Vehicle Cyber Security: Sicherheit für vernetzte Fahrzeuge
Die zunehmende Vernetzung und Digitalisierung von Fahrzeugen bringt viele Vorteile mit sich, stellt die Automotive Branche aber auch vor neue Herausforderungen im Bereich der digitalen Fahrzeugsicherheit. Vehicle Cyber Security (VCS) ist deshalb ein entscheidendes Thema, um die Integrität, Vertraulichkeit und Verfügbarkeit von Fahrzeugdaten und -funktionen zu gewährleisten. Mit diesem Glossarbeitrag geben wir einen umfassenden Überblick für Mitarbeitende in KMUs, OEMs und Unternehmen der Automotive Branche über das Thema Vehicle Cyber Security (VCS).
Was ist Vehicle Cyber Security?
Vehicle Cyber Security (VCS) umfasst alle Maßnahmen und Technologien, die Fahrzeuge vor Cyberangriffen schützen.
Moderne Fahrzeuge sind mit einer Vielzahl von elektronischen Steuergeräten und Kommunikationssystemen ausgestattet, was sie anfälliger für digitale Bedrohungen macht. Diese Bedrohungen können nicht nur die Sicherheit und Funktionalität im Fahrzeug beeinträchtigen, sondern auch die Fahrzeuginsassen und die allgemeine Verkehrssicherheit gefährden. Daher ist der Schutz dieser Systeme unerlässlich.
Warum sind neue Regelungen und VCS in der Automotive Branche nötig?
Traditionelle Sicherheitsmaßnahmen reichen nicht mehr aus, um die komplexen Bedrohungen abzuwehren, die durch Konnektivität im Fahrzeug und automatisiertes Fahren entstehen.
Mit der zunehmenden Digitalisierung von Fahrzeugsystemen, steigen die Bedrohungen durch Cyberangriffe auf Fahrzeuge stetig. Hacker können potenziell Zugang zu sensiblen Daten erhalten, Fahrzeugfunktionen manipulieren oder gar die Kontrolle über das Fahrzeug übernehmen. Dies stellt nicht nur ein Risiko für die Insassen, sondern auch für andere Verkehrsteilnehmende dar. Um den zunehmenden Cyberbedrohungen entgegenzuwirken und ein hohes Sicherheitsniveau von vernetzten und automatisierten Fahrzeugen zu gewährleisten, sind neuen Regelungen im Bereich Automotive notwendig.
Welche Anforderungen stellt VCS und wie sehen die neuen Vorschriften aus?
Neue Vorschriften und Standards wie die ISO/SAE 21434 und UNECE WP.29 definieren spezifische Anforderungen für die Cybersecurity in Fahrzeugen. Diese Normen spezifizieren Prozesse und Maßnahmen, die sicherstellen, dass Cybersecurity-Risiken während des gesamten Lebenszyklus eines Fahrzeugs – von der Entwicklung über die Produktion bis zu Updates während der Nutzung – bewertet und beherrscht werden.
Der wichtigste Baustein ist die Implementierung eines Cybersecurity-Management-Systems (CSMS), das Risiken über den gesamten Lebenszyklus des Fahrzeugs hinweg systematisch identifiziert, bewertet und behandelt. Diese strukturierte organisatorische Herangehensweise macht das Management von Cybersecurity-Risiken zu einem standardisierten und nachweisbaren Prozess. Dabei muss das CSMS die gängigen Standards erfüllen und folgende Anforderungen umfassen und steuern:
- Risikomanagement und Asset-Überblick: Alle beteiligten Assets wie Systeme, Hardware, Personen, ausgelagerte Services und Standorte müssen identifiziert und die Risiken ggf. bewertet sowie Maßnahmen zur Risikominimierung implementiert werden.
- Security by Design: Sicherheitsanforderungen müssen von Anfang an in den Konzept- und Entwicklungsprozess integriert werden.
- Kontinuierliche Überwachung: Fahrzeuge müssen während ihrer gesamten Lebensdauer überwacht werden, um auf neue Bedrohungen reagieren zu können.
- Regelmäßige Updates: Sicherheitsupdates müssen regelmäßig bereitgestellt und eingespielt werden.
- Compliance mit anderen Standards: Hersteller müssen bestimmte Sicherheitsstandards und -zertifizierungen nachweisen, wie beispielsweise ISO/SAE 21434 und UNECE WP.29.
