Um den Weg für die Massenfertigung und -auslieferung von vernetzten Fahrzeugen zu ebnen hat die UNECE ganz aktuell UN-Regelungen zu Cybersicherheit und für Cyber Security Management Systeme (CSMS) veröffentlicht. UNECE WP.29 setzt neue Standards in der Automobilindustrie. Die neuen Regularien gelten nicht nur für PKW sondern auch für Transporter, LKW, Busse, leichte vierrädrige Fahrzeuge, wenn sie mit automatisierten Fahrfunktionen ab Stufe 3 ausgestattet sind, sowie Anhänger wenn sie mit mindestens einem elektronischen Steuergerät ausgestattet sind, und treten Anfang 2021 in Kraft. 

Zunehmende Vernetzung im Automobilsektor

Für die smarte Mobilität der Zukunft sind Automatisierung, Vernetzung und Digitalisierung von Fahrzeugen die Basis. Durch die zunehmende Vernetzung und Digitalisierung von Fahrzeugsystemen steckt die Automobilindustrie schon seit Jahren in einem tiefgreifenden Wandel. Die Software von Fahrzeugen enthält heute etwa ein vierfaches mehr an Codezeilen in der Software, als diejenige eines Kampfflugzeugs. Der Softwarecode kann aktuell schon bis zu 100 Millionen Zeilen lang sein und wird voraussichtlich bis 2030 auf 300 Millionen Codezeilen anwachsen. Hinzu kommen etwa 150 elektronische Steuereinheiten. 

Mit der zunehmenden Vernetzung vervielfältigen sich die Angriffsflächen und somit die Cyber-Risiken stetig. Zahlreiche Hackerangriffe, bei denen böswillig auf elektronische Systeme und Daten der Fahrzeuge zugegriffen und somit die Fahrzeugsicherheit sowie die Privatsphäre der Fahrzeugbesitzer gefährdet wurden, sind in den Medien international publik gemacht worden. Die Automobilindustrie hat schon in den vergangenen Jahren darauf reagiert und sich intensiv mit der Cybersicherheit der neuen Systeme auseinandergesetzt. Nichtsdestoweniger stellen die zwei neuen Regularien der UN die Automobilindustrie jetzt vor erhebliche Herausforderungen.  

Klarheit durch verpflichtende Regularien – WP.29

Jetzt ist es nicht mehr nur eine freiwillige Selbstverpflichtung der Automobilindustrie, diesen Risiken zu begegnen sondern ein gesetzliches Erfordernis mit klaren Leistungs- und Prüfungsanforderungen für Fahrzeughersteller. 

Die neuen UN-Regelungen, die gestern vom Weltforum für die Harmonisierung der Fahrzeugvorschriften der UNECE angenommen wurden, sind die ersten international verbindlichen Normen in diesem Bereich überhaupt, die vorschreiben, wie den Cyber-Risiken über die gesamte automobile Wertschöpfungskette hinweg zu begegnen ist. 

Sie erfordern die Umsetzung von verschiedenen Maßnahmen in vier Disziplinen um die Cyber-Risiken im Fahrzeugsystem und in ganzen Fahrzeugflotten zu managen:

  • Ganzheitliches “End-to-End”- Risikomanagement 
  • Minimierung von Risiken entlang der gesamten Wertschöpfungskette beginnend bereits in der Designphase
  • Erkennen und Reagieren auf Vorfälle im Bereich der Security in der gesamten Fahrzeugflotte. 
  • Bereitstellung von “Over-the-Air” Software-Updates, die die Fahrzeugsicherheit über den gesamten Lebenszyklus durch Softwareaktualisierung optimalerweise in Echtzeit ermöglichen

Japan plant, diese Vorschriften unmittelbar ab Inkrafttreten umzusetzen. 

Die Republik Korea geht zweistufig vor: In der ersten Jahreshälfte 2020 werden die Bestimmungen der Verordnung zur Cybersicherheit in eine nationale Richtlinie gegossen. Dann folgt in der zweiten Stufe die Umsetzung in die Praxis.

Ab Juli 2022 wird die neue Verordnung zur Cybersicherheit in der Europäischen Union für alle neuen Fahrzeugtypen verbindlich. Ab Juli 2024 dann für alle Neufahrzeuge.

Es steht zu erwarten, dass diese UNO-Regelungen weltweit unter den 54 Vertragsparteien des UNECE-Übereinkommens von 1958 und darüber hinaus auf breiter Basis in der Automobilindustrie angenommen werden.  

Die Notwendigkeit, Automotive Cyber Security zu garantieren, wird zu namhaften Investitionen in den kommenden Jahren führen. Jüngsten Studienergebnissen zufolge können sich diese im Zeitraum 2020 bis 2030 auf etwa 10 Milliarden USD verdoppeln. Induziert durch die neuen Anforderungen der UN zur Cybersicherheit und CSMS, sind insbesondere aus dem IT-Sektor technische Innovationen zu erwarten. Auch Startups und spezialisierten Nischenunternehmen könnte hierbei eine bedeutende Rolle zukommen, und auch bei Zulieferern ergeben sich neue wirtschaftliche Möglichkeiten. 

