Cyber-Sicherheit

Die heutigen Fahrzeuge bestehen nicht nur aus mechanischen Systemen, sondern sind auch mit komplexen elektronischen und Softwarekomponenten ausgestattet. Dieser Wandel hat dazu geführt, dass die Cybersicherheit in der Automobilbranche von entscheidender Bedeutung ist.

Als Optival unterstützen wir Sie dabei, die Sicherheit Ihrer Fahrzeuge während ihres gesamten Lebenszyklus zu gewährleisten, indem wir Ihnen Cybersicherheitslösungen anbieten, die den Normen ISO/SAE 21434 und UNECE R155 entsprechen.

Unser Dienstleistungsportfolio umfasst die Installation von Cybersicherheits-Managementsystemen (CSMS), Bedrohungsanalysen und Risikobewertungen (TARA), den Entwurf von Sicherheitsarchitekturen, Penetrations- und Fuzz-Tests, die Sicherheitsüberprüfung von Systemen wie V2X, CAN, OTA und Unternehmensschulungen.

Wir führen eingehende Tests in wichtigen Schwerpunktbereichen durch, wie z.B. Sicherheit von fahrzeuginternen und fahrzeugexternen Verbindungen, Vertraulichkeit von Daten und Robustheit von Aktualisierungsmechanismen. Unsere Beratungs- und technischen Prüfdienste sind nicht nur für OEMs, sondern auch für Zulieferer im Rahmen von Typgenehmigungsverfahren (CoC/COP) und R155-Konformitätsbewertungen von strategischem Wert.

Unsere spezialisierten Teams in der Türkei und in Deutschland entwickeln maßgeschneiderte Lösungen für Ihre Projekte, die Sie sowohl in technischer als auch in rechtlicher Hinsicht befähigen.

Cybersicherheit in der Automobilindustrie - Cybersicherheit - CSMS - R155 21434.webp

GAP-Analyse und Installation des Cyber Security Management Systems (CSMS)

Der GAP-Analyseservice, den wir als Optival anbieten, vergleicht die aktuellen Cybersicherheitspraktiken Ihres Unternehmens mit den Anforderungen von ISO/SAE 21434 und UNECE R155 und deckt systematisch Bereiche auf, die fehlen oder entwickelt werden müssen.

Dank dieser Analyse:

  • Es wird ermittelt, inwieweit Ihre derzeitige Organisationsstruktur mit den Vorschriften übereinstimmt,
  • Schwachstellen in Prozess, Dokumentation und technischer Umsetzung werden geklärt,
  • Es wird ein strategischer Fahrplan erstellt, um den angestrebten Grad der Harmonisierung zu erreichen.

Nach der GAP-Analyse wird auf der Grundlage der Ergebnisse eine speziell auf Ihr Unternehmen zugeschnittene CSMS-Infrastruktur erstellt. Bei diesem Prozess

  • Es werden Managementrichtlinien und eine Verantwortungsmatrix erstellt,
  • Der TARA-Prozess (Bedrohungsanalyse und Risikobewertung) ist integriert,
  • Die Rückverfolgbarkeit von Arbeitsprodukten der Cybersicherheit ist gewährleistet,
  • Die Prozesse werden auf eine Weise dokumentiert, die mit ISO/SAE 21434 übereinstimmt,
  • Interne Audits, Korrekturmaßnahmen und Mechanismen zur kontinuierlichen Verbesserung werden eingerichtet.

Warum ist es wichtig?

CSMS ist nicht nur eine Reihe von Dokumenten, sondern eine Sicherheitskultur, die sicherstellt, dassIhr Unternehmen während des gesamten Lebenszyklus eines Fahrzeugs systematisch auf Cyber-Bedrohungen vorbereitet ist. Die erfolgreiche Einrichtung dieses Systems ist eine Voraussetzung für die Erteilung der R155-Typgenehmigung und bietet einen starken Wettbewerbsvorteil in der Zusammenarbeit mit den OEMs.

Anwendung der Bedrohungsanalyse (TARA) und Erstellung eines Cyber-Sicherheitskonzepts

Elektronische Steuergeräte (ECUs), drahtlose Kommunikationsprotokolle und Softwaresysteme in modernen Fahrzeugen sind anfällig für immer raffiniertere Bedrohungen geworden. Daher ist das frühzeitige Erkennen von Cyber-Bedrohungen im Fahrzeugentwicklungsprozess und die Kontrolle der Risiken die Grundlage sowohl für die Sicherheit als auch für die Einhaltung von Vorschriften.

