ISO 21434 - Zertifizierung für Cybersicherheit im Automobil

Das Auto wird immer mehr zum rollenden Computer. Moderne Fahrzeuge verfügen über Hunderte von Steuergeräten, umfangreiche Software, Cloud-Anbindungen und Over-the-Air-Updates. Gleichzeitig entstehen dadurch neue Angriffspunkte für Hacker – mit potenziell schwerwiegenden Folgen für Sicherheit, Datenschutz und Unternehmensreputation.

Um diesen Risiken zu begegnen, hat die Wirtschaftskommission für Europa der Vereinten Nationen (UNECE) mit der Verordnung R155 verbindliche Anforderungen an die Cybersicherheit von Fahrzeugen eingeführt. Sie gilt für alle neuen Fahrzeugtypen, die seit Juli 2022 zugelassen werden, und ab Juli 2024 für alle Neuzulassungen in den 54 Mitgliedsstaaten, darunter die EU.

Die zentrale Grundlage zur Umsetzung dieser Anforderungen ist die ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“. Doch was genau steckt hinter diesem Standard? Welche Zertifizierungsmöglichkeiten bestehen für Unternehmen in der Automobilindustrie? Und wie gelingt der Weg zur Compliance?

Was ist die ISO/SAE 21434?

Die ISO/SAE 21434 ist ein internationaler Standard, der gemeinsam von der International Organization for Standardization (ISO) und der Society of Automotive Engineers (SAE) entwickelt wurde.

Ziel des Standards ist es, Cybersicherheit systematisch über den gesamten Fahrzeuglebenszyklus hinweg zu verankern – von der Konzeptphase über Entwicklung und Produktion bis hin zum Betrieb und zur Stilllegung.

Zentrale Inhalte der ISO 21434 sind:

• Risikomanagement: Einführung eines strukturierten Prozesses zur Identifikation, Bewertung und Behandlung von Cyberrisiken.
• Threat Analysis and Risk Assessment (TARA): Methodik zur systematischen Analyse potenzieller Bedrohungen.
• Lieferkettensicherheit: Anforderungen an die Zusammenarbeit zwischen OEMs und Zulieferern, inklusive Nachweisführung.
• Governance und Rollen: Definition von Verantwortlichkeiten im Unternehmen.
• Dokumentation & Traceability: Nachvollziehbarkeit der Sicherheitsmaßnahmen und ihrer Wirksamkeit.

Damit unterscheidet sich die ISO 21434 klar von anderen Standards:

• ISO 27001 fokussiert auf Informationssicherheit im Unternehmen.
• TISAX dient der Bewertung der Informationssicherheit in der Automobilbranche.
• ISO 26262 deckt funktionale Sicherheit ab, während ISO 21434 Cybersecurity behandelt.

Kurz gesagt: Die ISO/SAE 21434 ist der Leitfaden für Cybersecurity Engineering in der Automobilindustrie.

ISO 21434 und Zertifizierung – wie passt das zusammen?

Ein wichtiger Punkt: Die ISO/SAE 21434 selbst ist kein klassischer Zertifizierungsstandard wie ISO 9001 oder IATF 16949. Es gibt also kein einheitliches, international anerkanntes „ISO 21434-Zertifikat“.

Stattdessen dient die Norm als Nachweisgrundlage für die UNECE R155, die die Einführung eines Cybersecurity Management Systems (CSMS) vorschreibt. Dieses CSMS ist wiederum verpflichtend für die Typgenehmigung neuer Fahrzeugmodelle.

Das bedeutet:

• OEMs und Zulieferer müssen zeigen, dass ihre Prozesse die Anforderungen der ISO 21434 erfüllen.
• Externe Prüfstellen wie TÜV, DEKRA oder SGS führen Assessments und Audits durch, die als Zertifizierungsnachweis gegenüber Behörden akzeptiert werden.
• Für Zulieferer wird der Nachweis zunehmend zum Eintrittsticket in die Lieferkette.

So gelangen Sie Schritt für Schritt zur Zertifizierung

Viele Unternehmen stehen aktuell vor der Herausforderung, ihre Cybersecurity-Prozesse zu professionalisieren. Der Weg zum erfolgreichen Nachweis nach UNECE R155 lässt sich in vier Schritten zusammenfassen:

1. Gap-Analyse

• Prüfung des Ist-Zustands der bestehenden Prozesse.
• Identifikation von Lücken im Vergleich zu ISO 21434 und R155.
• Erste Priorisierung von Handlungsfeldern.

2. Aufbau des Cybersecurity Management Systems (CSMS)

• Definition von Rollen und Verantwortlichkeiten.
• Integration in bestehende Managementsysteme (ISO 9001, IATF 16949).
• Festlegung eines Governance-Frameworks.

