Die Anforderungen an Fahrzeugentwicklung entwickeln sich stetig weiter. Besonders im Hinblick auf Personenkraftwagen und den Umgang mit Sicherheit. So erfährt die differenzierte Betrachtung der Schnittstelle zwischen Funktionaler Sicherheit (ISO 26262) und Cybersecurity Engineering (ISO/SAE 21434) branchenweit viel Aufmerksamkeit. Dabei geht es nicht nur um Sicherheit, Zuverlässigkeit und Integrität moderner Fahrzeuge, sondern auch um Prozesseffizienz und sinnvolle Ressourcennutzung. Widmen wir uns also dem Zusammenspiel zwischen Funktionaler Sicherheit und Cybersicherheit in der Entwicklung von Fahrzeugen.
Manuel Sandler
Die beiden genannten Industriestandards sind heute integraler Bestandteil rund um die Entwicklung elektronischer und elektrischer (E/E) Systeme in Fahrzeugen, doch sie befassen sich mit grundlegend unterschiedlichen Anliegen.
Die ISO 26262 wurde bereits vor rund fünfzehn Jahren in der Fahrzeugindustrie branchenweit eingeführt. Sie basiert auf dem branchenübergreifenden Standard IEC 61508, der bereits seit den späten 90er-Jahren existiert und allgemeine Prinzipien für die funktionale Sicherheit in verschiedenen Industrien festlegt.
Ziel der ISO 26262 ist die Risikominimierung und systematische Vermeidung von Gefährdungen durch zufällige Hardware- und systematische Fehler im Zusammenhang mit der Entwicklung von Systemen, Software, Hardware und anderen Fahrzeugkomponenten.
Die ISO/SAE 21434 wurde erst vor wenigen Jahren offiziell als spezifischer Standard für die Automobilindustrie veröffentlicht. Sie legt den Schwerpunkt auf den systematischen Schutz vor Cyber-Bedrohungen, die Systemschwachstellen ausnutzen können, und zwar ganzheitlich entlang des Produktlebenszyklus und unter Berücksichtigung der zugrunde liegenden Strukturen, Prozesse und mehr.
Obwohl diese Ziele zunächst durchaus unterschiedlich erscheinen, teilen Functional Safety und Cybersecurity denselben grundlegenden Fokus auf E/E-Systeme entlang aller Abstraktionsebenen – vom Gesamtfahrzeug bis hin zur tiefen Hardware- und Software-Ebene – und sind daher im Zusammenspiel für die ganzheitliche Sicherheit moderner Fahrzeuge von entscheidender Bedeutung. Wichtig ist zu verstehen, dass beide Standards hier aber stets nicht nur die eigentlichen Produkte im Blick haben, sondern ebenfalls konkrete Anforderungen sowohl an die Organisation als auch an die Projekte stellen.
Ein genauerer Blick auf die ISO 26262 und die ISO/SAE 21434
Wie eingangs erwähnt, ist der Ausgangspunkt der ISO 26262 und das Anliegen der Domäne der Funktionalen Sicherheit, sämtliche Gefährdungen für Leib und Leben im Falle einer Fehlfunktionen eines E/E-Systems systematisch zu vermeiden. Ausgehend von dieser Perspektive der physischen Unversehrtheit legt der Standard ein Vorgehen fest, wie Systeme dies gewährleisten können. Beispielsweise durch die Vermeidung von Fehlern durch redundant aufgesetzte Systeme oder durch die Erkennung von Fehlern und die Einleitung entsprechender Reaktionen, z.B. durch eine Warnmeldung im Cockpit oder durch eine Degradierung von Funktionen, z.B. die Deaktivierung von Fahrerassistenzfunktionen im Falle eines Sensorfehlers.
Dies soll letztendlich durch systematische Gefahrenanalysen, Risikobewertungen und die Implementierung von Sicherheitsmechanismen über den gesamten Fahrzeuglebenszyklus erreicht werden.