Automotive Cyber Security – Rahmenbedingungen WP.29

Die neuen UNO-Regelungen stellen eine sichere Basis für die nachfolgend genannten Maßnahmen betreffend der Cyber Security in der Automobilindustrie dar:

  • Identifizierung und Handling von Cyber-Security Risiken im Fahrzeugentwicklungsprozess 
  • Absicherung der notwendigen Cyber-Security Test, wie z.B. Penetration Tests
  • Absicherung laufender Risikoassessments
  • Überwachung von Cyber-Attacken um diese idealerweise in Echtzeit abzuwehren
  • Analyse von erfolgreichen oder versuchten Cyber-Attacken
  • Beurteilung, ob Cyber-Sicherheitsmaßnahmen angesichts neuer Bedrohungen und Schwachstellen weiterhin wirksam sind

Die Grundsätze zur Typgenehmigung nach dem Abkommen von 1958 erfordern weiter, dass die Hersteller vor der Zulassung von Fahrzeugtypen nachweisen müssen, folgenden Anforderungen zu entsprechen:

  • Das Cyber Security Management System ist vorhanden und seine Anwendung auf Fahrzeuge im Straßenverkehr ist verfügbar
  • Analyse der Risikobewertung, Identifizierung der kritischen Punkte
  • Maßnahmen zur Risikominimierung werden identifiziert
  • Nachweis durch Tests, dass die Maßnahmen zur Risikominderung wie beabsichtigt funktionieren
  • Maßnahmen zur Erkennung und Verhinderung von Cyber-Angriffen sind vorhanden
  • Maßnahmen zur Unterstützung der Datenforensik sind vorhanden
  • Überwachung der für den Fahrzeugtyp spezifischen Aktivitäten
  • Berichte über Überwachungsaktivitäten werden an die zuständige Homologationsbehörde übermittelt.
  • Das Software-Update-Managementsystem ist vorhanden und seine Anwendung auf Fahrzeuge im Straßenverkehr ist verfügbar
  • Schutz des SU-Liefermechanismus und Gewährleistung von Integrität und Authentizität
  • Software-Identifikationsnummern müssen geschützt werden
  • Die Software-Identifikationsnummer ist vom Fahrzeug aus lesbar

Für Over-The-Air Software-Aktualisierungen:

    • Wiederherstellungsfunktion bei fehlgeschlagener Aktualisierung
    • Update nur bei ausreichender Leistung ausführen
    • Sichere Ausführung sicherstellen
    • Benutzer über jede Aktualisierung und deren Abschluss informieren
    • Sicherstellen, dass das Fahrzeug in der Lage ist, das Update durchzuführen
    • Benutzer informieren, wenn ein Mechaniker benötigt wird.

Die UNO-Regelung bietet einen Rahmen für den Automobilsektor, um die notwendigen Prozesse dafür zu schaffen:

  • Aufzeichnung der für einen Fahrzeugtyp relevanten Hardware- und Softwareversionen
  • Identifizieren der für die Typgenehmigung relevanten Software
  • Verifizierung, dass die Software auf einer Komponente das ist, was sie sein sollte
  • Identifizieren von Abhängigkeiten, insbesondere im Hinblick auf Software-Aktualisierungen
  • Identifizieren von Fahrzeugzielen und Verifizieren ihrer Kompatibilität mit einem Update
  • Beurteilung, ob eine Software-Aktualisierung die Typgenehmigung oder gesetzlich festgelegte Parameter beeinflusst (einschließlich Hinzufügen oder Entfernen einer Funktion)
  • Beurteilung, ob eine Aktualisierung die Sicherheit oder das sichere Fahren beeinträchtigt
  • Informieren der Fahrzeugbesitzer über Aktualisierungen
  • Dokumentieren aller oben genannten Punkte

Ob alle Anforderungen erfüllt sind, wird von nationalen technischen Dienstleistern wie z.B. der DEKRA oder Homologationsbehörden geprüft. 

Magility als Systemintegrator für Cyber Security Management Systeme

Wir von magility wirken als Systemintegrator für CSMS für mittelständische Betriebe im deutschen und europäischen Markt und sind durch unsere Partnerschaften mit Technologieunternehmen wie Argus Cyber Security, einem der international bekanntesten Unternehmen für Automotive Cyber Security, und dem unabhängigen Zertifizierungsdienstleister DEKRA, bestens aufgestellt.

So können wir unsere Kunden bei der Implementierung eines Cyber Security Management Systems umfassend begleiten. In den letzten Jahren haben wir von magility uns als Experten für alle Fragen und Lösungen rund um das Thema Automotive Cyber Security und CSMS am Markt etabliert und zahlreiche Projekte mit namhaften Unternehmen aus der Automotive-Branche umgesetzt. 

Wie sehen Sie Ihr Unternehmen aktuell aufgestellt bezüglich Cyber Security? Kontaktieren Sie uns gerne für einen fachlichen Austausch, wir unterstützen Sie mit einer ersten Bewertung Ihrer Risikosituation. Dabei begleiten wir ihr Unternehmen bei der Implementierung eines CSMS unter Einbezug der neuen Regularien und Anforderungen.