Jetzt ist es amtlich: Das UNECE-Gremium WP.29 für Typenzulassungen hat Cybersecurity-Vorgaben veröffentlicht. Es geht nicht um technische Anforderungen, sondern um den Nachweis solider Ingenieurskunst.
Cybersecurity- und Softwareupdate-Managementsysteme (CSMS/SUMS) bilden das Security-Rückgrat des vernetzten Fahrzeugs. Die Zertifizierungen der Hersteller-CSMS und SUMS werden bei der Typenzulassung geprüft.
Kugler Maag Cie
Das neue Jahr kommt schneller, als man denkt: Zum Jahreswechsel treten zwei neue Regulierungsvorschriften in Kraft, die es in sich haben. Neue UN-Regelungen für Cybersecurity und Software-Updates der europäischen Regionalkommission der Vereinten Nationen richten sich an Hersteller und ihre Zulieferer von Fahrzeugelektronik. Es geht um den Nachweis, dass die Hersteller Managementsysteme etablieren und dezidierte Cybersecurity-Sicherheitsmaßnahmen durchführen. Dazu müssen in den Entwicklungsabteilungen neue Arbeitsabläufe eingeführt und bestehende Vorgehensweisen angepasst werden, ergänzt um Analysen und einer durchgängigen Dokumentation.
Security soll also nicht durch technischen Schutz allein erreicht werden, sondern durch eine methodisch-strukturierte Engineering-Praxis: Security by Design. Vom früheren Daimler-Benz-Mann Werner Niefer ist das Bonmot überliefert, Qualität müsse von Beginn an entwickelt werden statt sie nachträglich hinein zu prüfen. Genau darum geht es bei Security by Design.
Worum geht es bei den UNECE-Regulierungen?
UNECE steht für United Nations Economic Commission for Europe. Das für Europa zuständige Forum zur Harmonisierung von Zulassungsvorgaben hat Ende Juni zwei Regularien verabschiedet: eine fordert die Einrichtung eines Cybersecurity-Managementsystem (CSMS) die andere ein Software-Update-Managementsystem (SUMS) jeweils durch den Fahrzeughersteller. Damit verbunden sind jeweils neue Arbeitsabläufe, Risikoanalysen sowie Monitoring und Dokumentationen, die immer auch die Zuliefererseite einbeziehen.
Weil der Hersteller die Verantwortung für das Gesamtsystem Fahrzeug trägt, muss er die Arbeit seiner Zulieferer im Blick behalten – im Zweifel kann er keine Verantwortung abgeben. Stattdessen muss er Bedrohungen durch Risikoanalysen präventiv vorbeugen und sicherstellen, dass er das Fahrzeug mit Software-Updates sicher halten kann. Das betrifft die gesamte Elektronik mit allen Steuergeräten. Die Zusammenarbeit von Herstellern und Zulieferern wird künftig noch stärker von Assessments geprägt sein.
Die EU-Staaten sowie Japan und Südkorea haben beschlossen, diese UNECE-Vorschriften ab dem nächsten Jahr auf die meisten Straßenfahrzeuge anzuwenden: Autos, Lkws, Vans, Busse sowie Podcars, also Robotaxis. Cybersicherheit betritt damit das Feld der Homologation in einem Wirtschaftsraum, in dem jedes dritte Auto vom Band rollt.
Was ist die Verbindung zu akribischer Ingenieurskunst?
Die von dem UN-Gremium geforderten Maßnahmen zielen auf das Rückgrat der Ingenieurskunst ab: Die Regulierer bestehen darauf, Straßenfahrzeuge in einer systematischen, gezielten und geplanten Weise zu entwickeln. In einem Managementsystem soll der Fahrzeughersteller geeignete Verfahren festlegen und durch organisatorische Verantwortlichkeiten absichern. Zur Erinnerung: Es geht hier um die Voraussetzung für nationale und internationale Typenzulassungen. Ohne Nachweis sind die Fahrzeuge unverkäuflich. Eine Homologationsvorschrift geht weit über eine ISO-Norm hinaus. Letztere beschreibt den Stand der Technik, den man aus gutem Grund beachten sollte. Eine Vorschrift jedoch ist gesetzt.