Die ISO/SAE 21434, die erst 2021 in ihrer “First Edition” veröffentlicht wurde (s. auch unser erster Blick auf die ISO/SAE 21434 in der Second Edition), entstand aus der gewachsenen Erkenntnis, dass auch im sich wandelnden Umfeld des Fahrzeugs Bedrohungen der Cybersicherheit ein erhebliches Risiko für die Sicherheit und Funktionalität von Fahrzeugen und darüber hinaus darstellen können. Je vernetzter und softwarebasierter Fahrzeuge werden, desto größer wird das Potenzial für Cyberangriffe. Gleichzeitig gehen die Dimensionen der Cybersicherheit weit über die reine physische Unversehrtheit hinaus, wenn man an cyberkriminelle Aktivitäten, Datensicherheit und mögliche finanzielle und Reputationsschäden denkt.
Tipp: Einen weiterführenden Einstieg in die Anforderungen der ISO/SAE 21434 bietet auch unser 10-minütiger Lernkurs Overview ISO/SAE 21434 (Video Course)
- Learning Advice
Die ISO/SAE 21434, die als Nachfolger der SAE J3061, einem einfachen Praxisleitfaden für Cybersecurity im Fahrzeug, angesehen wird, wurde entwickelt, um diesen Bedenken Rechnung zu tragen. Er soll einen umfassenden Ansatz für das Management von Cybersicherheitsrisiken während des gesamten Fahrzeuglebenszyklus bieten. Der Schwerpunkt liegt auf der Identifizierung und Reduzierung von Schwachstellen, die von böswilligen Akteuren ausgenutzt werden könnten, um nicht nur die Integrität der Fahrzeugsysteme, sondern auch die Sicherheit der Insassen und darüber hinaus zu schützen. (s. dazu auch die Risiko-Dimensionen der ISO/SAE 21434 weiter unten.)
Methodische Unterschiede zwischen Functional Safety und Cybersicherheit
Zunächst beginnen beide Standards ihre Entwicklung mit der sogenannten Item Definition, der Zusammenstellung aller relevanten Informationen als systematisch aufgesetzter Ausgangspunkt für die nachfolgenden Risikoanalysen. Hier ist es wichtig zu wissen, dass obwohl beide Work Products hier den gleichen Namen tragen, sich die Ausarbeitungen in Bezug auf Funktionale Sicherheit und Cybersicherheit bereits deutlich unterscheiden. Etwa in Bezug auf Informationen, bzw. persönliche/vertrauliche Daten – diese können aus Sicht der Cybersicherheit von höchster Bedeutung sein, während sie aus Perspektive der Functional Safety keine Rolle spielen. Oder umgekehrt: Informationen über das zeitliche Verhalten von Funktionen können für Berechnungen der verfügbaren Zeit bis zum Erreichen des sogenannten Safe-State-Zustand essenziell sein, aber aus Sicht der Cybersicherheit eine andere Priorität haben.
Tipp: Für das Work product der Item Definition gemäß ISO/SAE 21434 finden Sie hier unser ISO/SAE 21434 Item Definition Template.
Funktionale Sicherheit und ASILs verstehen
Im Mittelpunkt der ISO 26262 steht das Konzept der Sicherheitsintegritätsstufen, bekannt als Automotive Safety Integrity Levels (ASILs).
Sie ermöglichen die Klassifizierung von Risiken nach Schweregrad der möglichen Schäden für Leib und Leben, der Eintrittswahrscheinlichkeit in der Fahrsituation (hier genannt: Exposition) und der Beherrschbarkeit der FehlfunktionAnhand dieser Faktoren erfolgt die Einstufung der Risiken, um den angemessenen Umgang und die weiteren Maßnahmen zur Risikominimierung festzulegen.
Diese Klassifizierung dient als Grundlage für die Festlegung von Sicherheitszielen und daraus abgeleiteten technischen Sicherheitsanforderungen. Die Methodik ist tief in den Prinzipien der Redundanz, der Fehlertoleranz und der ausfallsicheren Konstruktion verwurzelt, wodurch sichergestellt wird, dass das Fahrzeug selbst im Falle eines Systemausfalls in einen sicheren Zustand (“Safe State”) versetzt werden kann.