- Organisatorische Cyber Sicherheit: Etablierung klarer Verantwortlichkeiten und Prozesse für die Cybersecurity.
- Kultur der Cyber Sicherheit: Schulungen zu Werten und Verhaltensweisen, die Cybersecurity betonen und fördern, um eine Kultur der Cyber Sicherheit zu schaffen.
- Interne Sicherheitsprüfungen: Regelmäßige Überprüfung und Validierung der Sicherheitsmaßnahmen.
- Operations Security: Maßnahmen und Verfahren, um die Sicherheit während des Betriebs und der Nutzung sicherzustellen.
- Incident Management: Vorbereitung und Reaktion auf Sicherheitsvorfälle.
- Supply Chain Relationships: Überwachung und Verwaltung der Sicherheitsaspekte in Lieferantenbeziehungen zur Minimierung von Risiken in der Lieferkette.
Wer ist betroffen und ab wann?
Die neuen Regelungen betreffen alle Akteure im Bereich Automotive, einschließlich OEMs (Original Equipment Manufacturers), Zulieferer und KMUs (kleine und mittlere Unternehmen), die Teile für die Fahrzeugproduktion bereitstellen. Die UNECE WP.29-Verordnung ist seit Januar 2021 in Kraft und erfordert, dass ab Juli 2024 jedes neu typgenehmigte Fahrzeug den Sicherheitsanforderungen entsprechen müssen.
Welche Regulierungen und Zertifikate existieren?
Zu den wichtigsten Regulierungen und Zertifikaten im Bereich Vehicle Cyber Security gehören:
- ISO/SAE 21434: Diese Norm spezifiziert Anforderungen für die Cybersecurity in der Automotive Branche.
- UNECE WP.29: Eine Verordnung der Wirtschaftskommission für Europa der Vereinten Nationen, die Sicherheitsanforderungen im Fahrzeug festlegt.
- CSMS (Cyber Security Management System): Ein System zur Verwaltung der Cybersecurity-Aktivitäten eines Unternehmens über den gesamten Lebenszyklus eines Fahrzeugs hinweg.
- TISAX VCS: Ein Standard für Informationssicherheit in der Automobilindustrie, der insbesondere Zulieferer betrifft.
Automotive Spice: Ein Prozessmodell zur Bewertung und Verbesserung der Softwareentwicklungsprozesse in der Automotive Branche, das auch Anforderungen an die Cybersecurity berücksichtigt.
Wie sieht VCS in der Praxis aus und was sind Einsatzgebiete?
In der Praxis umfasst Vehicle Cyber Security eine Vielzahl von Maßnahmen und Techniken und wird in vielen Bereichen der Automobilindustrie angewendet:
- Verschlüsselung (data at rest): Schutz sensibler Daten durch Verschlüsselungstechnologien.
- Schutz von Kommunikationskanälen (data in transit): Schutz der Kommunikationssysteme insbesondere zwischen Fahrzeugen und externen Geräten via Ende-zu-Ende-Verschlüsselung.
- Sichere Updates: Sicheres Management von Over-the-Air (OTA) Updates, um Fahrzeugsoftware zu aktualisieren und Sicherheitslücken zu schließen.
- Authentifizierungsmechanismen: Starke Authentifizierungsmechanismen und rollenbasierte Zugriffskonzepte, um die Integrität und Verfügbarkeit von Nutzerdaten sowie die Systeme, die für autonomes Fahren notwendig sind, zu schützen
- Intrusion Detection Systems (IDS): Systeme zur Erkennung von Anomalien und Abwehr von Eindringversuchen.
- Secure Boot: Gewährleistung, dass nur vertrauenswürdige Software beim Start des Fahrzeugs ausgeführt wird.
- Schwachstellenscans: Regelmäßige Durchführung von intensiven Schwachstellen-, PEN- und Systemtests, um die IT Sicherheit beim autonomen Fahren
Vehicle Cyber Security ist unerlässlich für eine sicheren Automobilindustrie
Durch die Implementierung und Einhaltung dieser Sicherheitsmaßnahmen und -standards können Unternehmen in der Automotive Branche nicht nur die Sicherheit ihrer Fahrzeuge verbessern, sondern auch das Vertrauen ihrer Kunden stärken und rechtlichen Anforderungen entsprechen. Vehicle Cyber Security bleibt somit ein zentrales Thema in der fortschreitenden Digitalisierung der Automobilindustrie.