Automotive Cybersecurity ISO/SAE 21434: Sicherheitsstandards in der Automobilindustrie

Mit der Einführung der ISO/SAE 21434 wurde 2021 die Anwendung des Standards für Cybersecurity-gerichtete Entwicklungen in der Automobilbranche als Stand der Technik verpflichtend. 

Cybersecurity ist mit der Scharfschaltung der UN-ECE 155/ 156 Fahrzeugtypzulassungs-relevant. Eine Basis zur Erfüllung dieser Regulierung ist die Anwendung der ISO/SAE 21434. Dies gilt sowohl für Fahrzeughersteller als auch für deren Zulieferer.

Durch die zunehmende Konnektivität und der immer mehr auf externen Diensten basierten Leistungsmerkmale eines Fahrzeugs (Stichwort Software Defined Vehicle, autonomes Fahren) wird das Identifizieren von Security Zielen und deren Reduktion für alle Unternehmungen in der Automotive-Industrie entscheidend. Daneben wachsen die Anzahl und das Ausmaß von Angriffen auf Fahrzeugen und deren Flotten überproportional.

Das Seminar führt in die Motivation und Ziele des Standards ISO/SAE 21434 ein und erläutert die Implementierung sowohl in bestehende als auch in neue Entwicklungen für Fahrzeughersteller und Zulieferer entlang der gesamten Lieferkette. Im Fokus stehen die Bedrohungsanalyse und das Risikoassessment (TARA), die praxisnah vermittelt werden.

Ziele des Seminars sind:

• Vertrautheit mit der ISO/SAE 21434
• Verständnis der Definition, Motivation, und Struktur der Norm
• Kennenlernen praktischer Umsetzungsbeispiele
• Unterscheidung von Muss- und Kann-Anforderungen
• Methoden zur Risikoanalyse erlernen
• Praxisnahe Umsetzung der Risikoanalyse im Automotive-Bereich

Das Seminar befähigt Sie, den Standard effektiv in die Praxis zu integrieren.

Das Seminar richtet sich an alle Personen vom Entwickler, Projektleiter, Manager, Management Systemverantwortliche, die mit der ISO/SAE 21434 zu tun haben sowie an alle Personen, die Risikoanalyen (TARA) in der Automobilindustrie durchführen.

Dienstag, 15. Oktober 2024
9.00 bis 12.15 und 13.15 bis 16.30 Uhr

Motivation

• Historie und Ziele der ISO/SAE 21434
• Einbettung und Abgrenzung zu weiteren Standards und Regulierungen (UN-ECE, Automotive SPICE©, ISO 31000, ISO 27001, ISO 26262, …)

Administration

• Zuständigkeit der Norm: wer/was ist betroffen?
• Begriffe, Definitionen und deren Zusammenhänge

Organisatorisches Management

• Cybersecurity Management System (Aufbau, Architektur und Etablierung; praxisbewährte Blaupause für ein CSMS)
• Monitoring/Vehicle Cybersecurity Operation Center (wann muss man ins Darknet?)
• Aufgabenverteilung in der verteilten Entwicklung (Supplychain in der Automotive Industrie

Projektbezogenes Management

• Planung der Cybersecurity Aktivitäten: was muss wie geplant werden: Aktivitäten, Arbeitsprodukte, Analysen, …
• Nachweis für die Cybersecurity des Produkts (Cybersecurity Case; Blueprint einer Argumentation)
• Entwicklungslifecycle: von der Itemdefinition zur Validierung

Bedrohungs-Analyse und Risikoassessment

• Durchführung einer TARA in der Praxis
• Identifikation von Cybersecurity Zielen und deren Umgang (Risk Treatment)
• Auswahl der Cybersecurity Controls

Zusammenfassung und Ausblick