Mit den TARA-Anwendungen, die wir als Optival gemäß der Norm ISO/SAE 21434 durchführen, ermitteln wir, wie anfällig die Systemkomponenten für potenzielle Bedrohungen sind. Bei diesem Prozess

  • Systemwerte und wertvolle Ressourcen (Assets) werden identifiziert,
  • Mögliche Angriffswege werden modelliert,
  • Die Risikobewertung wird mit Schadensszenarien und Wahrscheinlichkeitsanalysen berechnet,
  • Anhand der erzielten Ergebnisse werden Ziele für die Cybersicherheit erstellt und priorisiert.

Die Ergebnisse von TARA werden bei der Erstellung von Arbeitsprodukten verwendet, die den Eckpfeiler der Cybersicherheitstechnik bilden und so strukturiert sind, dass sie mit UNECE R155 Annex 5 übereinstimmen.

Die Lösungen, die zur Minderung der identifizierten Sicherheitsrisiken entwickelt werden, werden als Cybersicherheitskonzept in die Systemarchitektur integriert. In diesem Zusammenhang:

  • Technische Kontrollen und Gegenmaßnahmen für Sicherheitsziele werden definiert,
  • Es werden Lösungen in Bereichen wie Kommunikationssicherheit, Datenintegrität, Zugriffskontrolle und Software-Aktualisierungsmechanismen entwickelt,
  • Die Nachvollziehbarkeit der Sicherheitsanforderungen während des Entwurfsprozesses ist gewährleistet.

Dieser Prozess bildet die Grundlage für nachhaltige Cybersicherheit während des gesamten Lebenszyklus des Produkts.

Festlegung und Umsetzung der Test- und Validierungsstrategie

Der Erfolg von Cybersicherheitsmaßnahmen zeigt sich nicht nur durch auf theoretischer Ebene definierte Richtlinien, sondern auch durch das Testen der Wirksamkeit dieser Maßnahmen in der Praxis. Optival macht die Cybersicherheit von Fahrzeugen messbar, indem es sowohl die Entwicklung einer Teststrategie als auch die professionelle Umsetzung dieser Strategie in Übereinstimmung mit den Anforderungen von ISO/SAE 21434 und UNECE R155 sicherstellt.

Die Strategie festlegen

Der erste Schritt des Testprozesses besteht darin, Prüfpläne in Übereinstimmung mit den Sicherheitsanforderungen und der Systemarchitektur zu erstellen. In diesem Zusammenhang

  • Für jede Sicherheitsvorgabe werden geeignete Testmethoden abgestimmt,
  • Angriffsflächen für kritische Systemkomponenten werden identifiziert (CAN, TCU, OTA, Bluetooth, Wi-Fi, etc.),
  • Testumfang, Methodik und Erfolgskriterien sind definiert,
  • Falls erforderlich, werden die Testwiederholungen mit Automatisierungsinfrastrukturen optimiert.

Implementierung der Anwendung

Je nach der festgelegten Strategie führen die Experten von Optival umfassende Testanwendungen im Feld oder in einer Laborumgebung durch:

  • Funktionale Prüfung: Es wird getestet, ob die definierten Sicherheitsanforderungen auf dem System funktional korrekt sind.
  • Fuzz Testing: Die Fehlertoleranz der Software wird gemessen, indem unerwartete Dateneingaben an Schnittstellen und Protokollen vorgenommen werden.
  • Penetrationstests: Die Schwachstellen des Systems werden aufgedeckt, indem echte Angriffstechniken imitiert werden.
  • OTA- und Wireless-Sicherheitstests: Software-Updates, Bluetooth- und LTE-Verbindungen werden auf Sicherheit in Bezug auf Verschlüsselung, Authentifizierung und Zugangskontrolle getestet.

Beweise für die Sicherheitsleistung

Die Dokumentation von Tests ist der beste Weg, um das Vertrauen Ihrer Kunden zu gewinnen und Ihre technische Kompetenz in R155-Typgenehmigungsverfahren zu beweisen. Das Test-Know-how von Optival identifiziert nicht nur Probleme, sondern gibt auch Empfehlungen zur Abhilfe für eine nachhaltige Cybersicherheit.

Lieferantenmanagement

Die Cybersicherheitsverpflichtungen der Fahrzeughersteller im Automobilsektor beschränken sich nicht nur auf ihre eigenen Systeme. UNECE R155 verlangt einen Sicherheitsansatz, der die gesamte Lieferkette abdeckt, und erwartet von den Herstellern, dass sie Strukturen einrichten, die die Prozesse ihrer Zulieferer überprüfen können. An diesem Punkt wird das Lieferantenmanagement zu einer strategischen Verantwortung für die Einhaltung der Cybersicherheit.

