Da die Datenanbindung von Fahrzeugen stetig zunimmt und eine steigende Nachfrage nach softwaredefinierten Diensten zu verzeichnen ist, steigt leider auch das Risiko von Cyberangriffen auf vernetzte Fahrzeuge. Mit über 100 Steuergeräten (ECUs; Electronic Control Units) und hunderte Millionen Codezeilen sind vernetzte Fahrzeuge eine ideale Plattform für Cyberangriffe. Verschiedenste Zugangspunkte in modernen vernetzten Fahrzeugen bieten Einfallstore für Hacker-Angriffe wie böswillige Fahrzeugkontrolle, Betrug und Datenverletzungen und bedrohen Unternehmen, Fahrer und Verkehrsteilnehmer. Eine einzige ausgenutzte Sicherheitslücke könnte eine ganze Fahrzeugflotte im Millionenbereich gefährden. Da fast 80% der Neuwagen mit dem Internet verbunden sind1, können Verletzungen der Cybersicherheit die Verkaufszahlen gefährden und Rechtsstreitigkeiten in Milliardenhöhe verursachen – ganz zu schweigen von der Rufschädigung.

Infolgedessen erlassen Behörden und unabhängige Regulierungsstellen zwei verwandte Maßnahmen, um Bedrohungen der Cybersicherheit während des gesamten Lebenszyklus eines vernetzten Fahrzeugs zu bewältigen. Green Hills arbeitet dabei mit seinen Kunden zusammen und übernimmt Richtlinien zur Bewertung der Cybersicherheit im Rahmen dieser beiden Maßnahmen:

• Der Entwurf der Norm ISO/SAE 21434 „Road Vehicles – Cybersecurity Engineering“ wurde kürzlich von der SAE International (Society of Automotive Engineering) und ISO (International Organisation for Standardisation) veröffentlicht. Die Norm ist eine Grundlage für Fahrzeughersteller und Zulieferer, um sicherzustellen, dass Cybersicherheitsrisiken aus Sicht des Produktlebenszyklus und aus organisatorischer Sicht effizient und effektiv gehandhabt werden und sich über Konzept, Entwicklung, Produktion, Betrieb, Wartung und Außerbetriebnahme erstrecken.

• Die WP.29-Bestimmungen der UNECE (United Nations Economic Commission for Europe) verlangen von OEMs, Cybersicherheitsrisiken in vier Bereichen zu vermindern, die sich über den gesamten Fahrzeuglebenszyklus erstrecken: Management von Cyberrisiken; Sicheres Fahrzeugdesign ; Erkennen und Reagieren auf Sicherheitsvorfälle; Bereitstellung sicherer OTA-Software-Updates (Over-the-Air). Während WP.29 konkrete Beispiele für Bedrohungen und Abhilfemaßnahmen definiert, können OEMs wählen, wie sie Bedrohungen entgegenwirken, z.B. durch die Einhaltung der ISO/SAE 21434. Die Vorschrift wird voraussichtlich Anfang 2021 verabschiedet und zunächst auf viele Mitgliedsstaaten, u.a. die EU, Südkorea, Großbritannien und Japan zutreffen und wohl die Richtlinien für die Homologation von Fahrzeugen in den USA, Kanada und China mit beeinflussen.

WP.29 wird in den teilnehmenden Ländern rechtsverbindlich sein, und obwohl die Norm ISO/SAE 21434 keine Vorschrift ist, wird erwartet, dass sie weltweit in der Branche umgesetzt wird, wie dies heute mit der ISO 26262 der Fall ist.

„Vernetzte Fahrzeuge bergen für OEMs und ihre Zulieferer erhebliche Risiken aber auch Chancen“, so Chris Rommel, Executive Vice President, IoT & Industrial Technology bei VDC Research. „Green Hills hat in der Branche einen hohen Stellenwert, wenn es um sicherheitskritische Basissoftware für Unternehmen geht, die kritische Systeme wie Flugzeugavionik, Fahrzeug-ADAS und Medizintechnik bereitstellen. Der Support seitens Green Hills für diese neuen Cybersicherheitsstandards ist bemerkenswert.“

„ISO/SAE 21434 und WP.29 sind wichtige zusätzliche Maßnahmen zum Schutz vernetzter Fahrzeuge vor Cybersicherheitslücken“, erklärte Dan Mender, Vice President Business Development bei Green Hills Software. „Wir verfügen über jahrzehntelange Erfahrung in der Entwicklung und Bereitstellung sicherheitszertifizierter Techniken auf höchstem Niveau. Durch die Übernahme dieser Standards erweitern wir unser Angebot für globale Automotive-OEMs und deren Zulieferer und bringen die branchenweit führende sichere Software-Laufzeitumgebung in kommende vernetzte Fahrzeugelektronik ein.“

Referenz
(1) VDC Research Group, „Automotive Cybersecurity Software & Services Market Report“, 2019 Strategic Insights Security & The Internet of Things Research Program.