Si­che­re Di­gi­ta­li­sie­rung im Au­to­mo­ti­ve-Sek­tor

UNE­CE R156 –
Soft­ware­up­date-Ma­nage­ment­sys­te­me und die Be­deu­tung für Lie­fe­ran­ten.

Um Fahrzeuge in Zukunft vor Angriffen zu schützen, hat die United Nations Economic Commission for Europe (UNECE) die Standards R155 und R156 entwickelt. Während die Norm R155 unter anderem ein Cybersicherheits-Managementsystem fordert, konzentriert sich R156 auf das Update-Management.

Anforderungen aus UNECE R156 für Fahrzeughersteller und Bedeutung der Regelung für die Beziehungen zu Zulieferern

Elektromobilität, autonomes Fahren, vernetzte Fahrzeuge und „Shared Mobility“ – die wesentlichen Trends in der Automobilindustrie basieren alle auf den Fortschritten in der automobilen Software- und Elektroniktechnologie. Daher gilt dieses Segment als eines der wachstumsstärksten innerhalb der Branche. Gleichzeitig erhöhen sich dadurch die Angriffsflächen für Cyberattacken erheblich.

Die Gesetzgeber reagieren darauf mit neuen Regularien. Dazu gehört die Anfang 2021 von der United Nations Economic Commission for Europe (UNECE) verabschiedete Regelung Nummer 156 zu Softwareupdate-Managementsystemen (SUMS). Sie stellt die erste gesetzlich verpflichtende Grundlage zur Implementierung einer zentralen Kontrolleinheit für Softwareupdates bei den Fahrzeugherstellern (Original Equipment Manufacturerer, OEM) dar.

Ihre Veröffentlichung geht einher mit der UNECE-Regelung Nummer 155, die sich mit Cybersecurity-Managementsystemen (CSMS) befasst. Beide Vorgaben sind seit Juli 2022 für alle neuen Fahrzeugtypen verpflichtend, ab Juli 2024 dann für sämtliche Neufahrzeuge, die in den knapp 60 Mitgliedstaaten der UNECE zugelassen werden.

Obwohl sich beide Regelungen mit der Cybersicherheit von automatisierten Fahrzeugen befassen, haben sie unterschiedliche Schwerpunkte und Ziele. Während UNECE R155 (CSMS) Standards für die Cybersicherheit und die allgemeine Softwareintegrität festlegt, konzentriert sich UNECE R156 (SUMS) spezifisch auf das Softwareupdate-Management.

Anforderungen

Sofern die OEMs Fahrzeuge in den Mitgliedstaaten der UNECE verkaufen wollen, führt zukünftig kein Weg an einer SUMS-Zertifizierung vorbei.

Inhaltlich besteht die UNECE R156 (SUMS) aus insgesamt zwölf Kapiteln. Die wesentlichen Anforderungen umfassen folgende Aspekte:

• Aufbewahrung und Schutz von SUMS-relevanten Informationen und Unterlagen
• kontinuierliche Zugänglichkeit zu Informationen und Unterlagen
• eindeutige Identifizierbarkeit von Software-(Updates) durch eine Software-Identifikationsnummer (inklusive Möglichkeit der Aktualisierung und leichte Lesbarkeit der Identifikationsnummer)
• Möglichkeit der Identifizierung von Zielfahrzeugen anhand der Software-Identifikationsnummer
• Definition der Abhängigkeiten zwischen verschiedenen Systemen
• Schutz vor Manipulation von Softwareupdates und Gewährleistung der kontinuierlichen Fahrzeugsicherheit.

Ziel des OEM muss es sein, ein SUMS aufzubauen, das eine Qualitätskontrolle, eine zuverlässige Ausführung der Updates und eine ausreichende Cybersicherheit gewährleistet.

Der vollständige Artikel, erschienen in der Fachzeitschrift kes, im Oktober 2023, ist hier verfügbar.

Die Fachzeitschrift „kes – Die Zeitschrift für Informationssicherheit“ ist das offizielle Publikationsorgan des BSI (Bundesamt für Sicherheit in der Informationstechnik in Deutschland) und behandelt sicherheitsrelevante Themen.