Im Ergebnis lassen sich Sicherheitsziele, hier sogenannte Safety Goals, ableiten. Also Maßnahmen und Wege, um Risiken auf ein akzeptables Niveau zu reduzieren oder vollständig zu eliminieren.
ISO/SAE 21434, Cybersecurity Goals, CAL & Co verstehen
Einen anderen Ansatz verfolgt die ISO/SAE 21434, die den Prinzipien der Bedrohungsmodellierung und Risikobewertung folgt und nicht nur früh im Entwicklungsprojekt, sondern auch übergeordnet in den Prozessen und der Organisation ansetzt.
Vereinfacht gesagt, müssen Ingenieure potenzielle Angriffsvektoren antizipieren und die Wahrscheinlichkeit und die Auswirkungen verschiedener Cyber-Bedrohungen bewerten. Entlang dieser Bedrohungsanalyse und Risikoabschätzungen – das zugehörige Work Product Threat Analysis and Risk Assessment ist eines der zentralen Work Products im ISO/SAE 21434-Standard – werden Cybersecurity Goals abgeleitet. Diese Cybersicherheits-Ziele können als Pendant zu den Safety Goals verstanden werden, da sie die obersten Anforderungen zur Gewährleistung der Cybersicherheit definieren. (Der Vollständigkeit halber sei erwähnt, dass es hier ergänzend auch sogenannte Cybersecurity Claims gibt, die als spezifische Aussage definiert sind, wie eine implementierte Maßnahme ein definiertes Cybersecurity Goal erfüllt bzw. wie der Zusammenhang zwischen identifizierten Risiken, definierten Zielen und der Umsetzung aussieht).
Der Standard, der nach wie vor als weltweit wichtigste Referenz für das Cybersecurity Engineering in der Fahrzeugentwicklung dient, befürwortet eine tiefgreifende Verteidigungsstrategie, bei der mehrere Ebenen von Sicherheitskontrollen zum Schutz kritischer Vermögenswerte implementiert werden.
Im Gegensatz zur deterministischen Natur der funktionalen Sicherheit muss sich das Cybersecurity-Engineering mit der Unvorhersehbarkeit menschlicher Gegner auseinandersetzen, was ständige Wachsamkeit und Anpassungsfähigkeit erfordert.
Im Zuge der stetigen Weiterentwicklungen der noch jungen Domäne zeichnet sich bereits ab, dass die in der ISO/SAE 21434 als Vorschlag genannten Cybersecurity Assurance Levels, die als Pendant zu den ASIL-Levels verstanden werden können, weiter professionalisiert werden. Hierzu wird die bevorstehende Publikation der ISO/SAE PAS 8475 Cybersecurity Assurance Levels (voraussichtlich im zweiten Halbjahr 2025) weitere Spezifizierungen liefern.
Die Risiko-Dimensionen zwischen Functional Safety und Security im Vergleich
Grundsätzlich betrachten die beiden Domänen unterschiedliche Risikodimensionen. Die ISO 26262 richtet ihren Fokus rein auf die funktionale Sicherheit der betroffenen Systeme vor dem Hintergrund, wie eingangs beschrieben, den Schutz von Leib und Leben als zentrale Risikodimension abzudecken.
Anders die ISO/SAE 21434, die die Risikobetrachtung auf gleich vier Dimensionen erweitert:
- Safety: Das ist total naheliegend, schließlich können Cybervorfälle direkte Auswirkungen auf die funktionale Sicherheit von Systemen haben.
- Operational: Nicht zwangsläufig aus Safety-Perspektive relevant, aber dennoch ein Schutzziel ist die Vermeidung von Beeinträchtigungen der Betriebsabläufe innerhalb der Fahrzeugfunktionen, z.B. ein Ausfall des Navigationssystems, der zwar möglicherweise nicht safety-relevant ist, aber zu Unannehmlichkeiten führen kann.
