ISO/SAE 21434 und das organisationale Cybersecurity-Management
Das organisationale Cybersecurity-Management ist ein zentraler Aspekt der noch jungen Norm ISO/SAE 21434, zu der es derzeit nur wenige Umsetzungsempfehlungen gibt. Jedoch lässt sich gut auf etablierte Best Practices aus anderen Normen der ISO-Reihe wie ISO/IEC 27001, ISO 22301 oder ISO 9001 zurückgreifen.
Im Dezember 2021 wurde einmal wieder mit log4j eine extrem kritische und zum aktuellen Zeitpunkt die wahrscheinlich größte einzelne Schwachstelle seit Jahren identifiziert. Diese Entdeckung reiht sich in eine Kette der Bedrohungen ein, von denen auch die Automobilindustrie und deren Fahrzeuge tangiert werden. Um sowohl Unternehmen in der Industrie als auch das Fahrzeug selbst besser vor Angriffen zu schützen, wurde mit der ISO/SAE 21434 im August 2021 ein Cybersecurity-Standard veröffentlicht.
Organisationales Cybersecurity-Management
In diesem Artikel fokussieren wir auf die organisationalen Vorgaben der Norm und stellen heraus, welche Parallelen Abschnitt 5 der ISO/SAE 21434 zu anderen Managementsystemen hat. Um ein ganzheitliches Cybersecurity-Management im Unternehmen und in der Entwicklung zu ermöglichen, müssen einige organisationale Vorgaben gemacht werden. Hierfür hält die Norm das Kapitel „Organizational Cybersecurity Management“ bereit. Dieses besteht aus sieben Unterkapiteln. Auf die Unterkapitel „Cybersecurity Governance“ (5.4.1), „Information Security Management“ (5.4.6) und „Organizational Cybersecurity“ Audits (5.4.7) möchten wir tiefer eingehen.
Cybersecurity-Governance
Das Unterkapitel Cybersecurity-Governance fordert eine Cybersecurity-Politik, Vorgaben und Prozesse, Rollen und Verantwortlichkeiten, die Bereitstellung von Ressourcen und eine interdisziplinäre Kommunikation. Hier lassen sich erste Parallelen zu anderen Managementsystemen wie einem Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 oder einem Qualitäts-Managementsystem (QMS) nach ISO 9001 ziehen. Auch dort werden als leitende Dokumente eine Informationssicherheits- bzw. Qualitätspolitik sowie die Definition von Rollen, Verantwortlichkeiten und Befugnissen gefordert (vgl. Kapitel 5 der Normen).
Die Politik eines bestehenden ISMS oder QMS könnte somit als Grundlage für das Cybersecurity-Managementsystem dienen. Sie müsste lediglich bezüglich der Cybersecurity-Anforderungen, zum Beispiel dem Commitment des Managements zur Überwachung von Cybersecurity-Risiken, angepasst werden. Auch die Beschreibungen von Rollen und Verantwortlichkeiten sowie deren Kommunikation in das Unternehmen kann auf bestehenden Dokumenten und Prozessen der Managementsysteme basieren. Zudem lässt sich die interdisziplinäre Kommunikation mit Hilfe einer aus dem ISMS oder QMS bekannten Liste interessierter Parteien und der Kommunikationsmatrix abbilden und nachverfolgen. Allgemein lässt sich somit sagen, dass die entsprechenden Abschnitte anderer ISO-Standards und die dort bereits bestehenden Best Practices eine gute Grundlage für die Cybersecurity-Governance in der ISO 21434 bilden und erste Anhaltspunkte für ein Vorgehen liefern.
Informationssicherheitsmanagement
In diesem Unterkapitel empfiehlt die Norm eine Nutzung des ISMS zum Management der Work Products. Wir empfehlen dies nicht nur, sondern sehen ein ISMS für unabdingbar, da die Informationssicherheit im Unternehmen eine direkte Auswirkung auf die Cybersecurity der Fahrzeuge hat. Denn die Cybersecurity-bezogenen Work Products der Norm (z.B. Cybersecurity-Ziele, Cybersecurity-Konzepte, Risikobehandlungspläne) stellen geschäftskritische beziehungsweise vertrauliche Informationen dar. Um diese hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit ausreichend zu schützen, sollten sie in Übereinstimmung mit dem ISMS verwaltet werden.
Dabei verweist die Norm etwa auf die Speicherung von Work Products auf Dateiservern, welche diese vor unbefugter Änderungen oder der Löschung schützt. Dennoch sollten an dieser Stelle auch die Klassifizierung (z.B. intern, vertraulich, streng vertraulich, geheim) der jeweiligen Informationen sowie die Vorgaben zur Dokumentenlenkung (inkl. Verantwortlichkeiten, Freigabe, Gültigkeit und Anwendungsbereich) in Betracht gezogen werden. Dies hebt nicht nur die Wichtigkeit der Dokumente hervor, sondern regelt auch klar die Vorgaben mit den dazugehörigen Rollen und Verantwortlichkeiten.
Organisationales Cybersecurity-Audit
Um die Umsetzung zu bestätigen und die Zielerreichung der definierten Anforderungen und Empfehlungen zu beurteilen, sollten die Verantwortlichen ähnlich wie bei vielen anderen Managementsystemen (z.B. nach ISO 9001, ISO 22301 oder ISO 27001) ein unabhängiges Audit durch einen geschulten Prüfer durchführen lassen. Die ISO 21434 schreibt im Gegensatz zu den anderen Standards zwar kein internes Audit des Automotive-Cybersecurity-Managementsystems vor, dennoch empfiehlt es sich. Schließlich dient ein internes Audit nicht nur der vorherigen Überprüfung der Normanforderungen, sondern auch als Übung für alle Beteiligten. Etwaige Abweichungen können dann vor den periodisch wiederkehrenden, unabhängigen Audits behoben werden. Das Audit kann dabei in ein Qualitätsmanagementaudit gemäß IATF 16949 in Verbindung mit der ISO 9001 einbezogen beziehungsweise damit kombiniert werden.
Das Ziel: ISO 21434 effizient umsetzen
Zwar hat die ISO 21434 nicht die bekannte High-Level-Struktur wie andere, bereits anerkannte ISO-Normen, dennoch lassen sich vor allem im organisationalen Teil Parallelen ziehen. Hierdurch sind Verantwortliche in der Lage, zur Umsetzung der Anforderung auf Wissen und Best Practices von bestehenden Managementsystemen wie QMS, ISMS oder BCMS zurückzugreifen. Die Einführung der ISO 21434 wird somit von bestehenden Managementsystemen unterstützt und schützt ein Unternehmen effizient vor Kompromittierung.
Quelle Titelbild: AdobeStock/AUUSanAKUL