Die Regulatoren der UN nehmen besonders vier Bereiche ins Visier:
1. Management von Cyberrisiken für das vernetzte Fahrzeug
2. End-to-End-Absicherung vom Projektstart bis zum Schrottplatz, um Risiken entgegenzutreten, gleich wo sie in der Wertschöpfungskette auftreten können.
3. Erkennung und Beseitigung von Cyberrisiken bei Fahrzeugen, die der Kunde bereits fährt.
4. Bereitstellung sicherer Software-Updates, ohne dass das Fahrzeug eine Werkstatt aufsuchen muss, so genannte Over-the-Air-Updates.
Managementsysteme geben den Rahmen vor
Die UNECE verpflichtet Hersteller auf ein umfassendes Cybersecurity-Managementsystem. Dieses CSMS begleitet die Entwicklungsabteilung auf Unternehmensebene kontinuierlich und unabhängig von der jeweiligen Projektphase. Robustheit beginnt – ebenso wie Update-Fähigkeit – mit der Systemarchitektur. Der CSMS-Rahmen gibt vor, Cybersecurity-Risiken schon im Fahrzeugdesign zu erkennen und abzuwehren. Das schließt auch die Testseite ein. Regelmäßige Assessments belegen die Wirksamkeit der Risikoabwehr, auch lieferantenseitig.
Den Entwicklungsprozess ergänzen künftig auch ein systematisches Monitoring von tatsächlichen Cyberattacken sowie forensische Analysen, bezogen auf den Fahrzeugtyp des Projekts. Die Zulassungsbehörde erwartet überdies regelmäßige Berichte. In der EU gilt die Zulassungsvorgabe für Neuentwicklungen ab Sommer 2022 und zwei Jahre später für jedes Fahrzeug, das vom Band rollt.
Die zweite Regulation fordert Hersteller auf, ein Software-Update-Managementsystem aufzusetzen. Hiermit schafft die UNECE erstmals die gesetzliche Grundlage für Over-the-Air-Updates. Im SUMS-Rahmen definieren Hersteller Arbeitsabläufe und Mechanismen, um Steuergeräte für neue Straßenfahrzeuge sowie Landmaschinen updatefähig zu entwickeln. Hier kommen auch Datenschutzaspekte zum Tragen. Immanente Update-Fähigkeit erwartet die UNECE ebenfalls bis 2024.
Jetzt müssen auch die Hersteller zum TÜV
Bevor die Produktion loslegen kann, braucht der Hersteller eine Typenzulassung vom Kraftfahrbundesamt. Künftig muss er nachweisen, dass er seine Managementsysteme – CSMS wie SUMS – in der Praxis anwendet und die geforderten Ergebnisse liefern kann, Stichwort Update-Fähigkeit. Unabhängige Zertifizierungsstellen nehmen alle drei Jahre die Hersteller-CSMS und -SUMS unter die Lupe. Nicht nur die Fahrzeugtechnik entscheidet jetzt über die Zulassung, sondern auch die Ingenieurskunst.
Kein Fahrzeughersteller wird sich daher auf Zusagen verlassen – damit die Sicherheitskultur der Zulieferer kein Lippenbekenntnis bleibt, werden Hersteller noch öfter in deren F&E-Abteilungen zum Assessment aufschlagen. Die beste Vorbereitung ist handwerklich fundiertes Engineering: reife Arbeitsabläufe entsprechend den Automotive SPICE-Anforderungen und ein in der Projektpraxis gelebtes Qualitätsmanagement gemäß IATF 16949 – kein fürs Assessment dekorierter Papiertiger. Ein robustes Konfigurationsmanagement wird zur Pflicht genauso wie die Einhaltung klarer Kodierungsstandards und Designregeln. So kommen wir wieder zur gleichen Erkenntnis: Cybersecurity beginnt mit dem Design beginnt mit sauberer Ingenieurskunst.