Cyber Security
The future starts now.
Cyber Security ist bereits heute ein zentrales Thema für die Sicherheit im Straßenverkehr und bildet die Grundvoraussetzung für Autonomes Fahren in der Zukunft.
Dadurch bedingt sind auch die Anforderungen an die Produkte der Automobilhersteller und Zulieferer bezüglich ihrer technischen Komplexität und den angebotenen Funktionen gestiegen.
Sicherheit in der Automobilindustrie bringt verschiedene Herausforderungen mit sich: von rechtlichen Auslegungsfragen in der Konzeptphase über die Kommunikation innerhalb des Fahrzeuges bis hin zur IT-Struktur des Herstellers. Jeder dieser Bereiche muss individuell beleuchtet und beurteilt werden, um Informationssicherheit zu gewährleisten, Manipulation zu verhindern und im Notfall richtig reagieren zu können.
To make our future world safe.
Wir stehen unseren Kunden mit unseren erfahrenen Experten zur Verfügung, die wir durch den Prozess begleiten und darüber hinaus bei der Auswahl der benötigten Prüflabore unterstützen.
Ist-Stand-Analyse vs. ISO-Norm
Unternehmen sehen sich heute vielfältigen Cyber-Risiken ausgesetzt: Angriffe auf IT-Systeme und der Diebstahl von vertraulichen Daten und Informationen sind nicht selten unternehmenskritisch. Industriespionage von Konkurrenten, Angriffe durch Aktivisten, interne Täter, Angriffe auf den Zahlungsverkehr durch das organisierte Verbrechen oder sogar Hacking durch Staaten können Unternehmen wirtschaftlich großen Schaden zufügen. Unabhängig von der Größe, besteht hier für alle Unternehmen Handlungsbedarf.
Werden Schwachstellen und Sicherheitslücken in IT-Systemen nicht frühzeitig erkannt und geschlossen, dann werden sie zur Bedrohung für die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Unternehmensdaten.
Unsere Experten beleuchten die Prozesse der Kunden anhand von spezifischen ISO Standards gleichen diese mit den Anforderungen der Gesetzgebung ab.
Die Gap Analyse versetzt unsere Kunden in die Lage, dass eine frühzeitige Erkennung, eine Konformität zu Gesetzesanforderungen und die Zertifizierung des Informationssicherheitssystems Schwachstellen aufdeckt und diese Risiken minimiert.
Wie funktioniert unsere Gap Analysis?
Durch Interviews und Dokumentenanalyse werden die Prozesse analysiert anhand von gesetzlichen Vorgaben, ISO-Normen und Erfahrungswerten.
Für OEMs sind insbesondere folgende Normen relevant:
- ISO/IEC 21434 (Road vehicles – Cybersecurity engineering)
- ISO/IEC 21448 (Road vehicles – Safety of the intended functionality)
- UNECE R-155 (CSMS)
- UNECE R-156 (SUMS)
- upcoming: ISO/CD 24089 (Road vehicles – Software update engineering)
Nach der Gap Analyse wird den Kunden ein Bericht zur Verfügung gestellt und anschließend wird mittels gemeinsamer Workshops ein kundenspezifischer Fahrplan zur Erreichung der Konformität erarbeitet.
Das Risikomanagement ist ein zentraler Baustein, um Bedrohungen, Gefahren und Risiken für ein Unternehmen sichtbar zu machen und zu zeigen, dass man sich proaktiv mit potentiellen Risiken und ihrer Minimierung auseinandersetzt. Nicht nur das Management System sondern auch die Risikoanalyse selbst, ist für Unternehmen und seine Produkte im Bereich Cyber Security von besonderer Bedeutung.
Die Informationssicherheit und die Anforderungen des CSMS setzen einen Prozess zur fortlaufenden Risikobewertung voraus.
Die Risikoanalyse liefert dabei die Ausgangsbasis für alle weiteren Schritte im Projekt.
Im Rahmen einer Risikoanalyse werden die spezifischen Risiken eines Unternehmens identifiziert, die Ursachen analysiert und die Schadenauswirkungen der identifizierten Gefahrenereignisse anhand von ihrer Wahrscheinlichkeit bewertet.
Automotive Function, Fuzz and Penetration Testing
Die Regelung UNECE R-155 setzt für Typprüfungen und Systemgenehmigungen das funktionale und systematische Penetrationstesten voraus. Der Annex 5 der UNECE R-155 beschreibt hierbei nur die Grundanforderungen an diese Tests. Zusammen mit dem Technischen Dienst werden für die Fahrzeugprojekte unserer Kunden spezifische Testszenarien anhand des Risk Assessments entwickelt, geplant und durchgeführt. Gemeinsam mit den IT-Spezialisten unserer Kunden erstellen wir einen geeigneten Testansatz und begleiten das Fahrzeugprojekt von der Entwicklung bis zur Genehmigung in jedem Teilaspekt.
UNECE R-155 und R-156
Das UNECE Welt-Harmonisierungsforum für Fahrzeugregulierungen (WP.29) hat zwei neue Regularien für Cyber Security von Fahrzeugen (R155) und Software Updates (R156) veröffentlicht.
Seit Januar 2021 sind diese Regelungen in Kraft und OEMs benötigen für neue Typen ab Juli 2022 und Juli 2024 für alle Fahrzeuge der Kategorie M.
Als für die UNECE Regelungen R-155 und R-156 benannter Technischer Dienst, für die Behörden KBA und SNCH, haben wir die Expertise unsere Kunden von der Gap Analyse bis hin zum Zertifizierungsaudit zu unterstützen.