- Privacy: Cybersicherheit hat immer auch den Schutz von (persönlichen) Daten vor unbefugtem Zugriff als zentrale Risikodimension. Datenschutz und Privatsphäre sind cybersicherheitsrelevant.
- Financial: Daran anknüpfend oder auch auf andere Weise (etwa durch Cyberkriminalität im Sinne von Erpressung etc.) sind finanzielle Schäden, zu denen auch Reputationsschäden gehören können, eine weitere relevante Risikodimension.
Damit wird schnell klar: Da die Cybersicherheit die Risikodimension Safety mit umfasst, ist jedes System, das eine Functional-Safety-Relevanz hat, automatisch auch aus dem Blickwinkel des Cybersecurity Engineerings von Bedeutung.
Der Blick auf den Lebenszyklus aus Sicht der ISO 26262 und ISO/SAE 21434
Beide Standards richten den Blick auf den gesamten Lebenszyklus des Produkts, unterscheiden sich jedoch in ihren spezifischen Schwerpunkten.
Der Lebenszyklus entlang der ISO 26262 erstreckt sich von der ersten Konzeptphase, in der eine Gefahrenanalyse und Risikobewertung (HARA) durchgeführt wird, über die Entwurfs- und Implementierungsphase, in der Sicherheitsmechanismen in die Fahrzeugarchitektur integriert werden, bis zur Produktion, in der die Sicherheitsintegrität aufrechterhalten werden muss.
Weiterhin natürlich die Betriebsphase, in der eine kontinuierliche Überwachung und Wartung des Systems auf mögliche Fehlfunktionen mit Hilfe von Daten aus dem Feld gewährleistet sein muss.
Auch in der Phase der Stilllegung sind potenzielle Sicherheitsrisiken ebenfalls noch zu berücksichtigen. So ist beispielsweise im Zusammenhang mit der Entsorgung von Altfahrzeugen die Deaktivierung von Airbags eine Maßnahme, um unbeabsichtigte Explosionen mit möglichen Personenschäden zu vermeiden.
Die ISO/SAE 21434 adressiert ebenfalls den gesamten Lebenszyklus, legt jedoch einen stärkeren Fokus auf die sich stetig weiterentwickelnde Natur von Cybersicherheitsbedrohungen.
Die oben erwähnte TARA in der Konzeptphase identifiziert potenzielle Schwachstellen. In der Entwicklungsphase liegt der Schwerpunkt auf der Implementierung von Cybersicherheitsmaßnahmen, die nachhaltig genug sein müssen, um Angriffen während der gesamten Betriebsdauer des Fahrzeugs standzuhalten.
Da kein System völlig unangreifbar ist, schreibt der Standard auch den Aufbau von Vorgehensweisen zur Reaktion auf Zwischenfälle und zur Wiederherstellung vor.
Dieser zukunftsorientierte Ansatz stellt sicher, dass die Cybersicherheit des Fahrzeugs auch bei neu auftretenden Bedrohungen entsprechend angepasst werden kann.
Dieser Aspekt ist auch im Hinblick auf die Abgrenzung zur ISO 26262 von besonderer Bedeutung. In der Cybersicherheit gilt: Maßnahmen, die heute als cybersicher gelten, können morgen schon unzureichend sein. Entsprechend kommt innerhalb des Lebenszyklus der Post-Development-Phase aus Sicht der Cybersicherheit eine immens wichtige Bedeutung zu. (In der Folge hat sich mit der UN-Regulierung Nr. 156 Software Update Management System und dem zugehörigen ISO-Standard ISO 24089 ein eigenes Handlungsfeld rund um das ordnungsgemäße Software Update Management und Engineering herauskristallisiert, dem in Zukunft vermutlich noch mehr Aufmerksamkeit geschenkt werden muss.)
- Unterschiedliche Ziele, gemeinsamer Fokus: Während die ISO 26262 auf funktionale Sicherheit sowie Risikominimierung und systematische Vermeidung von Gefährdungen durch Fehler abzielt, steht bei der ISO/SAE 21434 der Schutz vor Cyber-Bedrohungen im Vordergrund. Beide Standards konzentrieren sich auf E/E-Systeme und sind zusammen für die Sicherheit in der Fahrzeugentwicklung von entscheidender Bedeutung.
