Cyber Security Management Systeme (CSMS)

Als Konsequenz daraus wird der Ruf nach einheitlichen Standards zunehmend lauter. Der im Jahr 2019 initiierte Cybersecurity Act der EU richtete den Fokus in einer Arbeitsgruppe UNECE auf Cyber Security Management Systeme und auf Software Management Update Systeme. Diese Arbeitsgruppe kümmert sich um die weltweite Harmonisierung von Fahrzeugvorschriften.

Ein Ergebnis daraus: In Zusammenarbeit mit der Internationalen Organisation für Normung (ISO) und der Society of Automotive Engineers (SAE) erstellt die UNECE eine Zertifizierung für Cyber Security Management Systeme (CSMS). Die Norm ISO/SAE 21434 ist aktuell im „Approval Status“ und soll ab Mitte 2022 für neuzugelassene Fahrzeugtypen und ab 2024 für alle neu produzierten Fahrzeuge gelten. Das Ziel ist, einen strukturierten Prozess für das CSMS bei Autoherstellern und die Cybersicherheit im Fahrzeug vorzugeben, der die Erfolgsquote von Hackerangriffen reduziert und einen Standard gegen Cyberbedrohungen in der Automobilindustrie etabliert. Die Anforderung an Cybersecurity steigt somit von einzelnen Features auf gesamte Managementsysteme – ergo von Projekt- auf Organisationsebene. Dieser Standard benennt keine Spezifika zu Cybersicherheitstechnologien oder konkrete Methoden. Stattdessen regt dieser einen Ansatz zur Priorisierung von Cybersecurity Aktivitäten sowie eine Erhebung von Maßnahmen an.

Die in der UN-Regulierung 155 und der Norm ISO/SAE 21434 geschaffenen Grundlagen gelten in Deutschland als Voraussetzung für die Typenzulassung (Homologation) durch das Kraftfahrtbundesamt sowie durch die entsprechenden Stellen in allen UNECE Mitgliedsstaaten und anerkennenden Drittländern.

In der ISO/SAE 21434 Norm werden vier Bereiche beschrieben:

• Das Management von Cyberrisiken aus dem Fahrzeug und dessen Umfeld
• Die inhärente Absicherung eines Fahrzeugs und dessen Wertschöpfungskette
• Die Etablierung eines Cybersecurity Incident Response Systems, um Cybersecurity Vorfälle zu erkennen und zu behandeln
• Remote Software Updates für einen aktuellen Softwarestand

In der Praxis heißt das, dass für die Zulassung neuer Fahrzeugtypen ein von unabhängigen Prüfern zertifiziertes Managementsystem für Cybersicherheit und remote Software-Updates eine Voraussetzung ist. Die Zertifizierung ist sowohl für OEMs als auch Zulieferer relevant. In der Norm wird zwischen einem CSMS für die Organisation und der Anwendung des CSMS auf Produktebene differenziert. Inhaltlich können sich Unternehmen in Zukunft bei der Erstellung eines CSMS anhand der Sektionen der Norm orientieren: Diese thematisieren die Erstellung eines (1) CSMS Konzepts, dessen (2) Management, (3) Risikobestimmungsmethoden, die Integration von Cybersecurityaspekten in der (4) Produktentwicklung sowie (5) Produktion, Betrieb und Wartung.

Entsprechend umfasst ein Cyber Security Management System verschiedene Prozesse auf Organisations- und Projektebene. Im Detail geht es um die Identifizierung, Bewertung und Behandlung von Cyberrisiken in einem angemessenen Zeitraum über den gesamten Lebenszyklus eines Fahrzeugs. Letztendlich muss das gesamte CSMS neben einem SUMS durch einen unabhängigen Dritten zur Freigabe der Typenzulassung validiert werden. Die Umsetzung der UN-Regulierung 155 umfasst mehrere Bereiche – von der Konzeptphase, der Produktentwicklung, dem Management der Cybersecurity Systeme, über Risikobestimmungsmethoden, Produktion, Betrieb und Wartung sowie unterstützende Prozesse.

msg verfügt über weitreichendes IT- und Branchen-​Know-how. Expertinnen und Experten in den Bereichen Cyber Security und Software Update Management Systeme sowie Elektrik/Elektronik unterstützen unsere Kunden bei der Identifikation relevanter Regelungen, bei der Evaluation unternehmensspezifischer Prozesse und Homologationsvorgängen bis zum Erhalt der Typzulassung. Beratung, Konzeption, fachliche Spezifikation bis hin zur Umsetzung von IT-​Systemen – wir stehen bereit.