Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
22 Elektronik automot ive Security Auswirkungen auf die Produktentwicklung durch ISO 21434 Cybersecurity Wie mache ich mein Produkt sicher? Mit der Verabschiedung neuer Cybersecurity-Standards rückt die Wichtigkeit dieses Themas verstärkt in den Fokus von Entwicklungsabteilungen Wie ist mit den gestiegenen Entwicklungsanforderungen umzugehen? Von Matthias Spranz Safety-Standards wie EN 5012x Railway und ISO 26262 Automotive sind vielen Entwicklerinnen und Entwicklern bekannt Neu hingegen sind Security-Standards wie EN TS 50701 für Railway und ISO 21434 für Automotive Nach einem kurzen Überblick über Cybersecurity-Grundbegriffe geht es im Folgenden anhand von ISO 21434 exemplarisch um die Auswirkungen der neuen Anforderungen TARA Threat Analysis and Risk Assessment definiert als zentrales Werkzeug unter anderem das Vorgehen bei den weiteren Entwicklungsschritten Doch wie ist konkret die Durchführung? Was ist zu beachten? Welche neuen Dokumente sind zu erstellen bzw auf welche hat die Norm einen Einfluss? Auch an die Organisationsabläufe stellen die Cybersecurity-Normen strikte Anforderungen Wie geht man mit Cybersecurity-Incidents um? Schafft eine Threat-Intelligence-Abteilung in jedem Fall Abhilfe? CIA-Triade Ein gemeinsames Verständnis über die Grundbegriffe ist wichtig Im Cybersecurity-Umfeld hat sich die »CIA-Triade« als eines der Kernziele etabliert Sie beschreibt die drei wesentlichen Anforderungen wenn es um die Sicherheit von Daten und Informationen geht Bild 1 ➔ ➔ Confidentiality Vertraulichkeit bedeutet dass Informationen nur für den Personenkreis zugänglich sind für den sie auch bestimmt sind Häufig wird in diesem Kontext von Verschlüsselung oder Geheimhaltung gesprochen aber auch das schlichte Nichterfassen von Daten kann dieses Ziel erfüllen ➔ ➔ Integrity Datenintegrität zielt da - rauf ab dass Informationen weder auf dem Übertragungsweg noch am Speicherort verändert beschädigt oder verloren bzw gelöscht werden können ➔ ➔ Availability Verfügbarkeit wird häufig stiefmütterlich behandelt stellt aber wie die beiden vorherigen Punkte ein Hauptziel der CIA-Triade dar Informationen müssen verfügbar sein wenn sie benötigt werden zum Beispiel via Redundanz Notstromversorgung oder Ähnliches Hierbei liegen oft große Kostentreiber vor und ein frühes Einbinden dieses Ziels ist ratsam Die CIA-Triade verlangt Daten müssen rechtzeitig und fehlerfrei nur für berechtigte Personen zugänglich sein Im weiteren Verlauf wird die ISO 21434 exemplarisch referenziert andere Normen sind im Kern vergleichbar unterscheiden sich beispielsweise bei Begriffen oder Dokumentationsform Erwähnt werden sollte dass die ISO 21434 den Fokus auf die Verkehrsteilnehmer Road-User legt Schutz von Urheberrechten oder Auswirkungen auf Anbieter Hersteller was Reputationsverlust oder Mitigierungskosten angeht sind nicht enthalten Es ist zu empfehlen diese Punkte bei der Analyse ebenfalls zu berücksichtigen Die Aufgaben die zur Einhaltung der Vorgaben aus der Norm hervorgehen Die CIA-Triade bestehend aus Vertraulichkeit Datenintegrität und Verfügbarkeit Bild Hitex