autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Vehicle Cyber Security Audit

Holger Schmeken

Produkt Manager der DQS für TISAX® und VCS
Juli 10 , 2024

Die digitale Trans­for­ma­ti­on der Au­to­mo­bil­bran­che ist in vollem Gange. Wo immer möglich, weicht die Mechanik der Elek­tro­nik. Der Einbau von immer mehr E/E-Kom­po­nen­ten macht Fahr­zeu­ge leistungsfähiger und erhöht die Fahr­si­cher­heit – setzt sie aber auch vermehrt den Gefahren eines Cy­ber­an­griffs aus. Aus diesem Grund ver­ab­schie­de­ten die Ver­ein­ten Nationen die UN-Regelung 155, die die Im­ple­men­tie­rung zeitgemäßer Cyber Security Ma­nage­ment Systeme (CSMS) vorsieht und seit Juli 2024 ihre volle Wirk­macht ent­fal­tet.

Mit der Norm ISO/SAE 21434 „Road vehicles – Cy­ber­se­cu­ri­ty engineering“ exis­tiert zwar bereits ein in den behördlichen Vorgaben re­fe­ren­zier­ter Leit­fa­den, doch stellte sich dieser in der Praxis als nicht aus­rei­chend präzisiert heraus. Um eine weltweit stan­dar­di­sier­te Um­set­zung zu ermöglichen, hat die ENX As­so­cia­ti­on mit den Vehicle Cyber Security Audits (VCSA) eine neue Möglichkeit der Zer­ti­fi­zie­rung ge­schaf­fen. In unserem Blog­bei­trag erfahren Un­ter­neh­men der Au­to­mo­bil­bran­che, warum dieses Au­dit­pro­gramm für den Nachweis der Konformität mit den neuen Vor­schrif­ten besser geeignet ist als eine reine Zer­ti­fi­zie­rung nach ISO/SAE 21434.

Cybersicherheit in der Automobilbranche

Die Bedeutung der neuen Vorschriften für die 

Mit den neuen Vorschriften hinsichtlich Automotive Cyber Security gibt es nun verbindliche Vorgaben, die ab Juli 2024 für alle neu hergestellten Fahrzeuge gelten. Werden die gestellten Anforderungen nicht umgesetzt, erhalten die jeweiligen Baureihen keine Typzulassung. Eine ganzheitliche Cybersicherheit, wie sie mit der vorgeschriebenen Implementierung eines Cyber Security Management Systems (CSMS) von den Behörden beabsichtigt ist, umfasst dabei sämtliche Bestandteile eines Fahrzeugs.

Die meisten Komponenten, die in Fahrzeugen verbaut werden, stammen aus der Lieferkette der Automobilhersteller. Mit der UN R 155 werden diese Hersteller für die Cybersicherheit der gelieferten Komponenten in die Verantwortung genommen. Sie können jedoch nur über ihre vertraglichen Vereinbarungen mit den Lieferanten Einfluss auf die Cybersecurity der Komponenten nehmen. Daher sind Fahrzeughersteller im Rahmen ihres Risikomanagements auf eindeutige Verträge und aussagekräftige Audits bei ihren Lieferanten angewiesen, um die erforderliche Cybersicherheit zu gewährleisten und langfristig aufrechtzuerhalten.

Welche Probleme adressieren die neuen Vorschriften?

Die Einführung der UN R 155 (und der auf Software-Updates fokussierten UN R 156) durch den Gesetzgeber lenkt die Aufmerksamkeit auf mehrere komplexe Fragestellungen, die im Zusammenhang mit softwaregesteuerten Komponenten von Straßenfahrzeugen und Cybersecurity existieren:

  • Wie kann sichergestellt werden, dass Software für den Betrieb solcher Komponenten sicher entworfen, entwickelt und implementiert wird?
  • Auf welche Weise wird eine Komponente im Produktionsprozess ausschließlich mit der beabsichtigten Softwareversion ausgestattet, und wie werden die relevanten Produktionssysteme geschützt, die zur Ausstattung der Komponenten mit Software erforderlich sind?
  • Wie kann überwacht werden, dass Sicherheitsereignisse in den Komponenten erfasst und Bedrohungen auch noch nach 10 Jahren wirksam durch Updates behoben werden können?

ISO 21434 Zertifizierung als Lösung?

Als Antwort auf diese Fragen nennt die UN R 155 die Einrichtung eines Cybersicherheits-Managementsystems (Cyber Security Management System, CSMS) gemäß ISO/SAE 21434 bei Fahrzeugherstellern. Ein Managementsystem ist eine Reihe von Prozessen und Verfahren, die verwendet werden, um ein Unternehmen oder eine Organisation effektiv zu leiten und zu steuern.

