Ab 7. Juli gelten für Neufahrzeuge neue Cybersecurity-Richtlinien. Gemäß dieser Richtlinien müssen Autohersteller ihre Fahrzeugsoftware gegen Cyberkriminalität absichern. Doch was genau schreiben UNECE R155 und R156 vor?
Connected-Car-Technologie, Over-the-Air-Updates und automatisiertes Fahren: Für diese zentralen Entwicklungen in der Automobilindustrie hat das "Weltforum für die Harmonisierung der Fahrzeugvorschriften" (WP.29) der UNECE (United Nations Economic Commission for Europe) im Jahr 2020 für die rund 60 UNECE-Mitgliedsländer zwei neue Vorschriften verabschiedet. Diese neue Vorschriften sollen die Fahrzeugsicherheit gewährleisten und explizit auch zum Schutz gegen Cyberangriffe beitragen.
Die von der UNECE WP.29 herausgegebenen Verordnungen R155 und R156 sind dabei einerseits ein Versuch, die multiperspektivischen "Fragen und Problemstellungen für die Automobilindustrie zu beantworten und andererseits, um einen rechtlichen Rahmen für die Entwicklung von nachhaltig sicheren Fahrzeugen zu schaffen", so Springer-Autor Manuel Wurm im Buchkapitel Security-Organisation und -Management. Mit diesen beiden Vorschriften, so Wurm, würden auch zum ersten Mal Maßnahmen zum Schutz von vernetzten und autonomen Fahrzeugen angeordnet. Zu den Vorschriften haben sich die Europäische Union (EU), Japan und Südkorea bekannt.
Cybersecurity und Softwareupdates: R155 und R156
Zu den zentralen Vorgaben gehört die Anforderung, ein zertifiziertes Cybersecurity-Management-System (CSMS) einzuführen (UNECE R155). Im Juni 2020 wurde R155 verabschiedet, im Januar 2021 trat die Richtlinie in Kraft. Seit Juli 2022 sind die Vorgaben verpflichtend für alle neuen Fahrzeugtypen. Ab 7. Juli 2024 gelten sie für sämtliche Neufahrzeuge in der EU. Neben UNECE R155 ist für die Typgenehmigung auch ein Software-Update-Management-System (SUMS) erforderlich (UNECE R156).
Angesichts des wachsenden Stellenwerts der Cybersecurity sind Leitlinien wie die ISO/SAE 21434 "Road vehicles –Cybersecurity Engineering" (Cybersecurity in Kraftfahrzeugen) oder die beiden Richtlinien R155 und R156 zu Cybersecurity und Softwareupdates veröffentlicht worden. "Die ISO/SAE-Norm legt die technischen Anforderungen für das Risikomanagement im Bereich der Cybersecurity fest", erklärt Bosch. Die R155 enthalte einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich ihrer Cybersecurity und eines entsprechenden CSMS. Die UN-Regelung R156 umfasse weitere Sicherheitsanforderungen und lege den Fokus auf Softwareupdates.
Die beiden Regelungen verlangen Maßnahmen in vier verschiedenen Disziplinen bzw. bestehen aus vier Arbeitspaketen:
- das Management von fahrzeugbezogenen Cyberrisiken
- das konstruktive Absichern von Fahrzeugen ("by design"), um Risiken entlang der Wertschöpfungskette zu mindern
- das Erkennen und die Reaktion auf Sicherheitsvorfälle in der Fahrzeugflotte
das sichere und geschützte Aktualisieren von Fahrzeugsoftware, inklusive einer rechtlichen Grundlage für Over-the-Air-(OTA)-Updates.
R155 nimmt Bezug auf ISO/SAE 21434
Die R155 stützt sich auf die Industrienorm ISO/SAE 21434. "Diese Norm definiert die technischen Anforderungen für das Cybersecurity-Risikomanagement in Bezug auf Konzept, Produktentwicklung, Produktion, Betrieb, Wartung und Außerbetriebnahme von elektrischen und elektronischen Systemen in Kraftfahrzeugen, einschließlich ihrer Bauteile und Schnittstellen", so Bosch.
R155 gibt Maßnahmen vor, die vom Fahrzeughersteller umzusetzen sind, und zwar für Pkw, Kleintransporter, Lkw und Busse, leichte vierrädrige Fahrzeuge, wenn sie mit Funktionen für automatisiertes Fahren ab Level 3 ausgestattet sind, sowie Anhänger, wenn sie mit mindestens einem elektronischen Steuergerät ausgerüstet sind. R156 gilt für Fahrzeuge, die Software-Updates für Pkw, Kleintransporter, Lkw und Busse, Anhänger und landwirtschaftliche Fahrzeuge zulassen.
Details: UN-Regelung R155
Die UN-Regelung R155 soll dem Automobilsektor einen Rahmen bieten, um die erforderlichen Verfahren einzuführen, und zwar zur:
- Identifizierung und Beherrschung von Cybersicherheitsrisiken bei der Fahrzeugentwicklung
- Überprüfung, ob die Risiken beherrscht werden, einschließlich Tests
- Sicherstellung, dass die Risikobewertungen auf dem neuesten Stand sind
- Überwachung von Cyberangriffen und wirksame Reaktion auf diese
- Unterstützung der Analyse von erfolgreichen oder versuchten Angriffen
- Bewertung, ob die Cybersicherheitsmaßnahmen angesichts neuer Bedrohungen und Schwachstellen weiterhin wirksam sind.
Die Hersteller müssen vor dem Inverkehrbringen von Fahrzeugen nachweisen, dass sie die folgenden Anforderungen erfüllen:
- Vorhandensein eines Cybersicherheits-Managementsystems und dessen Anwendung auf im Verkehr befindliche Fahrzeuge
- Vorlage einer Risikobewertungsanalyse, in der kritische Aspekte ermittelt werden
- Identifizierung von Maßnahmen zur Risikominderung
- Nachweis durch Tests, dass die Abhilfemaßnahmen wie vorgesehen funktionieren
- Maßnahmen zur Erkennung und Verhinderung von Cyberangriffen
- Maßnahmen zur Unterstützung der Datenforensik
- Überwachung der für den Fahrzeugtyp spezifischen Aktivitäten
- Weiterleitung von Berichten über die Überwachungstätigkeiten an die zuständige Zulassungsbehörde.
Details: UN-Regelung R156
Die UN-Regelung R156 soll dem Automobilsektor einen Rahmen bieten, um die erforderlichen Verfahren einzuführen, und zwar zur:
- Aufzeichnung der für einen Fahrzeugtyp relevanten Hardware- und Softwareversionen
- Identifizierung der für die Typgenehmigung relevanten Software
- Überprüfung, ob die Software auf einem Bauteil dem entspricht, was sie sein sollte
- Identifizierung von Abhängigkeiten, insbesondere im Hinblick auf Softwareupdates
- Identifizierung von Fahrzeugzielen und Überprüfung ihrer Kompatibilität mit einer Aktualisierung
- Beurteilung, ob ein Softwareupdate die Typgenehmigung oder gesetzlich festgelegte Parameter beeinflusst (einschließlich Hinzufügen oder Entfernen einer Funktion)
- Beurteilung, ob ein Update die Sicherheit oder das sichere Fahren beeinträchtigt
- Information der Fahrzeugbesitzer über Updates
- Dokumentation aller oben genannten Punkte.
Die Hersteller müssen vor dem Inverkehrbringen von Fahrzeugen nachweisen, dass sie die folgenden Anforderungen erfüllen:
- Das Software-Update-Management-System ist vorhanden und kann auf die Fahrzeuge auf der Straße angewendet werden
- Schutz des Mechanismus zur Bereitstellung von Softwareupdates und Gewährleistung der Integrität und Authentizität
- Schutz der Software-Identifikationsnummern
- die Software-Identifikationsnummer ist vom Fahrzeug aus lesbar
- Für Over-The-Air-Softwareupdates:
- Wiederherstellung der Funktion, wenn die Aktualisierung fehlschlägt
- Durchführung eines Updates nur bei ausreichender Stromversorgung
- Gewährleistung einer sicheren Ausführung
- Information für die Benutzer über jede Aktualisierung und über deren Abschluss
- Sicherstellung, dass das Fahrzeug in der Lage ist, die Aktualisierung durchzuführen
- Information für die Benutzer, wenn ein Mechaniker benötigt wird.
Hohes Abstraktionsniveau
Die beiden Richtlinien R155 und R156 sind sehr vage gehalten. "Die Anforderungen von R155 und ISO/SAE 21434 sind auf einem hohen Abstraktionsniveau", wie auch die Springer-Autoren um Théo Tamisier im Buchkapitel Automotive Cybersecurity: The gap between theoretical risks and real attacks on your vehicle erklären. Dies lasse Raum für Interpretationen und biete keine präzise methodische oder praktische Anleitungen. Die informativen Anhänge beider Dokumente würden lediglich Ratschläge und methodische Hinweise umfassen. Die Konformitätsbescheinigung (Certificate of Compliance, CoC) nach einem erfolgreichen Audit habe eine Gültigkeit von 3 Jahren, so die Autoren. Der übliche Ansatz sei, dass ein Re-Audit gegen die R155 höchstwahrscheinlich nach einem Jahr stattfinden werde, wenn geringfügige Beanstandungen unter Vorbehalt akzeptiert wurden.
Cybersecurity-Regeln dünnen Modellpalette aus
Die neuen Richtlinien für die Cybersicherheit in Neuwagen setzen Autohersteller unter Druck. Mehrere Konzerne haben kürzlich angekündigt, ihre Modellpalette zu lichten, um sich ein kostenintensives Aufrüsten zu sparen. Betroffen sind unter anderem der Kleinwagen Up von VW und der Transporter T6.1 sowie die Porsche-Verbrenner Macan, Cayman und Boxster.