3. Implementierung der Prozesse

• Einführung von TARA (Threat Analysis & Risk Assessment).
• Etablierung von Security-by-Design in Entwicklung und Produktion.
• Absicherung der Lieferkette: Anforderungen an Tier-1 und Tier-2 weitergeben.
• Dokumentation aller Maßnahmen zur späteren Nachvollziehbarkeit.

4. Audit & Zertifizierung

• Vorbereitung auf externe Audits durch interne Pre-Assessments.
• Durchführung der Auditierung durch akkreditierte Stellen.
• Nachweis der Compliance gegenüber Zulassungsbehörden.

Praxisbeispiele aus der Automobilindustrie

In der Praxis setzen bereits zahlreiche OEMs und Zulieferer die Anforderungen um:

• OEMs wie Volkswagen, BMW oder Toyota verlangen von ihren Zulieferern Nachweise für die Umsetzung der ISO 21434-Prozesse. Ohne diese Nachweise ist eine Listung als Lieferant kaum möglich.
• Tier-1-Lieferanten wie Steuergerätehersteller integrieren Bedrohungsanalysen direkt in ihre Entwicklungsprozesse (z. B. ASPICE-konform). Ein erfolgreich absolviertes Audit durch den TÜV dient hier als Wettbewerbsvorteil.
• Tier-2-Zulieferer profitieren von standardisierten Vorlagen und Beratungsleistungen, um die geforderten Prozesse effizient umzusetzen und so die Lieferfähigkeit sicherzustellen.

Die Erfahrung zeigt: Unternehmen, die frühzeitig handeln, sichern sich einen klaren Marktvorteil und vermeiden Engpässe in der Lieferkette.

Vorteile für Unternehmen

Die Einführung und Zertifizierung eines Cybersecurity-Managements nach ISO 21434 und UNECE R155 bringt zahlreiche Vorteile:

• Compliance: Erfüllung gesetzlicher Anforderungen, Voraussetzung für Typgenehmigungen.
• Lieferfähigkeit: OEMs setzen den Nachweis voraus – wer ihn nicht erbringt, riskiert Auftragsverluste.
• Risikominimierung: Schutz vor Cyberangriffen, finanziellen Schäden und Imageschäden.
• Wettbewerbsvorteil: Frühe Compliance stärkt die Position gegenüber Wettbewerbern.
• Effizienz: Integration in bestehende QM-Systeme reduziert Doppelarbeit und Aufwand.

Herausforderungen & Lösungsansätze

Natürlich bringt die Umsetzung auch Herausforderungen mit sich:

• Hohe Komplexität: Viele Schnittstellen zu anderen Standards (ISO 27001, ASPICE, IATF 16949).
• Dokumentationsaufwand: Lückenlose Traceability ist zwingend erforderlich.
• Ressourcenknappheit: Fachkräfte mit Automotive-Cybersecurity-Know-how sind rar.

Praktische Lösungsansätze:

• Externe Beratung: Unterstützung bei Gap-Analysen, Prozessdesign und Audits.
• Schulungen: ISO 21434 Training für Entwicklungs- und Qualitätsabteilungen.
• Tools: Softwarelösungen für Bedrohungsanalysen und Dokumentation.

Häufige Fragen zur Zertifizierung:

Ist ISO/SAE 21434 verpflichtend?

Die Norm selbst nicht – aber sie ist die Grundlage für die UNECE R155. Damit ist sie faktisch verpflichtend für alle OEMs und Zulieferer.

Wie unterscheidet sich ISO 21434 von TISAX?

TISAX bewertet die Informationssicherheit innerhalb der Unternehmen, ISO 21434 fokussiert auf die Cybersicherheit von Fahrzeugen über ihren gesamten Lebenszyklus.

Wie lange dauert eine Zertifizierung?

Je nach Ausgangslage zwischen sechs und 18 Monaten. Die Dauer hängt stark von Unternehmensgröße, Reifegrad der Prozesse und Verfügbarkeit von Ressourcen ab.

Welche Unternehmen können eine Zertifizierung durchführen?

Akkreditierte Prüfstellen wie TÜV, DEKRA oder SGS bieten Assessments an, die als Nachweis gegenüber Behörden und OEMs dienen.

Fazit:

Die Zertifizierung für Cybersicherheit in der Automobilindustrie ist keine Kür mehr, sondern Pflicht. Mit der ISO/SAE 21434 haben Unternehmen einen klaren Leitfaden, um die Anforderungen der UNECE R155 zu erfüllen und ein wirksames Cybersecurity-Management aufzubauen.

Wer jetzt handelt, sichert sich nicht nur die Lieferfähigkeit, sondern auch einen klaren Wettbewerbsvorteil.

Sie möchten Ihr Unternehmen fit machen für die ISO 21434 und die UNECE R155-Zertifizierung? Wir unterstützen Sie mit Gap-Analysen, praxisnahen Schulungen und effizienten Prozessen.

Kontaktieren Sie uns für ein unverbindliches Erstgespräch – und machen Sie Ihr Unternehmen zukunftssicher in Sachen Automotive Cybersecurity.