Im Sinne der Norm bezieht sich der Begriff „Cybersicherheit“ in der Automobilindustrie speziell auf den Schutz von Computersystemen, Netzwerken und deren Daten in Straßenfahrzeugen. Dies umfasst Maßnahmen und Strategien zur Gewährleistung der Sicherheit und Integrität digitaler Systeme, die in Fahrzeugen eingesetzt werden.

Zur Sicherstellung der Cybersecurity spezifiziert die Norm Prozesse und Verfahren eines CSMS für die Bereiche Sicherheitskonzeption, Entwicklung von Produkten, Produktwartung, Risikoerkennung, Gefahrenabwehr, Produktentsorgung und die damit verbundenen kontinuierlichen Prozesse. Hiermit leistet die Norm ein umfassendes Architekturmodell eines CSMS einschließlich eines Vorgehensmodells zur Bewertung von Risiken in der Cybersecurity, das als Threat and Risk Analysis (TARA) bezeichnet wird.

Nachfolgend erfahren Sie, welche Argumente gegen eine reine ISO/SAE 21434 Zertifizierung zur Erfüllung der Anforderungen der UN R 155 sprechen. 

racing cars on a track
Unser Lesetipp

Au­to­mo­ti­ve Cyber Se­cu­ri­ty

Mit der Di­gi­ta­li­sie­rung haben die Risiken von An­grif­fen rasant zu­ge­nom­men. Au­to­mo­bil­her­stel­ler sind für Cy­ber­kri­mi­nel­le in mehr­fa­cher Hinsicht ein at­trak­ti­ves Ziel. Lesen Sie in unserem Blog­bei­trag, welche Re­gu­la­ri­en hier seit Juli 2024 schützend eingreifen. 

Au­to­mo­ti­ve Cyber Se­cu­ri­ty – Jetzt Beitrag lesen

Vorgaben für Audits durch ISO/PAS 5112

Die ISO/SAE 21434 lässt einen großen Interpretationsspielraum wie die Auditierung eines CSMS ablaufen soll. Da jeder Auditanbieter unter den Regularien seiner Akkreditierungsstelle ein eigenes Auditprogramm für die ISO-Norm 21434 erstellt, ergab sich die Notwendigkeit mit der ISO/PAS 5112 den Auditierungsprozess für die Cybersicherheit und das CSMS einer Organisation zu vereinheitlichen. 

Die ISO/PAS 5112 beinhaltet einen allgemeinen Leitfaden für das Management eines Auditprogramms und gibt Organisationen die nötigen Informationen an die Hand, wie sie ein Audit konkret planen und umsetzen können. Darüber hinaus werden die Kompetenzen der CSMS-Auditoren definiert und erläutert, wie die Normumsetzung nachgewiesen werden kann.

Warum das VCS-Audit von der ENX entwickelt wurde

Trotz dieser Bemühungen um eine verbesserte Standardisierung fallen die resultierenden Auditprogramme für Cybersecurity in der Automobilindustrie immer noch sehr unterschiedlich aus.

Vor dem Hintergrund tief integrierter Lieferketten mit multiplen Vertragspartnern stellen die nicht vergleichbaren Auditprogramme für Fahrzeughersteller ein großes Problem dar. Die Hersteller müssen sich auf die Ergebnisse der Lieferantenaudits des CSMS für ihr Risikomanagement verlassen können.

Die ENX hat diesen Bedarf erkannt und in Zusammenarbeit mit der Automobilindustrie eine Lösung entwickelt, indem sie ein weltweit standardisiertes Auditprogramm namens ENX VCS (Vehicle Cyber Security) implementiert hat. Dabei hat die ENX ihr Mitgliedernetzwerk genutzt, um das Auditprogramm an die spezifischen Anforderungen der Industrie anzupassen

Gleichzeitig stellt sich ISO/SAE 21434 allein gar nicht als ausreichend dar, um allen regulatorischen Anforderungen der UN R 155 gerecht zu werden. Die UN R 155 verweist zwar auf ISO/SAE 21434 als beispielhaft für die Prozesse eines CSMS, aber sie fordert auch, dass die Fähigkeiten des Systems dauerhaft aufrechterhalten werden müssen:

  • UN R 155, Kapitel 7.2.2.3: Cyber-Bedrohungen und -Schwachstellen, die eine Reaktion des Fahrzeugherstellers erfordern, müssen innerhalb eines angemessenen Zeitrahmens behoben werden.
  • UN R 155, Kapitel 7.2.2.4: Der Fahrzeughersteller muss nachweisen, dass die in seinem CSMS angewandten Verfahren gewährleisten, dass die in Absatz 7.2.2.2 g) genannte Überwachung regelmäßig erfolgt.

