Konnektivitätsfunktionen im Auto sind auch potenzielle Angriffsschwerpunkte für Cyberkriminelle. Die neue Norm ISO/SAE 21434 wird ab Juli 2022 Cyber-Security-Management-Systeme bei Herstellern und Zulieferern regeln. (Bild: NXP)
Die meisten Fahrzeuge, die heute produziert werden, sind in irgendeiner Form mit der Außenwelt verbunden. Kommunikation von Fahrzeug zu Fahrzeug (V2V) sowie zwischen Fahrzeugen und ihrer Umgebung (V2X), Updates über Funk (Over-the-Air, OTA) und Smartphone-Integration sind Konnektivitätsfunktionen, die in immer mehr Fahrzeugen zum Einsatz kommen. Aber sie bieten auch potenzielle Einfalltore für Cyberkriminelle, die dadurch Zugriff auf die Fahrzeugsysteme erhalten können. Zudem sind auch die diesen Systemen zugrundeliegenden Backend-Netze gefährdet. NXP Semiconductors bemüht sich seit jeher intensiv um Fahrzeugsicherheit und spielt bei der Bekämpfung dieser Bedrohungen und der Sicherung zukünftiger Fahrzeugsysteme eine zentrale Rolle.
Podcast: Der neue Automotive-Security-Standard ISO/SAE 21434
Die neue Norm ISO/SAE 21434. Sie enthält eindeutige organisatorische und verfahrenstechnische Anforderungen, die die gesamte Lebensdauer des Fahrzeugs betreffen, von der Konzeption und Entwicklung über die Produktion, den Betrieb und die Wartung bis hin zur Stilllegung.
Vernetzung schafft Gelegenheit
In der Vergangenheit waren Autos für Kriminelle kein lohnendes Ziel. Sie waren von ihrer Umgebung isoliert; der On-Board-Diagnose-Anschluss (OBD) war in der Regel der einzige Zugangspunkt zur Fahrzeugelektronik. Für den Zugang musste der Täter sich allerdings im Fahrzeug befinden, so dass seine Identität ermittelt werden konnte. Daher wurden Fahrzeuge bislang fast nur zu Forschungszwecken und von White-Hat-Hackern gehackt.
Das Aufkommen vernetzter Fahrzeuge und der damit verbundenen vernetzten Infrastruktur eröffnete für Cyberkriminelle aber neue Gelegenheiten. Unzureichend geschützt sind drahtlose Schnittstellen eine Sicherheitslücke, die einen ferngesteuerten und vor allem anonymen Zugang ermöglicht. Je höher die Fahrzeugautonomie, umso komplexer sind die Fahrerassistenzsysteme (ADAS), die zudem mit Straßenrandsensoren, Ampeln, Überwachungskameras und intelligenten Verkehrszeichen kommunizieren.
Mit der Vielfalt wächst auch die Herausforderung, diese Systeme und Schnittstellen zu sichern. Ohne strenge Sicherheitsmaßnahmen hätten Kriminelle Zugang zu ganzen Fahrzeugflotten, städtischen Infrastruktureinrichtungen oder Netzwerken von Herstellern. Die sozialen und wirtschaftlichen Folgen eines Angriffs auf eine ganze Stadt oder eine vernetzte Autobahn sind kaum vorstellbar.
Globale Zusammenarbeit
Zusammenarbeit ist ein zentrales Thema für die Automobilindustrie und ihre Lieferkette, und Cybersicherheit ist für alle Aspekte der Fahrzeugkonstruktion entscheidend. Jedes System mit einer Schwachstelle bietet einem Cyberkriminellen einen Einstiegspunkt, der es ihm ermöglicht, von dort aus zu weiteren kritischen Systemen vorzudringen.
Die Einführung eines neuen Standards für die Automobilindustrie zeigt, wie ernst die Branche die Bedrohungen nimmt. Die Internationale Organisation für Normung (ISO) und der Verband der Automobilingenieure (Society of Automotive Engineers, SAE) haben 2016 eine gemeinsame Initiative gestartet. Sie wandten sich an Automobilhersteller, Komponenten- und Systemzulieferer, Cybersicherheitsfirmen und Regierungsorganisationen und konsultierten mehr als 100 Experten von über 82 Unternehmen in 16 Ländern.