- Die ISO 26262 konzentriert sich auf die physische Sicherheit (Safety) der Fahrzeuginsassen, während die ISO/SAE 21434 Cybersicherheitsrisiken breiter bewertet und neben Safety auch operationelle, datenschutzrechtliche und finanzielle Risiken einschließt.
- Komplementäre Lebenszyklusansätze: Beide Standards decken den gesamten Lebenszyklus eines Fahrzeugs ab, jedoch mit unterschiedlichen Schwerpunkten. Die ISO 26262 konzentriert sich auf die Aufrechterhaltung der Sicherheitsintegrität, während die ISO/SAE 21434 die Reaktion auf sich ändernde Cyberbedrohungen und Anpassungen einbezieht.
- Anwendung von Sicherheits- und Cybersicherheitszielen: In der ISO 26262 werden Safety Goals mit Hilfe von ASILs klassifiziert, um technische Anforderungen für ein sicheres Design zu erstellen. ISO/SAE 21434 leitet Cybersicherheitsziele aus Risikobewertungen ab und setzt auf einen mehrschichtigen Verteidigungsansatz.
- Synergien und Abgrenzungen: Obwohl funktionale Sicherheit und Cybersicherheit im Fahrzeug synergetisch wirken, ist es wichtig, spezifische Kompetenzen und Methoden in der Entwicklung zu trennen. Ein ausgewogener Ansatz wird in Zukunft entscheidend für die Qualität und Zuverlässigkeit moderner Fahrzeuge sein.
- Key Learnings
Funktionale Sicherheit vs. Cybersicherheit – Zusammenfassung
Zusammenfassend lässt sich sagen, dass die ISO 26262 und die ISO/SAE 21434 zwar unterschiedliche Aspekte der Fahrzeug-Safety und -sicherheit behandeln, die Wechselbeziehung dennoch von entscheidender Bedeutung ist. (Anmerkung: Im deutschen Sprachraum kommt es häufig zu zusätzlicher Irritation, da ‘Safety’ im Deutschen mit ‘Sicherheit’ und ‘Security’ ebenfalls mit ‘Sicherheit’ übersetzt wird.)
Auch wenn die beiden Standards starke Parallelen aufweisen, sollte in der Entwicklung moderner Fahrzeuge nicht der Fehler gemacht werden, die beiden Themen zu sehr zu vermischen. Beide Arbeitsfelder erfordern spezifische Kompetenzen und Vorgehensweisen.
Die ISO 26262 bildet die Grundlage dafür, dass Systeme auch unter Fehlerbedingungen gefährdungsfrei funktionieren, während die ISO/SAE 21434 diese Systeme vor der wachsenden Bedrohung durch Cyberangriffe schützt.
Zusammen sollen sie einen umfassenden Rahmen für das Management der komplexen Risiken, die mit den heutigen Automobiltechnologien verbunden sind, bieten.
Während sich die Branche, ihre Strukturen und Prozesse weiterentwickeln – getrieben durch steigenden Wettbewerbs- und Kostendruck sowie regulatorische Anpassungen der Märkte (wie zuletzt das US-Verbot für Technologien aus China und Russland) – wird die Fähigkeit, funktionale Sicherheit und Cybersicherheit in durchdachten Synergien zusammen zu bringen, ein entscheidender Erfolgsfaktor sein. Ein ausgewogener Ansatz wird dabei entscheidend: Synergien sollten dort ausgeschöpft werden, wo sie sinnvoll sind, aber eine ‘blinde Vermischung’ von Kompetenzen muss vermieden werden, um negative Auswirkungen auf die Qualität zu unterbinden.
Hier die richtige Balance in der Organisation, in Prozessen und in den Entwicklungsprojekten zu finden, wird zum Gradmesser für das Geschäft und die Zuverlässigkeit der Fahrzeuge der Zukunft.