Die zuvor genannten Anforderungen können dauerhaft nur dann realistisch erfüllt werden, wenn neben dem CSMS auch ein Informationssicherheits-Managementsystem (ISMS) betrieben wird, welches dauerhaft die Informationssicherheit im gesamten Unternehmen sicherstellt. Aus diesem Grund setzt ENX VCS immer voraus, dass die Entwicklungsstandorte auch ein TISAX® Assessment bestanden haben müssen. Auf diese Weise kann der geprüfte Lieferant die Wahrnehmung seiner Sorgfaltspflichten durch risikobewusstes und risikoaverses Management nachhaltig demonstrieren.

Car interior with large display and digital interface on a blurred background
Kostenfreie Webinaraufzeichnung

Das ENX VCS Audit

Als Zu­lie­fe­rer der Au­to­mo­bil­in­dus­trie benötigen Sie einen Überblick über die An­for­de­run­gen der Fahr­zeug­her­stel­ler an IT-gesteuerte Komponenten. Unsere kostenfreie Webinaraufzeichnung liefert Ihnen dazu wichtige In­for­ma­tio­nen, unter anderem über: 

  • Die Umsetzung der UN-Richt­li­nie 155 im europäischen Rechts­raum
  • Die Be­hand­lung von IT-Komponenten in Fahr­zeu­gen nach den Regeln eines Cy­ber Security Ma­nage­ment Systems (CSMS)
  • Den Nachweis einer kon­for­men Um­set­zung der ISO/SAE 21434 durch das weltweit stan­dar­di­sier­te VCS-Au­dit
Zur kos­ten­frei­en Web­i­nar­auf­zeich­nung

ENX VCS vs. ISO 21434

Vorteile von ENX VCS

 

1:1 Umsetzung von ISO 21434 und ISO/PAS 5112

Die gute Nachricht vorweg: Wer sich in Sachen Automotive Cybersecurity bisher an den Normen ISO 21434 und ISO/PAS 5112 orientiert hat, ist bereits auf einem guten Weg. Die Anforderungen beider Standards sind – mathematisch gesprochen – eine echte Teilmenge der VCS-Vorgaben. Somit finden sich alle Anforderungen der beiden ISO-Normen 1:1 in ENX VCS Vehicle Cyber Security wieder.

Im Vergleich zu den ISO-Audits ermöglicht ENX VCS jedoch ein vergleichbares Vorgehensmodell. Um global über alle Auditanbieter hinweg vergleichbare Abläufe zu gewährleisten, hat die ENX zum Launch des Programms auch konkrete „Audit Provider Criteria & Assessment Requirements“ (ACAR VCS 1.0) sowie einen verbindlichen VCSA-Prüfkatalog 1.0 veröffentlicht. Diese enthalten unter anderem:

  • Die organisatorische Prüfung der Regelungen des CSMS (vornehmlich Dokumenten- und Prozessprüfung).
  • Die Bildung einer risikoorientierten Stichprobe der Projekte, die sich mit Cybersicherheit von Komponenten befassen.
  • Die Stichprobe der Projekte dient zur Überprüfung, ob die Regelungen des CSMS in VCS Projekten konsequente Anwendung finden und umfasst beispielsweise Interviews mit Teammitgliedern des Engineering-Teams und die Sichtung von deren Arbeitsergebnissen.

 

Einheitliche Kompetenzen

In ACAR werden ebenfalls weltweit einheitliche Kompetenzanforderungen und Rollenbeschreibungen für Auditoren und Experten definiert:

  • VCS Lead Auditor
  • VCS Experte

Das Wissen eines VCS Experten muss immer im VCS Auditteam repräsentiert sein. Der Experte übernimmt in der Interviewphase die Konversation mit den Engineering-Teams, damit eine fachgerechte Beurteilung der Tätigkeiten und Arbeitsergebnisse möglich wird.   

 

Rollenorientierte Auditierung

In Tradition zu TISAX® werden auch bei ENX VCS die verschiedenen Rollen, die Lieferanten bei der Bereitstellung von cybersicherheitsrelevanten Komponenten einnehmen können, in Form eines neuen Systems für VCS-Label berücksichtigt. Auf diese Weise muss ein Lieferant nur diejenigen Anforderungen des VCSA-Prüfkatalogs erfüllen, die seiner jeweiligen Rolle angemessen sind:

  • VCS Development
  • VCS Production
  • VCS Operations & Maintenance

 

Vergleichbare Aufwände

Die Label für ENX VCS sind drei Jahre gültig und erfordern keine Überwachungsaudits. Im Gegensatz dazu erfordern Audits gemäß ISO/SAE 21434 über 3 Jahre ein (Re-)Zertifizierungsaudit und zwei jährliche Überwachungsaudits mit entsprechenden Reiseaufwänden.

