteme mit Sitz in München. Seit 2011 für BMW tätig, verantwortet er als Lead-Trainer die nationale Ausbildung von 1st und 2nd Party-Auditoren von BMW Deutschland und hält regelmäßig Fortbildungen für Automotive Auditoren. Für die Opexa Advisory GmbH ist er als Berater tätig und berät auf Grundlage seiner langjährigen Erfahrung im Bereich zivil-militärischer Avionik- und IT-Systeme sehr erfolgreich Automobilzulieferer im Bereich automotiver Informationssicherheitsmanagementsysteme (ISMS), insbesondere nach TISAX. Als Beratungsunternehmen bereitet Opexa Advisory regelmäßig Zulieferer auf Erstzertifizierungen im Bereich der Informationssicherheit vor.
Klaus Kilvinger, ist Geschäftsführender Gesellschafter der Opexa Advisory GmbH, einer auf die Themen Digitalisierung, Cyber- und Informationssicherheit, sowie deren Integration in Geschäftsprozesse spezialisiertes Beratungsunternehmen mit Hauptsitz in München. Er ist seit über 30 Jahren in der IT-Branche Zuhause und verfügt über ein breites anwendungsbezogenes Erfahrungswissen, verfügt ferner über umfassende Kenntnisse und Erfahrungen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Zuhause. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter verfügt über er breite Branchenkenntnisse über die Fertigungs-, Automobilindustrie, den öffentlichen Sektor, bis hin zur Wirtschaftsprüfung.
Über den Autor: Thomas Salvador
