Neue UN-Vorgaben für Cyber­si­cher­heit und Soft­ware­up­dates in der Automobilbranche

Das Welt­fo­rum für die Har­mo­ni­sie­rung von Fahr­zeug­vor­schrif­ten (WP.29) ist eine Arbeits­grup­pe der Wirt­schafts­kom­mis­si­on der Ver­ein­ten Natio­nen für Euro­pa (UNECE). Ihr kommt die Auf­ga­be zu, ein ein­heit­li­ches Regel­sys­tem für den Fahr­zeug­bau zu schaf­fen und so den inter­na­tio­na­len Han­del zu för­dern. Mit den neu­en Rege­lun­gen will die Arbeits­grup­pe nun den stei­gen­den Risi­ken durch die zuneh­men­de Ver­net­zung und Digi­ta­li­sie­rung von Fahr­zeu­gen (PDF) ent­ge­gen­tre­ten. Kern­be­stand­tei­le der neu­en Rege­lun­gen sind die Ver­pflich­tung zur Ein­füh­rung eines Manage­ment­sys­tems für Cyber­si­cher­heit im Fahr­zeug (PDF) und die Schaf­fung eines Rechts­rah­mens für Updates aus der Fer­ne (Over-the-Air- oder OTA-Updates).

Die Marsch­rou­te für die Ein­füh­rung der neu­en Regeln ist straff. In Japan sol­len sie bereits zum offi­zi­el­len Inkraft­tre­ten im Janu­ar 2021 gel­ten. Süd­ko­rea plant eine schritt­wei­se Umset­zung, die bereits in der zwei­ten Hälf­te des Jah­res begin­nen soll. In der EU sol­len die Rege­lun­gen ab Juli 2022 ein­ge­führt wer­den und ab dem Juli 2024 im Rah­men der Geneh­mi­gung von neu­en Fahr­zeu­gen (soge­nann­te “Homo­lo­ga­ti­on”) ver­pflich­tend wer­den. Da die neu­en Regu­la­ri­en deut­lich über die bis­he­ri­gen Anfor­de­run­gen in Sachen Cyber­si­cher­heit bei Fahr­zeu­gen hin­aus­ge­hen, soll­ten sich Her­stel­ler von Fahr­zeu­gen jedoch gleich­wohl früh­zei­tig auf die­se neu­en Ent­wick­lun­gen ein­stel­len. Da zu erwar­ten ist, dass die Fahr­zeug­her­stel­ler die neu­en Anfor­de­run­gen auch in der Lie­fer­ket­te durch­rei­chen wer­den (müs­sen), gilt dies eben­so auch für Automobilzulieferer.

Anfor­de­run­gen hin­sicht­lich Cybersicherheit

Unter der Über­wa­chung der zustän­di­gen Behör­den sol­len die Her­stel­ler ent­spre­chen­der Fahr­zeu­ge dann unter ande­rem Fol­gen­des gewährleisten:

  • Eta­blie­rung und Ver­füg­bar­keit eines Cybersicherheits-Managementsystems für Fahr­zeu­ge im Straßenverkehr
  • Durch­füh­rung einer Risi­ko­ana­ly­se für Cyber­si­cher­heit und Iden­ti­fi­ka­ti­on kri­ti­scher Risiken
  • Mecha­nis­men zur Redu­zie­rung iden­ti­fi­zier­ter Cyberrisiken
  • Nach­wei­se für das Funk­tio­nie­ren der Risikobewältigungsmechanismen
  • Maß­nah­men zur Erken­nung und Ver­hin­de­rung von Cyberangriffen
  • Maß­nah­men zur Unter­stüt­zung von IT-Forensik bei Cyberangriffen
  • Fort­lau­fen­de Über­wa­chung typen­spe­zi­fi­scher Cybersicherheitsvorfälle
  • Wei­ter­lei­tung der Berich­te über Cyber­si­cher­heits­vor­fäl­le an die zustän­di­ge Zulassungsbehörde

Anfor­de­run­gen hin­sicht­lich Softwareupdates

Eng mit den Vor­ga­ben für ein Cybersicherheits-Managementsystem ver­knüpft ist die neue UN-Regelung für Soft­ware­up­dates und ein Software-Managementsystem (“UN Regu­la­ti­on on Soft­ware Updates and Soft­ware Updates Manage­ment Sys­tems”). Die­se soll gewähr­leis­ten, dass Her­stel­ler auch in der Lage sind, erkann­te Sicher­heits­lü­cken oder Schwach­stel­len wirk­sam und aus der Fer­ne zu schlie­ßen. Im Ein­zel­nen bedeu­tet dies für die Her­stel­ler fol­gen­de Verpflichtungen:

  • Eta­blie­rung und Ver­füg­bar­keit eines Softwareupdate-Managementsystems für Fahr­zeu­ge im Straßenverkehr
  • Schutz des Aus­lie­fe­rungs­me­cha­nis­mus für Soft­ware­up­dates, insb. Gewähr­leis­tung von Inte­gri­tät und Authentizität
  • Schutz der Software-Identifikationsnummer und Gewähr­leis­tung der Aus­les­bar­keit im Fahrzeug
  • Bei OTA-Updates: Wie­der­her­stel­lungs­funk­ti­on bei fehl­ge­schla­ge­nen Updates, Updates nur bei aus­rei­chen­der Strom­ver­sor­gung, Gewähr­leis­tung einer siche­ren Aus­füh­rung, Infor­ma­ti­on des Nut­zers über jedes Update und des­sen erfolg­rei­che Instal­la­ti­on, Prü­fung zur Durch­führ­bar­keit des Updates vor des­sen Instal­la­ti­on, Infor­ma­ti­on des Nut­zers über die Not­wen­dig­keit eines Werkstattbesuchs

Die neu­en UN-Regelungen machen deut­lich, dass das The­ma Cyber­si­cher­heit auch in der Auto­mo­bil­bran­che zuneh­mend regu­liert wird. Erreicht wer­den soll damit, dass die zuneh­men­de Digi­ta­li­sie­rung von Fahr­zeu­gen nicht zu Angriffs­flä­chen führt, wie wir sie der­zeit bei IoT-Geräten und Indus­trie­an­la­gen ken­nen. Statt der in die­sen Berei­chen herr­schen­den Über­macht der Angrei­fer soll so eine Asym­me­trie zuguns­ten der IT-Sicherheit geschaf­fen wer­den. Dies ver­langt Auto­mo­bil­her­stel­lern und ihren Zulie­fe­rern jedoch enor­me Anstren­gung zur Ein­hal­tung der Vor­ga­ben ab. Gut bera­ten ist daher, wer sich schon früh mit den neu­en Anfor­de­run­gen aus­ein­an­der­setzt und schon jetzt Pro­zes­se für Cyber­si­cher­heit by design schafft und mit der flä­chen­de­cken­den Imple­men­tie­rung von Ver­tei­di­gungs­stra­te­gien beginnt.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.