 

Agilität

Im Gegensatz zur ISO-Norm verspricht ENX VCS auch eine höhere Agilität bei der Anpassung an neue Anforderungen. Die ACAR-Regelungen werden üblicherweise einmal jährlich einer verbindlichen Revision unterzogen, die von allen VCS Auditanbietern verbindlich umzusetzen ist.

Diagram showing the interplay of the various VCS standards and programs

ISO 27001

Der Klas­si­ker für In­for­ma­ti­ons­si­cher­heit

ISO/IEC 27001 ist die in­ter­na­tio­nal führende Norm zur Einführung eines ganz­heit­li­chen Ma­nage­ment­sys­tems für In­for­ma­ti­ons­si­cher­heit. Die ISO-Norm wurde überarbeitet und am 25. Oktober 2022 neu veröffentlicht.

ISO 27001 – mehr In­for­ma­tio­nen

Fazit: ENX VCS versus ISO 21434

Zusammenfassend ist ENX VCS Zertifizierung eine sinnvolle Weichenstellung. Das Auditprogramm ermöglicht eine weltweit verbesserte Umsetzung der Auditierung gemäß den Anforderungen von ISO/SAE 21434 und ISO/PAS 5112. Die erhöhte globale Vergleichbarkeit des neuen Labels sorgt für ein erheblich gesteigertes Vertrauen in die Zertifizierung und in die Umsetzung der Cyber-Sicherheitsvorgaben der UN-Regelung 155. 

Die DQS als verlässlicher Partner für die Zertifizierung

Als einer der erfahrensten deutschen Dienstleister für die Zertifizierung von Managementsystemen arbeitet die DQS bereits seit vielen Jahren mit der ENX zusammen und war auch unmittelbar an der Entwicklung des neuen Auditprogramms beteiligt. In der langen Entwicklungszeit bis zur Veröffentlichung des Programms hat die DQS in einer Vielzahl von Probeaudits wertvolle Erfahrungen gesammelt und ist damit bestens vorbereitet, um Ihr CSMS auf Basis der VCS-Vorgaben zu auditieren.

Nutzen Sie das Wissen unserer Experten und informieren Sie sich grundlegend über ENX VCS und dessen Bedeutung für Ihr Unternehmen. Mit der Erfahrung aus mehr als 40 Jahren und dem Know-how von weltweit 3000 Auditoren sind wir Ihr kompetenter Zertifizierungspartner und liefern Antworten auf alle Fragen rund um Datenschutz und Informationssicherheit.

questions-answers-dqs-question mark on wooden dice on table

Sie haben Fragen?

Wir sind für Sie da.

Wel­che Vor­aus­set­zun­gen bestehen für eine Zertifizierung nach ISO 27001,  IATF 16949, ENX VCS oder ein TISAX®-Assessment? Und mit welchem Aufwand müssen Sie rechnen? In­for­mie­ren Sie sich. Un­ver­bind­lich und kos­ten­frei.

Wir freuen uns auf das Ge­spräch mit Ihnen!

Vertrauen und Expertise

Unsere Beiträge und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Inhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: [email protected]

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor

Holger Schmeken

Pro­dukt­ma­na­ger für TISAX® und VCS, Auditor für ISO/IEC 27001, Experte für Software En­gi­nee­ring mit mehr als 30 Jahren Er­fah­rung und stell­ver­tre­ten­der In­for­ma­ti­ons­si­cher­heits­be­auf­trag­ter. Holger Schmeken ist Di­plom-Wirt­schafts­in­for­ma­ti­ker und hat die er­wei­ter­te Au­dit­kom­pe­tenz für Kri­ti­sche In­fra­struk­tu­ren in Deutsch­land (KRI­TIS).

Das könnte Sie auch in­ter­es­sie­ren. 

Weitere Fach­bei­trä­ge und Ver­an­stal­tun­gen der DQS 
Blog

NIS-2 für Ge­schäfts­füh­rer: Pflich­ten, Haftung und Um­set­zung im Un­ter­neh­men

Wei­ter­le­sen
Blog

Kri­sen­kom­mu­ni­ka­ti­on beim Ran­som­wa­re Angriff

Wei­ter­le­sen
Blog

Der Si­cher­heits­drei­klang der Zukunft

Wei­ter­le­sen