Neue UN-Vorgaben für Cybersicherheit und Softwareupdates in der Automobilbranche

Daniel Wuhrmann

Das Weltforum für die Harmonisierung von Fahrzeugvorschriften (WP.29) ist eine Arbeitsgruppe der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE). Ihr kommt die Aufgabe zu, ein einheitliches Regelsystem für den Fahrzeugbau zu schaffen und so den internationalen Handel zu fördern. Mit den neuen Regelungen will die Arbeitsgruppe nun den steigenden Risiken durch die zunehmende Vernetzung und Digitalisierung von Fahrzeugen (PDF) entgegentreten. Kernbestandteile der neuen Regelungen sind die Verpflichtung zur Einführung eines Managementsystems für Cybersicherheit im Fahrzeug (PDF) und die Schaffung eines Rechtsrahmens für Updates aus der Ferne (Over-the-Air- oder OTA-Updates).

Die Marschroute für die Einführung der neuen Regeln ist straff. In Japan sollen sie bereits zum offiziellen Inkrafttreten im Januar 2021 gelten. Südkorea plant eine schrittweise Umsetzung, die bereits in der zweiten Hälfte des Jahres beginnen soll. In der EU sollen die Regelungen ab Juli 2022 eingeführt werden und ab dem Juli 2024 im Rahmen der Genehmigung von neuen Fahrzeugen (sogenannte "Homologation") verpflichtend werden. Da die neuen Regularien deutlich über die bisherigen Anforderungen in Sachen Cybersicherheit bei Fahrzeugen hinausgehen, sollten sich Hersteller von Fahrzeugen jedoch gleichwohl frühzeitig auf diese neuen Entwicklungen einstellen. Da zu erwarten ist, dass die Fahrzeughersteller die neuen Anforderungen auch in der Lieferkette durchreichen werden (müssen), gilt dies ebenso auch für Automobilzulieferer.

Anforderungen hinsichtlich Cybersicherheit

Unter der Überwachung der zuständigen Behörden sollen die Hersteller entsprechender Fahrzeuge dann unter anderem Folgendes gewährleisten:

  • Etablierung und Verfügbarkeit eines Cybersicherheits-Managementsystems für Fahrzeuge im Straßenverkehr
  • Durchführung einer Risikoanalyse für Cybersicherheit und Identifikation kritischer Risiken
  • Mechanismen zur Reduzierung identifizierter Cyberrisiken
  • Nachweise für das Funktionieren der Risikobewältigungsmechanismen
  • Maßnahmen zur Erkennung und Verhinderung von Cyberangriffen
  • Maßnahmen zur Unterstützung von IT-Forensik bei Cyberangriffen
  • Fortlaufende Überwachung typenspezifischer Cybersicherheitsvorfälle
  • Weiterleitung der Berichte über Cybersicherheitsvorfälle an die zuständige Zulassungsbehörde

Anforderungen hinsichtlich Softwareupdates

Eng mit den Vorgaben für ein Cybersicherheits-Managementsystem verknüpft ist die neue UN-Regelung für Softwareupdates und ein Software-Managementsystem ("UN Regulation on Software Updates and Software Updates Management Systems"). Diese soll gewährleisten, dass Hersteller auch in der Lage sind, erkannte Sicherheitslücken oder Schwachstellen wirksam und aus der Ferne zu schließen. Im Einzelnen bedeutet dies für die Hersteller folgende Verpflichtungen:

  • Etablierung und Verfügbarkeit eines Softwareupdate-Managementsystems für Fahrzeuge im Straßenverkehr
  • Schutz des Auslieferungsmechanismus für Softwareupdates, insb. Gewährleistung von Integrität und Authentizität
  • Schutz der Software-Identifikationsnummer und Gewährleistung der Auslesbarkeit im Fahrzeug
  • Bei OTA-Updates: Wiederherstellungsfunktion bei fehlgeschlagenen Updates, Updates nur bei ausreichender Stromversorgung, Gewährleistung einer sicheren Ausführung, Information des Nutzers über jedes Update und dessen erfolgreiche Installation, Prüfung zur Durchführbarkeit des Updates vor dessen Installation, Information des Nutzers über die Notwendigkeit eines Werkstattbesuchs

Die neuen UN-Regelungen machen deutlich, dass das Thema Cybersicherheit auch in der Automobilbranche zunehmend reguliert wird. Erreicht werden soll damit, dass die zunehmende Digitalisierung von Fahrzeugen nicht zu Angriffsflächen führt, wie wir sie derzeit bei IoT-Geräten und Industrieanlagen kennen. Statt der in diesen Bereichen herrschenden Übermacht der Angreifer soll so eine Asymmetrie zugunsten der IT-Sicherheit geschaffen werden. Dies verlangt Automobilherstellern und ihren Zulieferern jedoch enorme Anstrengung zur Einhaltung der Vorgaben ab. Gut beraten ist daher, wer sich schon früh mit den neuen Anforderungen auseinandersetzt und schon jetzt Prozesse für Cybersicherheit by design schafft und mit der flächendeckenden Implementierung von Verteidigungsstrategien beginnt.

[August 2020]