ISO/SAE 21434

»Ein wichtiger Schritt«

29. November 2021, 17:19 Uhr | Iris Stroh

Fortsetzung des Artikels von Teil 1

Security - Level 1 bis...

Die ISO 26262 hat verschiedene Safety-Level, von ASIL-A bis D, definiert. Gibt es etwas Vergleichbares bei der ISO 21434?

Die Norm spezifiziert keine konkreten Security-Levels. Es gibt so genannte Cybersecurity-Assurance-Level, die sind allerdings informativ und nicht verpflichtend.

Fehlen im Standard wichtige Punkte?

Ich würde sagen »Nein«. Höchstens, dass der eine oder andere Punkt noch ausbaufähig ist. Zum Beispiel halte ich es für nicht so günstig, dass die Security-Level nur informativ und nicht imperativ sind. Aber das ist auch ein Lernprozess, während dessen einzelne Punkte genauer spezifiziert werden können. Ein Beispiel: Der Standard besagt, dass Schadensszenarien für die verschiedenen Threads betrachtet werden müssen, diese sind aber auf Fahrzeugebene definiert. Aus der Sicht eines OEMs ist das gut, aber für ein Unternehmen wie NXP nicht nutzbar, wir arbeiten auf der Komponentenebene und hier fehlen einfach noch genaue Vorgaben, um unsere Komponenten dahingehend optimieren zu können. Bislang arbeiten wir hier nach unseren eigenen Erkenntnissen, aber es fehlt an standardisierten Vorgaben. Aber noch einmal: Die ISO 21434 ist ein sehr guter Anfang.

NXP ist der erste Halbleiterhersteller, der vom TÜV SÜD für die Einhaltung von ISO/SAE 21434 im Automobilbereich zertifiziert wurde, was heißt das genau?

Zum einen geht es um die Einhaltung der Vorgaben bei der Entwicklung. Zum anderen müssen aber auch Ansätze realisiert werden, die den Chip im Feld absichern. Das heißt beispielsweise, dass auch Überwachungsmöglichkeiten im Chip implementiert sein müssen.

Wobei ein Punkt auch klar sein sollte: Es ist alles andere als einfach, alle im Standard festgelegten Schritte umzusetzen. NXP hat hier den Vorteil, dass das Unternehmen bereits seit langem im Security-Bereich aktiv ist, auch wenn diese Aktivitäten nicht Automotive-spezifisch sind. Und trotz der großen Erfahrung im Security-Bereich hat es rund drei Jahre gedauert, bis wir dieses Wissen und die entsprechenden Ansätze in den Automotive-Bereich übertragen haben. Wie gesagt, es ist nicht einfach, eine ISO 21434-Zertifizierung zu erreichen. Aber so eine Zertifizierung hat Vorteile für unsere Kunden. Denn damit verringert sich für sie der Aufwand, den sie selbst betreiben müssen, um die Security-Norm zu erfüllen.

Heute werden viele ICs mit entsprechenden Safety-Leveln versehen. Wird es in Zukunft eine Security-Klassifizierung ähnlich wie ASIL-A bis ASIL-D kommen?

Ich denke nicht, dass es eine Klassifizierung in der Form geben wird. Das ist in diesem Fall auch schwierig, denn ein System, das heute von einem Security-Standpunkt aus betrachtet, sicher ist, kann morgen gehackt werden, damit könnten bei einer Klassifizierung Zuverlässigkeitsprobleme entstehen. Was ich langfristig für möglich halte, dass beispielsweise festgelegt wird, welche Attacken bei der Entwicklung berücksichtigt werden müssen. Aber das wird noch ein wenig dauern, wie bereits gesagt, jetzt wurden erst einmal die Assurance-Level festgelegt.

Das Interview führte Iris Stroh


  1. »Ein wichtiger Schritt«
  2. Security - Level 1 bis...

Das könnte Sie auch interessieren

Verwandte Artikel

NXP Semiconductor Netherlands B.V., NXP Semiconductors Germany, NXP Semiconductors Marketing and Sales Unternehmensbereich derPh-GmbH