Reuschlaw

Neue Cybersicherheits- und Soft­ware­up­date­stan­dards in der Automobilbranche

Die durch das Welt­fo­rum für die Har­mo­ni­sie­rung von Fahr­zeug­vor­schrif­ten (WP.29) als Arbeits­grup­pe der Wirt­schafts­kom­mis­si­on der Ver­ein­ten Natio­nen für Euro­pa (UNECE) erar­bei­te­ten Rege­lun­gen wur­den durch Ver­öf­fent­li­chung am 9. März 2021 im Amts­blatt auf euro­päi­scher Ebe­ne ver­bind­lich umge­setzt. Damit liegt auf euro­päi­scher Ebe­ne erst­mals ein ver­bind­li­ches und ein­heit­li­ches Rege­lungs­sys­tem hin­sicht­lich der Cyber­si­cher­heit und Soft­ware­up­dates im Auto­mo­bil­sek­tor vor. 

Bedingt durch die zuneh­men­de Ver­net­zung und Digi­ta­li­sie­rung von Fahr­zeu­gen in den ver­gan­ge­nen Jah­ren ist auch das poten­zi­el­le Risi­ko von Cyber­an­grif­fen auf die­se gestie­gen. Mit den neu­en Rege­lun­gen soll nun den stei­gen­den Risi­ken ent­ge­gen­ge­tre­ten werden.

Kern­be­stand­tei­le der neu­en Rege­lun­gen sind die Ver­pflich­tung zur Ein­füh­rung eines Manage­ment­sys­tems für Cyber­si­cher­heit im Fahr­zeug und die Schaf­fung eines Rechts­rah­mens für Updates aus der Fer­ne (Over-the-Air- oder OTA-Updates). Da die­se neu­en Regu­la­ri­en deut­lich über die bis­he­ri­gen Anfor­de­run­gen in Sachen Cyber­si­cher­heit bei Fahr­zeu­gen hin­aus­ge­hen, soll­ten sich Her­stel­ler von Fahr­zeu­gen und deren Zulie­fe­rer umge­hend auf die­se Neue­run­gen einstellen.

Anfor­de­run­gen hin­sicht­lich Cybersicherheit

Her­stel­ler wer­den zur Eta­blie­rung eines Cyber­si­cher­heits­ma­nage­ments­sys­tems (CSMS) ver­pflich­tet. Die­ses bezeich­net nach Zif­fer 2.3 der UN-Regelung Nr. 155 einen sys­te­ma­ti­schen, risi­ko­ba­sier­ten Ansatz zur Fest­le­gung von orga­ni­sa­to­ri­schen Abläu­fen, Zustän­dig­kei­ten und Gover­nan­ce beim Umgang mit Risi­ken im Zusam­men­hang mit Cyber­be­dro­hun­gen für Fahr­zeu­ge und beim Schutz von Fahr­zeu­gen vor Cyber­an­grif­fen. Das CSMS ist Vor­aus­set­zung für eine Geneh­mi­gung des Fahr­zeug­typs nach Zif­fer 5 der UN-Regelung Nr. 155.

Her­stel­ler ent­spre­chen­der Fahr­zeu­ge soll­ten daher unter ande­rem Fol­gen­des gewährleisten:

  • Eta­blie­rung und Ver­füg­bar­keit eines CSMS
  • Durch­füh­rung einer Risi­ko­ana­ly­se für Cyber­si­cher­heit und Iden­ti­fi­ka­ti­on kri­ti­scher Risi­ken über die gesam­te Lie­fer­ket­te hinweg
  • Risi­ko­be­wer­tung
  • Imple­men­tie­rung geeig­ne­ter Cyber­si­cher­heits­maß­nah­men zur Iden­ti­fi­zie­rung und Ver­hin­de­rung von Cyberangriffen
  • Fort­lau­fen­de Über­wa­chung typen­spe­zi­fi­scher Cybersicherheitsvorfälle

Da die Her­stel­ler die gesam­te Lie­fer­ket­te zu über­prü­fen haben, wer­den auch mit­tel­bar Zulie­fe­rer den Anfor­de­run­gen unter­wor­fen, da sie oft­mals mit der Her­stel­lung der ein­zel­nen Kom­po­nen­ten, die den Cyber­si­cher­heits­an­for­de­run­gen ent­spre­chen müs­sen, betraut sind.

Anfor­de­run­gen hin­sicht­lich Software-Updates

Eng ver­knüpft mit den Vor­ga­ben für ein CSMS ist die neue UN-Regelung zur Eta­blie­rung eines Soft­ware­ak­tua­li­sie­rungs­ma­nage­ments. Dies bezeich­net nach Zif­fer 2.5 der UN-Regelung Nr. 156 einen sys­te­ma­ti­schen Ansatz zur Fest­le­gung orga­ni­sa­to­ri­scher Ver­fah­ren und Vor­gän­ge, um den Anfor­de­run­gen an die Bereit­stel­lung von Soft­ware­ak­tua­li­sie­run­gen zu gemäß die­ser Rege­lung zu ent­spre­chen. Dadurch soll gewähr­leis­tet wer­den, dass Her­stel­ler in der Lage sind, erkann­te Sicher­heits­lü­cken oder Schwach­stel­len wirk­sam und aus der Fer­ne zu schließen.

Im Ein­zel­nen haben die Her­stel­ler daher fol­gen­de Ver­pflich­tun­gen zu erfüllen:

  • Eta­blie­rung und Ver­füg­bar­keit eines Soft­ware­ak­tua­li­sie­rungs­ma­nage­ment­sys­tems für Fahr­zeu­ge im Straßenverkehr
  • Ver­fah­ren zur Iden­ti­fi­zie­rung der Ziel­fahr­zeu­ge sowie Kom­pa­ti­bi­li­tät des Ziel­fahr­zeugs mit der Konfiguration
  • Bei OTA-Updates: Wie­der­her­stel­lungs­funk­ti­on bei fehl­ge­schla­ge­nen Updates, Updates nur bei aus­rei­chen­der Strom­ver­sor­gung, Gewähr­leis­tung einer siche­ren Aus­füh­rung (auch wäh­rend der Fahrt), Infor­ma­ti­on des Nut­zers über jedes Update und des­sen erfolg­rei­che Instal­la­ti­on, Prü­fung zur Durch­führ­bar­keit des Updates vor des­sen Instal­la­ti­on, Infor­ma­ti­on des Nut­zers über die Not­wen­dig­keit eines Werkstattbesuchs

Fazit und wei­te­re Schrit­te von­sei­ten der Hersteller

Auf­grund der neu­ar­ti­gen und erst­mals ver­bind­li­chen Rege­lun­gen der UN ste­hen Her­stel­ler und Zulie­fe­rer vor beson­de­ren Her­aus­for­de­run­gen. Die­se neu­en ver­bind­li­chen Rege­lun­gen machen deut­lich, dass das The­ma Cyber­si­cher­heit auch in der Auto­mo­bil­bran­che zuneh­mend regu­liert wird und sich der Rechts­rah­men ver­engt. Die zuneh­men­de Digi­ta­li­sie­rung von Fahr­zeu­gen soll kei­ne Angriffs­flä­chen für Cyber­at­ta­cken bie­ten. Daher ist gut bera­ten, wer sich bereits früh­zei­tig mit den neu­en Anfor­de­run­gen aus­ein­an­der­setzt und Pro­zes­se für Cyber­si­cher­heit by design schafft und mit der flä­chen­de­cken­den Imple­men­tie­rung von Ver­tei­di­gungs­stra­te­gien beginnt.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.