+49 155 609 62044contact@vamisec.com
Book an Appointment
IT Security · Product Security

Product Security nach ISO/SAE 21434.

Cybersecurity by Design für die Mobilität von morgen.

Die ISO/SAE 21434 ist der internationale Standard für Cybersicherheit im Automobilsektor. Er definiert Anforderungen und Prozesse, um Fahrzeuge, Steuergeräte (ECUs) und vernetzte Komponenten über den gesamten Produktlebenszyklus hinweg gegen Cyberbedrohungen zu schützen.

Mit zunehmender Vernetzung von Fahrzeugen, Over-the-Air-Updates und autonomen Fahrfunktionen steigt das Risiko gezielter Cyberangriffe. Product Security nach ISO/SAE 21434 sorgt dafür, dass Sicherheit von Anfang an in die Entwicklung integriert wird.

CSMS-Readiness prüfenUnsere Leistungen
  • CSMS
  • SUMS
  • TARA
  • Secure Boot
  • HSM
  • OTA
  • V-SOC
  • Supply Chain
ISO 21434
Standard für Automotive-Cybersecurity
UNECE R155
Typgenehmigung mit CSMS-Pflicht
CRA
Cyber Resilience Act für vernetzte Produkte
15J+
Lebenszyklus-Sicherheit pro Fahrzeugplattform
Unsere Leistungen

Sechs Module — vom CSMS bis zur Lieferkette.

Modular und entwicklungsnah. Jeder Baustein lässt sich einzeln integrieren oder als vollständiges Cybersecurity-Programm aufsetzen.

Standards & Regulatorik

21434 trägt — aber nicht alleine.

Product Security im Automotive-Kontext verbindet ISO/SAE 21434 mit UNECE-Regelungen, CRA, TISAX und übergreifender ISO-27001-Governance.

ISO/SAE 21434
Automotive Cybersecurity Engineering
UNECE R155
CSMS-Typgenehmigung weltweit
UNECE R156
Software-Update-Management (SUMS)
TISAX®
Information Security in Automotive
CRA
Cyber Resilience Act für vernetzte Produkte
IEC 62443-4
Secure Product Development Lifecycle
NIS2
Cybersicherheit für wichtige Einrichtungen
ISO/IEC 27001
ISMS als organisatorischer Rahmen
Vorgehen

Vom Reifegrad-Check bis zur Typgenehmigung.

Sechs Schritte — abgestimmt auf Entwicklungsphasen, Audit-Termine und R155-Fristen.

  1. 01

    Gap- & Reifegrad-Analyse

    Aktueller Stand gegen ISO/SAE 21434, R155, R156 und CRA. Identifikation der kritischen Lücken in CSMS-, Engineering- und Lieferkettenprozessen.

  2. 02

    CSMS-Aufbau

    Etablierung von Governance, Rollen, Risiko- und Schwachstellen­management — auf Typgenehmigung ausgelegt.

  3. 03

    TARA & Cybersecurity Goals

    Systematische Bedrohungsanalyse pro Fahrzeugarchitektur und Komponente. Ableitung von Schutzzielen und Sicherheitsanforderungen.

  4. 04

    Secure Development

    Integration sicherer Entwicklungspraktiken: Threat Modeling, Code-Analyse, Pentest, HSM-Konzepte, Secure Boot, OTA-Sicherheit.

  5. 05

    Lieferantenmanagement

    Cybersecurity-Anforderungen vertraglich verankern, Tier-1/Tier-2-Assessments, Nachweisflüsse über die Supply Chain.

  6. 06

    Audit & Operations

    Audit-Vorbereitung, Begleitung der Typgenehmigung, Aufbau Vehicle SOC und kontinuierliche Verbesserung über den Lebenszyklus.

FAQ

Häufige Fragen zu Product Security.

Was ist der Unterschied zwischen ISO/SAE 21434 und UNECE R155?

UNECE R155 ist eine bindende Typgenehmigungs-Regelung — ohne CSMS-Nachweis bekommen Sie ab Juli 2024 keine Typgenehmigung mehr für Fahrzeugkategorien M, N und O. ISO/SAE 21434 ist die methodische Norm, die beschreibt WIE ein CSMS aufgebaut sein muss. R155 setzt also voraus, was 21434 spezifiziert. In der Praxis ist 21434 der konkrete Bauplan und R155 die Pflicht.

Sind Tier-1- und Tier-2-Lieferanten direkt von R155 betroffen?

Nicht direkt — der OEM ist gegenüber UNECE R155 in der Pflicht. Aber: der OEM gibt die ISO/SAE 21434-Anforderungen vertraglich an seine Lieferanten weiter. Tier-1 und Tier-2 müssen also CSMS-, TARA- und SDLC-konform liefern, sonst werden sie als Lieferant disqualifiziert. Wir helfen Lieferanten, ihre Prozesse OEM-tauglich zu machen.

Wie lange dauert der Aufbau eines CSMS?

Realistisch 12–24 Monate für ein vollständiges CSMS bis zur Audit-Reife — abhängig von Reifegrad und Produktportfolio. Davon entfallen typischerweise 3–6 Monate auf Gap-Analyse und Roadmap, 6–12 Monate auf Aufbau und Pilotierung, und 3–6 Monate auf Roll-out, Schulung und Audit-Vorbereitung.

Wie verhält sich ISO/SAE 21434 zum CRA?

Beide Standards adressieren Cybersecurity vernetzter Produkte, aber sektorenspezifisch unterschiedlich. ISO/SAE 21434 ist Automotive-spezifisch (mit R155-Pflicht), CRA ist horizontal und gilt für alle vernetzten Produkte mit digitalen Elementen. Bei Fahrzeugen gilt: 21434 erfüllt einen Großteil der CRA-Anforderungen, nicht aber alle. Wir mappen beide Anforderungssets auf einen integrierten Nachweisrahmen.

Bieten Sie auch Penetration Tests an Fahrzeug-ECUs?

Ja — als Teil des SDLC oder separat. Wir testen ECU-Hardware, Firmware, Bus-Kommunikation (CAN, LIN, FlexRay, Automotive Ethernet), drahtlose Schnittstellen (Bluetooth, WiFi, V2X) und Backend-Anbindungen (OTA, Telematik). Methodisch arbeiten wir nach OWASP IoT, ISO/SAE 21434 Annex G und unserer eigenen Automotive-Pentest-Methodik.

Wir bauen Industrieprodukte, nicht Autos — gilt das für uns?

ISO/SAE 21434 ist Automotive-spezifisch, aber die Methodik ist breit übertragbar. Für Industrieprodukte sind eher IEC 62443-4 (sichere Produktentwicklung), ISO/IEC 27034 oder die CRA-Vorgaben einschlägig. Wir adressieren auch Maschinenbauer, Medizingerätehersteller und IoT-Produzenten — die Engineering-Praktiken (TARA, Secure Boot, Threat Modeling, SDLC) sind sektorenübergreifend.

Protect Your Organization Now!

Contact us for an individual consultation and security solution tailored to your requirements.

Valeri Milke, CEO of VamiSecCONTACT US NOW

Valeri Milke, CEO of VamiSec

"Only when all instruments are well-tuned does your organization become secure and compliant."