Das Ergebnis dieser Zusammenarbeit ist die neue Norm ISO/SAE 21434. Sie enthält eindeutige organisatorische und verfahrenstechnische Anforderungen, die die gesamte Lebensdauer des Fahrzeugs betreffen, von der Konzeption und Entwicklung über die Produktion, den Betrieb und die Wartung bis hin zur Stilllegung. Das bedeutet, dass die gesamte Lieferkette wirksame Methoden zur Schaffung einer Kultur der Cybersicherheit einführen muss. Darunter fallen auch eine Förderung des Bewusstseins für Cybersicherheit, des Wissensmanagements und von kontinuierlichen Verbesserungen, damit sämtliche Leistungen und Produkte auch in Zukunft die in sie gesetzten Erwartungen erfüllen.
Richtlinien forcieren Cyber-Security-Management-Systeme (CSMS)
Darüber hinaus entwickelte das „World Forum for Harmonization of Vehicle Regulations“ (UNECE WP.29) ein neues Regelwerk für Cybersecurity (UN R155). Dieses verhindert, dass Automobilhersteller eine Typengenehmigung erhalten und Fahrzeuge in einem Land verkaufen, bevor sie über ein zertifiziertes Cybersicherheitsmanagementsystem (CSMS) verfügen. Ab Juli 2022 gilt die Vorschrift in Europa, Japan und Korea für neue, zwei Jahre später auch für bereits erhältliche Fahrzeugtypen.
Vernetzte Fahrzeuge bestehen aus zahlreichen elektronischen Komponenten und Systemen, die über eine komplexe, mehrstufige Lieferkette bereitgestellt werden. Ein Infotainment-System beispielsweise wird in der Regel von einem Tier-1-Lieferanten produziert, enthält aber Chips und Softwarebibliotheken von Tier-2-Lieferanten. Die Sicherheit eines Fahrzeugs hängt jedoch von der gesamten Lieferkette ab. Gemäß Vorschrift UN R155 liegt das Risikomanagement für alle Zulieferer und Dienstleister in der Kette in der Verantwortung des Automobilherstellers, erfordert aber Unterstützung und Zusammenarbeit in der gesamten Lieferkette.
Die Lieferkette muss der ISO Norm SAE 21434 entsprechen
Es herrscht Einigkeit darüber, dass die ISO/SAE 21434 den Unternehmen entlang der Lieferkette bei der Umsetzung der Anforderungen an das CSMS hilfreich sein kann. Daher ist nach UNR155 die Einhaltung der ISO/SAE 21434 für die gesamte Lieferkette in der Automobilbranche obligatorisch.
NXP arbeitet ISO/SAE 21434-konform. Die Richtlinien und Prozesse des Unternehmens im Bereich Cybersecurity sind für die Einhaltung der neuen Norm zertifiziert. Damit ist NXP das erste Unternehmen, das eine solche Akkreditierung erhalten hat, und kann zudem auf eine jahrzehntelange Erfahrung im Bereich der Automobilsicherheit für die Sicherung der Fahrzeuge von morgen zurückgreifen.
Bei der Herstellung und dem Support seiner Produkte kommt NXP sein Wissensschatz im Bereich Sicherheit zugute. Das Unternehmen folgt einem ganzheitlichen Sicherheitsansatz, der alle Teile der Organisation einbezieht und auf bewährten Sicherheitsverfahren und -richtlinien beruht. Das Competence Centre for Crypto and Security stellt sicher, dass Produkte von NXP über einen angemessenen Schutz für die vorgesehenen Anwendungen und Systeme verfügen. Zudem werden die Produkte im firmeneigenen Schwachstellenlabor auf ihre Resistenz gegenüber neuen Bedrohungen geprüft. Darüber hinaus vertiefen NXP Mitarbeiter ihr Sicherheits-Know-how kontinuierlich auf NXP-Sicherheitsschulungen und das Konzept des Unternehmens für IT- und Standortsicherheit entspricht der ISO 27001 Norm.
Fazit
Mit der zunehmenden Verbreitung vernetzter Geräte müssen Hersteller auch die Maßnahmen zu deren Schutz vor Cyberangriffen verstärken. Um das Risiko von Angriffen auf vernetzte Fahrzeuge zu minimieren und zu verhindern, dass solche Versuche unentdeckt und unkontrolliert bleiben, sind robuste Cybersicherheitsmaßnahmen erforderlich. Dies erfordert vertrauenswürdige Produkte und eine ausgereifte Sicherheitsorganisation, die Automobilherstellern hilft, Fahrzeuge vor Cyberangriffen zu schützen. Denn Konnektivität und Autonomie sollten keine Bedrohung, sondern vielmehr eine Chance für mehr Sicherheit, Produktivität und Effizienz beim Autofahren sein.
Sie möchten gerne weiterlesen?
Unternehmen
Dieser Beitrag wird präsentiert von:
