Das neue "VCS-Audit" ist eine Reaktion auf EU-Cybersicherheitsstandards. Es richtet sich konkret an Zulieferer. Was bedeutet das Auditprogramm für die Automobilindustrie? Ein Überblick.
Zulieferer sind nicht nur das Fundament der Automobilindustrie, sondern auch die stillen Helden, die maßgeblich zur Innovationskraft und Effizienz beitragen. Ihre Arbeit findet oft im Schatten der großen Automobilkonzerne statt, doch die Komplexität und die Bedeutung ihrer Rolle wird leider weiterhin unterschätzt. Sie navigieren durch ein dichtes Netzwerk aus Produktion und Lieferung, wo sie ständig mit neuen Herausforderungen und Vorschriften konfrontiert werden – ob von der EU oder gar den OEMs selbst. So auch in Sachen Cybersicherheit. Der Grundgedanke, weitere Sicherheits-Parameter einzuführen, ist sicher nicht verkehrt, aber was bedeuten zusätzliche Vorschriften für die Automobilindustrie?
Anpassung an EU-Cybersicherheitsstandards
Die Einführung neuer EU-Cybersicherheitsstandards, insbesondere der UNECE R 155 und R 156 sowie der ISO/SAE 21434, markiert einen Wendepunkt. Diese Regularien verändern nicht nur die Compliance-Anforderungen, sondern definieren neu, was sichere Mobilität in der Zukunft bedeutet. Für Hersteller, die essenzielle Bauteile wie Kommunikationsmodule, Sensoren und Steuergeräte herstellen, intensiviert sich die Herausforderung, da sie ihre Produkte zukunftssicher – "future proof" – gestalten müssen. Dies bedeutet, dass die Komponenten nicht nur heutigen Sicherheitsanforderungen genügen, sondern über den gesamten Lebenszyklus die Fähigkeit aufrechterhalten müssen, auf neue Bedrohungen zügig zu reagieren.
Mit dem Inverkehrbringen eines Fahrzeugs wird eine komplette Sicherheitsarchitektur aus zusammenwirkenden Komponenten in den Verkehr gebracht. Da viele Komponenten von Zulieferern stammen, sind diese für einen großen Teil der Cybersicherheit mitverantwortlich. Einige der in den Komponenten getroffenen Architekturentscheidungen sind aktuellen Trends und Ansichten unterworfen, die möglicherweise bereits in 5 Jahren sehr kritisch gesehen werden müssen. Mit jedem kritisch implementierten Aspekt erhöhen sich die technischen Schulden des Fahrzeugs bis zu einem möglichen Punkt in der Zukunft, an dem Cyberkriminelle zu einer echten Bedrohung für die Nutzer des Fahrzeugs werden können. Für diesen Fall ist es wichtig, dass die Verantwortung für kontinuierliche Cybersicherheitsaktivitäten zwischen Herstellern und Lieferanten klar geregelt ist. Dies setzt sie nicht nur technischem und operationellem Druck aus, sondern auch einem finanziellen, da die Entwicklung und Wartung sicherer Produkte erhebliche Investitionen erfordert.
Den Druck der neuen EU-Standards bekommen auch Größen wie VW und Porsche zu spüren: Volkswagen nimmt den beliebten "Bulli T6.1" und den VW Up aus dem Programm und Porsche produziert die Modelle Macan, Boxster und Cayman nur noch für den Export außerhalb Europas.
Die Komplexität der Vorschriften
Zunächst zu den Vorschriften: UNECE R 156 regelt das Management von Software-Updates (SUMS) in Fahrzeugen, um sicherzustellen, dass diese Updates sicher durchgeführt werden und die Fahrzeugfunktionen nicht negativ beeinflussen. UNECE R 155 hingegen fordert von Fahrzeugherstellern die Implementierung eines Cybersicherheitsmanagementsystems (CSMS), um die Risiken von Cyberangriffen auf Fahrzeugsysteme zu minimieren. Daraus folgt, dass auch Zulieferer der Fahrzeugkomponenten von den Herstellern in die Verantwortung genommen werden, ihre Komponenten im Rahmen eines CSMS zu entwickeln, zu produzieren und langfristig zu warten.
Zur Einhaltung dieser Regelungen hat die ENX (European Network Exchange) am 11. Juni 2024 mit dem "Vehicle Cyber Security (VCS) Audit", ein weltweit vereinheitlichtes Auditprogramm eingeführt. Die ENX ist eine Organisation, die sichere Kommunikationsnetzwerke innerhalb der Automobilindustrie fördert und den VCS-Auditprozess überwacht. Sie hat schon den einheitlichen Auditstandard für die Informationssicherheit in der Automobilindustrie "TISAX" entwickelt und bietet hier einen Rahmen, um sicherzustellen, dass Zulieferer die anspruchsvollen Cybersicherheitsstandards erfüllen. Das ENX VCS Audit richtet sich an Automobilzulieferer, die mit der Entwicklung, Produktion oder Wartung von elektrischen und elektronischen Systemen für Straßenfahrzeuge befasst sind. Es bietet standardisierte Audits des CSMS (Cyber Security Management System), indem es die Leitlinien für die Prüfung der Cybersicherheitstechnik und ISO/SAE 21434 umsetzt und den bestehenden und etablierten Audit-Rahmen der ENX Association nutzt.
Zu Beginn des Audits wird eine umfassende Bewertung der bestehenden Cybersicherheitsinfrastruktur und -praktiken des Zulieferers durchgeführt. Dabei werden sowohl die technischen Aspekte als auch die organisatorischen Prozesse genau unter die Lupe genommen, um eventuelle Schwachstellen oder Nicht-Übereinstimmungen mit den vorgeschriebenen Standards zu identifizieren. Maßgeblich hierfür sind die relevanten Projekte und Produkte von elektrischen und elektronischen Systemen für Straßenfahrzeuge, welche den Umfang der Überprüfung bestimmen. Nach der Erstbewertung folgt eine detaillierte Risikoanalyse. Ziel des VCS Audits ist, die Überprüfung der Implementierung eines Cybersecurity-Managementsystems beim Lieferanten und Prioritäten für die Implementierung von Sicherheitsmaßnahmen zu setzen und sicherzustellen, dass die kritischsten Risiken angemessen adressiert werden. Basierend auf den Ergebnissen der Risikoanalyse entwickelt der Zulieferer dann einen Maßnahmenplan, um die festgestellten Schwachstellen zu beheben und die Sicherheitsstandards zu erfüllen. Dies kann die Aktualisierung von Software, die Verbesserung von Netzwerksicherheitsmaßnahmen, die Schulung von Mitarbeitern oder die Implementierung neuer Sicherheitsrichtlinien und -verfahren umfassen. Die Notwendigkeit für solche Audits wird von den OEMs allerdings oftmals vorgegeben.
Langfristige Auswirkungen auf die Zulieferer
Langfristig gesehen müssen Zulieferer in der Automobilindustrie mit signifikanten Auswirkungen auf ihre Geschäftsmodelle rechnen, vor allem bedingt durch die Einhaltung internationaler Cybersicherheitsstandards wie UNECE R 155, R 156, ISO/SAE 21434 und VCS. Die Kosten für Compliance werden deutlich steigen, da Zulieferer regelmäßige und umfassende Audits durchführen müssen, um ihre Konformität mit diesen Standards zu demonstrieren. Diese Audits sind nicht nur einmalige Aktivitäten, sondern erfordern kontinuierlich Überprüfung und Anpassung der Cybersicherheitsmaßnahmen. Dies bedeutet, dass Zulieferer in robuste Cybersicherheitssysteme, fortgeschrittene Monitoring-Tools und regelmäßige Schulungen für ihre Mitarbeiter investieren müssen. Diese Investitionen tragen zur Erhöhung der Betriebskosten bei, sind aber unerlässlich, um Vertrauen bei OEMs und Endkunden zu schaffen und mögliche finanzielle Verluste durch Cyberangriffe zu vermeiden.
Zudem erfordert die globale Natur der Automobilindustrie, dass Zulieferer ihre Cybersicherheitsstrategien international ausrichten und harmonisieren, um unterschiedliche regulatorische Anforderungen in verschiedenen Märkten zu erfüllen. Die Komplexität der globalen Lieferketten erhöht den Druck auf Zulieferer, nicht nur ihre eigenen Systeme zu sichern, sondern auch zu gewährleisten, dass ihre Partner denselben Sicherheitsstandards folgen. Langfristig wird die Fähigkeit der Zulieferer, effektive Cybersicherheitsmaßnahmen zu implementieren und durch Audits nachzuweisen, ein entscheidender Faktor für ihren Markterfolg sein. Nur so können sie ihre Rolle als globale Zulieferer erfüllen.