Der Lieferantenmanagement-Service, den wir als Optival anbieten, unterstützt Erstausrüster und Hauptlieferanten dabei, ihre technischen und prozessualen Beziehungen mit ihren Unterlieferanten gemäß ISO/SAE 21434 und UNECE R155 zu harmonisieren. In diesem Zusammenhang

  • Es werden die Anforderungen an die Lieferanten festgelegt und Mindestsicherheitskriterien definiert,
  • Arbeitsprodukte (Sicherheitsziele, TARA-Outputs, V&V-Aufzeichnungen) werden auf Genauigkeit und Konsistenz geprüft,
  • Das Risikoniveau der Lieferanten wird analysiert und nach Prioritäten geordnet,
  • Es werden Prüfungspläne und Bewertungskriterien erstellt,
  • CIA-Prozess (Cybersecurity Interface Agreement) durchgeführt.

Unterstützung bei Lieferantenaudits und Schulungen

Optival bewertet nicht nur die technische Dokumentation, sondern führt auch interne Audits, Schulungen und Sensibilisierungsmaßnahmen für Lieferanten durch. Auf diese Weise:

  • Die Cybersicherheitskompetenz der Anbieter wird erhöht,
  • Integrierter Beitrag zu den Sicherheitszielen des OEMs,
  • Unerwartete Inkompatibilitäten bei der Typgenehmigung werden verhindert.

Nutzen und Auswirkungen

  • Vom Hersteller verursachte Sicherheitslücken werden minimiert,
  • Die Einhaltung der Vorschriften ist in der gesamten Kette gewährleistet,
  • Die technische Kompetenz und das Haftungsbewusstsein der Lieferanten werden erhöht.

Optival betrachtet das Lieferantenmanagement nicht nur als Kontrollmechanismus, sondern als Teil einer langfristigen Sicherheitskultur.

Inspektion, Zertifizierung und Typenzulassung

Die UNECE R155-Verordnung und die ISO/SAE 21434-Norm verlangen, dass Automobilprodukte nicht nur technisch sicher sind, sondern dass diese Sicherheit auch auf dokumentierte, überprüfbare und nachhaltige Weise gehandhabt wird. Optival bietet in diesem Rahmen umfassende Audit-, Zertifizierungs- und Typgenehmigungsberatungsdienste für Fahrzeughersteller und Zulieferer.

Unterstützung der internen und externen Revision

  • Der Grad der Einhaltung der Vorschriften wird durch interne Vorabprüfungen analysiert,
  • Die CSMS-Prozesse werden nach den Kriterien der UNECE R155 und der ISO/SAE 21434 auditiert,
  • Interne Audit-Verfahren sind in den Prozessen etabliert, die sich auf die Lieferantenkette erstrecken,
  • Für Nichtkonformitäten und Mängel werden Korrektur- und Präventivmaßnahmenpläne entwickelt.

Beratung zum Zertifizierungsprozess

  • Unterstützt die Erstellung von CSMS-Konformitätsberichten (Auditberichten), wie in ISO/SAE 21434 definiert,
  • Arbeitsprodukte, die auf ISO/SAE 21434 basieren, werden zur Vorlage bei unabhängigen Gutachtern technisch überprüft,
  • Bei Audits, die mit dritten Zertifizierungsstellen durchgeführt werden, wird technische Anleitung gegeben.

Management des Typgenehmigungsprozesses

Optival bietet Typgenehmigungsdienste auf Fahrzeugebene als beauftragter technischer Dienst gemäß UN ECE R155 an. Dies umfasst

  • CSMS-Audit (Cybersicherheitsaudit) und CSMS-CoC-Zertifizierungsprozess (Konformitätszertifikat) wird durchgeführt,
  • Die Typgenehmigungsverfahren werden durch eine Konformitätsprüfung (Cybersicherheitsbewertung) auf Fahrzeugebene durchgeführt,
  • Verwalten Sie die CSMS-Audits, die alle 3 Jahre durchgeführt werden müssen,
  • Bei Konstruktionsänderungen wird die Auswirkung auf die Typgenehmigung bewertet und die notwendigen Aktualisierungsstudien werden durchgeführt.

Warum Optival?

Das erfahrene Team von Optival steht Ihnen bei Ihren Projekten stets zur Seite. Lernen Sie das erfahrene Team kennen, das Sie in Sachen Cybersicherheit berät und über Erfahrungen in der Homologation, im Projektmanagement sowohl auf OEM- als auch auf Lieferantenebene und in der technischen Infrastruktur für Cybersicherheit verfügt.

Kontaktieren Sie uns
  • Erfahrung mit Homologation
  • Erfahrung im Projektmanagement
  • Erfahrenes Team
Home Phone Email Custom