Die ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ ist ein Standard zur Cyber-Security in Kraftfahrzeugen. Der Status des International Standard (IS) ist seit August 2021 "Published”, also noch ziemlich jung (Stand September 2022).
Aufgrund der zunehmenden Risiken durch Cyber-Angriffe auf Fahrzeuge und weil die Infrastruktur zu Online-Updates von Fahrzeugen (OTA), Flottenmanagement, Kommunikation zwischen Fahrzeugen (Car2x/V2X) und weiteren Anforderungen die Fahrzeuge neue Angriffsflächen bieten, soll der Standard Maßnahmen für die Entwicklung vorschlagen. Die Norm steht in Zusammenhang mit der UNECE-Regelung R 155 "Cyber security and cyber security management system". Die R 155 fordert eine Zertifizierung der Fahrzeughersteller hinsichtlich eines Cyber Security Management Systems. Diese Zertifizierung ist Voraussetzung dafür, dass ein Fahrzeug in der EU und anderen Vertragsstaaten eine Typgenehmigung für die Zulassung zum Straßenverkehr bekommen kann. Die Anwendung der ISO 21434 gilt als ein Baustein, um die Zertifizierung zu erleichtern. Allerdings deckt die ISO 21434 nicht alle Anforderungen der R 155 ab. Nebenbei wird mittels dieser Vorgaben für Typgenehmigungen auch die Thematik “Funktionale Sicherheit” weiter in den Fokusmittelpunkt geschoben.
Die Norm gilt für Komponenten (elektronische Bauteile und Software) von Fahrzeugen, die in Serie gefertigt werden, sowie Ersatz- und Zubehörteilen. Sie umfasst die Phasen der Entwicklung, Produktion, Betrieb, Wartung und Recycling im Lebenszyklus eines Fahrzeuges. Infrastruktur außerhalb des Fahrzeugs, wie beispielsweise Server des Fahrzeug-Herstellers für Diagnosen, Software-Updates oder Diagnosetester (Off-Board-Diagnose) werden von der Norm nicht erfasst (aus meiner Sicht ein großes Manko).
Die Aktivitäten in der Produktentwicklung nach Norm werden auf Basis einer Risikoeinschätzung gesteuert, dazu werden Maßnahmen zur organisatorischen Verankerung gefordert. Prozesse werden zwar gefordert, die Norm beschreibt jedoch nur jeweils die Aufgabe eines Prozesses, überlässt die Gestaltung des Ablaufs aber den Unternehmen. Spezielle Technologien oder Lösungen werden nicht vorgeschlagen und autonome Fahrzeuge erhalten keinen Sonderstatus in den Empfehlungen dieser Norm.