Die SAE J3061 "Cybersecurity Guidebook for Cyber-Physical Vehicle Systems" wird von der SAE als Praxisleitfaden für die Cyber-Sicherheit von Fahrzeugen herausgegeben. Der im Januar 2016 herausgegebene Standard beschreibt auf 128 Seiten einen Rahmen für die Absicherung eines Produktes über den gesamten Lebenszyklus (von der Entwicklung bis zur Außerbetriebnahme/Verschrottung) und gibt durch zahlreiche Referenzen auf andere Projekte einen Überblick über Methoden der Cybersecurity.
Inhalt
Kernpunkte der SAE J3061 sind:
- Eckpunkte eines Prozessmodells, welches die Organisation (Unternehmen) für sich anpassen kann.
- Vorstellung einiger Methoden und Werkzeuge zur Absicherung von technischen Systemen, die in Fahrzeugen eingesetzt werden
- Grundprinzipien der Cyber-Sicherheit
- Grundlage für die Entwicklung weiterer Standards, was nach der Veröffentlichung in der ISO/SAE 21434 aufgenommen wurde.
Einigen Methoden sind aus der ISO 26262 "Functional Safety Road Vehicles" (Funktionale Sicherheit) abgeleitet, überhaupt finden sich zahlreiche Referenzen auf diese Norm.
Der Standard besteht aus 9 Kapiteln und 9 Anhängen:
| Teil | Titel | Inhalt |
|---|---|---|
| 1 | Scope | Beschreibung des Anwendungsbereichs dieses Standards |
| 2 | References | Literatur, auf die verwiesen wird |
| 3 | Definitions and acronyms | Begriffsdefinitionen und Abkürzungen, die als Basis einer gemeinsamen Fachsprache dienen soll, damit Missverständnisse im fachlichen Austausch vermieden werden |
| 4 | Relationship between system safety and system cybersecurity | Zusammenhang zwischen System Safety und Security, wobei hier System Security eher Produktsicherheit bedeutet und damit weiter gefasst wird, als in der ISO 26262 |
| 5 | Guiding principles on cybersecurity for cyber-physical vehicle systems (CPS) | Analyse der schützenswerten Eigenschaften und Prinzipien der Cyber-Sicherheit stellen eine grobe Anleitung für den Hersteller eines Fahrzeugs oder einer Komponente dar, um die nötigen Aktivitäten zum Schutz des Produktes zu definieren |
| 6 | Cybersecurity process overview | Eckpunkte eines Cybersecurity-Prozesses. Die Phasen des Entwicklungszyklus sind an die ISO 26262 Teil 3–8 (Konzeptphase, Systementwicklung, Hardware, Software, Produktion, unterstützende Prozesse) angelehnt |
| 7 | Overall management of cybersecurity | Grundlegende Anforderungen an die Organisation, die Cybersecurity unterstützen soll, indem Cybersecurity nicht als aufgepfropft, sondern als natürlicher Teil der Produktentwicklung gesehen werden soll. Ähnlich wird dies auch in der ISO 26262 Teil 2 für Funktionale Sicherheit gefordert und beschrieben |
| 8 | Process implementation | Maßnahmen zur Kommunikation zwischen Cybersecurity und Safety Prozessen in den verschiedenen Phasen des Produktlebenszyklus, falls diese Prozesse getrennt geführt werden sowie die Beschreibung zahlreicher Methoden und Dokumente |
| 9 | Notes | Hinweise zur Bedeutung von redaktionellen Markierungen im Dokument |
| A | Description of cybersecurity analysis techniques | Vorstellung verschiedener Analysemethoden |
| B | Example templates for work products | OCTAVE-Vorlage als Beispiel vorgestellt |
| C | Examples using identified analyses | Beispiele verschiedener Analysen (Threat and Operability Analysis, Attack Tree, HEAVENS Security Model) |
| D | Security & privacy controls description and application | Zusammenfassung verschiedener Methoden zum Schutz der Vertraulichkeit (Privacy) |
| E | Vulnerability databases and vulnerability classification schemes | Klassifizierung von angreifbaren Schwachstellen und anderer Schwächen eines Produktes |
| F | Vehicle level considerations | Allgemeine Überlegungen, die der Hersteller eines Fahrzeuges treffen sollte |
| G | Current cybersecurity standards and guidelines that may be useful to the vehicle industry | Liste weiterer Quellen zur Cybersecurity |
| H | Vehicle project awareness | Liste mit Forschungsprojekten zur Cybersecurity |
| J | Security test tools of potential use to the vehicle industry | Liste mit Kategorien für Software-Analysewerkzeuge und einigen Namen von solchen Programmen. |
Cybersecurity und Funktionale Sicherheit
Das Zusammenwirken von Cybersecurity und Funktionaler Sicherheit wird an einigen Punkten der SAE J3061 thematisiert, da die Ziele von Cyber Security und Funktionaler Sicherheit an einigen Punkten problematisch sind.
Dies betrifft beispielsweise das Ziel eines Angreifers, ein System abzuschalten. Wenn er dem Teil des Systems, welches die funktionale Sicherheit überwacht (Subsystem), eine gefährliche Situation vorspielen kann, wird das Subsystem 'Funktionale Sicherheit' das gesamte System in den sicheren Zustand bringen, so dass es nicht mehr voll einsatzfähig ist, damit es keine Gefährdung verursachen kann.
Ziel der Cybersecurity ist es, die Verfügbarkeit des Systems aufrechtzuerhalten. Das Cybersecurity-Subsystem würde also versuchen, solche Angriffe zu erkennen und zu verhindern, dass sie zum Subsystem für Funktionale Sicherheit durchdringen.
Nun kann aber kaum vorausgesetzt werden, dass das Cybersecurity Subsystem perfekt ist. Es wird also einen Teil an erfolgreichen Angriffen durchlassen, so dass das gesamte System vom Angreifer deaktiviert werden kann (Fall false positive), es könnte aber auch verhindern, dass echte Störfallinformationen an das Subsystem der funktionalen Sicherheit gelangen (Fall false negative).
Beide Fälle sind kritisch, denn wenn ein Flugzeugtriebwerk oder eine Lkw-Servolenkung abgeschaltet werden, muss dies vom Bediener beherrscht werden. Umgekehrt könnten unterdrückte Störfallinformationen zu einer echten Gefahr führen.
Literatur
- Society of Automotive Engineers (Hrsg.): SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems. SAE International, USA 1. Januar 2016.