In der Automobilentwicklung gilt funktionale Sicherheit seit Jahren als etabliertes Fundament. Mit der ISO 26262 existiert dafür seit November 2011 ein international anerkannter, klar definierter Rahmen. Mittels diesem sollen Risiken durch zufällige Fehlfunktionen elektronischer und elektrischer Systeme systematisch minimiert werden. Was in den vergangenen Jahren hinzugekommen ist und zugenommen hat, ist die Vernetzung der Systeme und die permanente Kommunikation mit Umgebung, Backend-Strukturen und mobilen Endgeräten. Dadurch entsteht und wächst natürlich die Gefahr einer Einflussnahme von außen. Und so liegt der Schluss nicht fern, dass in diesem Kontext ein Entwicklungsansatz, der ausschließlich auf klassische Safety-Aspekte ausgerichtet ist, nicht mehr ausreicht.
Denn, wie der TÜV Thüringen schreibt: „Fakt ist: Funktionale Sicherheit ist auf Informationssicherheit angewiesen und ohne Cybersecurity-Konzept nicht realisierbar. Mangelnde Security hat direkte Folgen für Funktionalität, Benutzerfreundlichkeit und Sicherheit, was wiederum produkthaftungsrechtliche Fragen auf den Plan ruft.“ Das Entscheidende liegt dabei in der Natur der Risiken. Die ISO 26262 kümmert sich um Fehler, die statistisch auftreten und sich durch Redundanzen, Überwachungskonzepte und definierte Sicherheitsmechanismen beherrschen lassen. Mögliche Cyberangriffe hingegen folgen nicht einer zufälligen Verteilung des Auftretens. Sie sind gezielt, adaptiv und bewusst darauf ausgelegt, Systeme in sicherheitskritische Zustände zu versetzen. Damit entsteht eine neue Qualität von Gefährdungen, die mit den etablierten Sicherheitsmethoden allein nicht mehr abgedeckt werden können. Zwar merkte Cybersecurity-Experte Cosimo Senni Guidotti Magnani, Global Product Cyber Security Manager bei Stellantis, schon 2022 an: „Die meisten der gemeldeten Angriffe auf Automotive-Produkte sind das Ergebnis wissenschaftlicher Arbeiten von Forschern oder Enthusiasten. Daher glaube ich, sagen zu können, dass mich an diesem Thema vor allem überrascht, wie wenige echte Angriffe es tatsächlich gibt.“ Jedoch weiß er auch: „Cybersecurity-Bedrohungen für Automobilprodukte entwickeln sich weiter – ebenso wie Cyber-Bedrohungen in anderen Bereichen. Ich bin der Auffassung, dass sich die Entwicklung der Bedrohungen für Fahrzeuge in den kommenden Jahren noch beschleunigen wird, weil die Konnektivität in Fahrzeugen zunimmt.“
Cybersecurity Voraussetzung für funktionale Sicherheit
Und genau an dieser Schnittstelle setzt die ISO/SAE 21434 an. Diese Norm wurde gemeinsam von einer Arbeitsgruppe der ISO und der SAE entwickelt und dann im August 2021 freigegeben. Sie hat die Umsetzung der von der UN in ihrer Regelung R155 formulierten Anforderungen zum Ziel. Sie beschreibt, wie Cybersecurity-Risiken über den gesamten Fahrzeuglebenszyklus hinweg identifiziert, bewertet und beherrscht werden sollen. Während Safety und Security lange Zeit als getrennte Disziplinen betrachtet wurden, zeigt die Praxis zunehmend, dass diese Trennung technisch nicht mehr haltbar ist: Denn ein Steuergerät, das alle Anforderungen der funktionalen Sicherheit erfüllt, kann dennoch sicherheitskritisch versagen, wenn ein externer Eingriff seine Funktion manipuliert oder außer Kraft setzt. In diesem Sinne wird Cybersecurity zur Voraussetzung dafür, dass funktionale Sicherheit überhaupt wirksam bleibt.
Für Entwicklungsprozesse hat diese Erkenntnis spürbare Konsequenzen. „Fahrzeuge sind bereits mit drahtlosen Schnittstellen ausgestattet, die potenziellen Angreifern den Zugriff auf das interne Fahrzeugnetzwerk ermöglichen“, weiß Joerg Krämer, Head Of Project Coordination & Qualification for Automation, Functional Safety & Cyber Security beim TÜV Rheinland. „Geplante Konzepte für eine drahtlose Fahrzeuginfrastruktur werden Sicherheitsverantwortliche vor weitere Herausforderungen stellen.“ Sicherheitsanalysen nach ISO 26262, etwa in Form von HARA (Hazard Analysis and Risk Assessment) oder FMEA (Fehlermöglichkeits- und Einflussanalyse), müssen heute durch systematische Bedrohungs- und Risikoanalysen ergänzt werden. Architekturentscheidungen, Kommunikationsschnittstellen oder Update-Mechanismen lassen sich nicht mehr isoliert unter Safety-Gesichtspunkten bewerten, sondern müssen zugleich gegen potenzielle Angriffe abgesichert sein. Dadurch verschiebt sich in der Entwicklung natürlich der Fokus. Statische Systembetrachtungen reichen nicht mehr aus. Vielmehr sind dynamische Risikobewertungen von Nöten, um auch das Verhalten externer Akteure miteinzubeziehen.
Sicherheit über die Typzulassung hinaus
Diese Entwicklung betrifft neben den OEMs auch Zulieferer, Softwareanbieter und Systemintegratoren. Mit ihren sicherheitsrelevanten Komponenten, die heute auch cyberresilient ausgelegt sein müssen, tragen sie Mitverantwortung für Safety- und Security-Ziele. Damit steigen die Anforderungen an Schnittstellenbeschreibungen, Dokumentation und Nachweisführung. Die formale Erfüllung einzelner Normen reicht nicht mehr aus, wenn die Wechselwirkungen zwischen Safety und Security nicht mitgedacht werden. Für die aus vielen softwaregesteuerten Komponenten bestehenden Fahrzeuge bedarf es neuer systematischer und strategischer Ansätze, die den gesamten Produktlebenszyklus abdecken. Und an letzterem wird die enge Verzahnung der Disziplinen besonders deutlich. Mit Over-the-Air-Updates, nachträglich freigeschalteten Funktionen und langen Nutzungszeiten endet Sicherheit nicht mehr mit der Typzulassung. Funktionale Sicherheitsziele müssen über Jahre hinweg aufrechterhalten werden, während sich Bedrohungslagen kontinuierlich verändern. Cybersecurity wird damit zu einem dauerhaften Prozess, der unmittelbar auf die Wirksamkeit von Safety-Konzepten zurückwirkt.
Das Zusammenspiel von ISO 26262 und ISO/SAE 21434 markiert somit einen grundlegenden Perspektivwechsel. Funktionale Sicherheit lässt sich in vernetzten Fahrzeugen nicht mehr ohne Cybersecurity denken. Für die Branche bedeutet das die Erkenntnis, dass Sicherheit ganzheitlich betrachtet werden muss: Sie entsteht im Zusammenspiel aus Technik, Prozessen und Organisation und geht über die klassische Entwicklungsphase hinaus.