Daniel Breschan
Patrick Smuda
UNECE R155 und ISO/SAE 21434: Cybersicherheits-Vorgaben für Fahrzeughersteller und Lieferanten
Der Automobilsektor wandelt sich durch die zunehmende Digitalisierung der Fahrzeuge. Diese Entwicklung ist entscheidend für Automatisierung und Konnektivität, bringt jedoch auch erhebliche Cybersicherheitsrisiken mit sich: Die steigende Anzahl von Zugriffsmöglichkeiten auf elektrische und elektronische Systeme gefährdet die Sicherheit der Fahrzeuge sowie die Privatsphäre der Verbraucher:innen.
Gesetzliche Vorgaben für Fahrzeughersteller
Um den neuen Bedrohungen entgegenzuwirken, hat die Arbeitsgruppe WP.29 der Wirtschaftskommission für Europa der Vereinten Nationen (UNECE) einen ersten Regelungsrahmen für Cybersicherheit im Automobilbereich geschaffen: UNECE R155.
Die Regelung konzentriert sich dabei auf die gesamte Wertschöpfungskette, von einzelnen Informationssicherheitsinfrastrukturen über Fahrzeugkomponenten bis hin zum Gesamtfahrzeug, mit dem Ziel vor Cyberbedrohungen zu schützen. Seit Juli 2022 ist diese Regelung für alle neuen Fahrzeugtypen und seit Juli 2024 für alle neu produzierten Fahrzeuge in der Europäischen Union verpflichtend.
UNECE R155: einfach erklärt
Um den Vorgaben der Regelung gerecht zu werden, benötigen Fahrzeughersteller ein umfassendes Cybersicherheitsmanagementsystem (CSMS) auf organisatorischer Ebene. Die Anforderungen an das CSMS decken dabei den gesamten Lebenszyklus sowie das gesamte Ökosystem eines Fahrzeugs ab, einschließlich Entwicklung, Produktion und den gesamten Zeitraum nach der Produktion.
Die Regelung adressiert zudem die Überwachung von Risiken und Bedrohungen sowie Verfahren zur Reaktion auf Cybersicherheits-Zwischenfälle. Die Liste relevanter Cyberbedrohungen und entsprechende Minderungsmaßnahmen sind im Anhang der UNECE R155 aufgeführt und müssen beim Aufbau von CSMS-Prozessen von Beginn an mitberücksichtigt werden.
Neben dem CSMS benötigt es zusätzlich eine Typgenehmigung für jeden Fahrzeugtyp. Die Anforderungen decken dabei sämtliche elektronische Komponenten von Fahrzeugen in der gesamten Wertschöpfungskette ab. Spezifiziert werden die Anforderungen durch den Standard ISO/SAE 21434. Dieser bietet strukturierte Vorgaben für eine cybersicherheits-konforme Gestaltung von Fahrzeugsystemen.
Auch Lieferanten sind betroffen
Verantwortlich für die Einhaltung der Anforderungen ist der Fahrzeughersteller. Er stellt die zu zertifizierende Partei dar und muss für die Typgenehmigung die UNECE Compliance gegenüber den Zulassungsbehörden nachweisen.
UNECE R155 hat aber auch Auswirkungen auf die nachgelagerten Partner in der Supply Chain. Insbesondere im Bereich der Software- und Elektroniktechnologien werden viele Systeme und Komponenten von unterschiedlichen Lieferanten entwickelt und zugekauft. Das fertige Software-System bezieht der Original Equipment Manufacturer (OEM) direkt von seinem Tier-1 Lieferanten. Dieser wiederrum kauft einzelne Module und Komponenten des Software-Systems bei weiteren Tier-2/3/… Lieferanten (aus Sicht des OEMs) zu. Aufgrund dieser engen Verzahnung in der Wertschöpfungskette werden Anforderungen vom OEM an die Lieferanten weitergereicht. Damit sind auch sie dazu aufgefordert, notwendige Vorgaben der UNECE R155 umzusetzen und ihre Fähigkeit zur cybersicherheitskonformen Produktentwicklung und -herstellung nachzuweisen.
Ein solcher Nachweis kann zum Beispiel über eine ISO/SAE 21434 Zertifizierung erfolgen. Wem die Vorgaben zu umfangreich sind, der kann auf individuelle Vereinbarungen zurückgreifen, die die Anforderungen an die Cybersicherheit der Produkte vertraglich regeln. Als neuester Zertifizierungsstandard gilt das im Juni 2024 gelaunchte VCS (Vehicle Cyber Security) Prüfschema durch die ENX Association, einem Zusammenschluss von europäischen OEMs, Zulieferern und Verbänden. OEMs und Zulieferer, die über ein TISAX Label verfügen, sollen mit ENX VCS endlich eine global einheitliche Prüfgrundlage zum Nachweis ihrer automobilen Cybersicherheit geboten werden. In der Pilotphase des ENX VCS wurden bereits einige Partnerfirmen zertifiziert und bis Ende 2024 ist eine kostenlose Registrierung für ENX VCS möglich.
Was muss getan werden?
In jedem Fall gilt: Bei Nicht-Umsetzung von CSMS-Anforderungen (und/oder fehlendem Nachweis) besteht für Zulieferer die Gefahr in Zukunft für die Beschaffung von elektronischen Komponenten und Systemen nicht mehr berücksichtigt zu werden. Um das zu vermeiden, ist eine ganzheitliche Betrachtung von Cybersicherheit in Fahrzeugsystemen erforderlich.
EFS Consulting empfiehlt folgende Maßnahmen:
- Individuelle Betroffenheit durch UNECE R155 und ISO/SAE 21434 analysieren und aktuelle Cybersicherheitsprozesse für Fahrzeugsysteme erfassen
- Zielbild für ein optimiertes CSMS definieren sowie angestrebten Anforderungsnachweis formulieren
- CSMS-Prozesse zum Schließen von Gaps implementieren
- Interne Bewertung zur Feststellung der CSMS-Readiness durchführen
- CSMS durch externe Zertifizierungsgesellschaft als Nachweis für wirksame CSMS-Prozesse und Abläufe prüfen
Bei OEMs oder Lieferanten, die bereits ein CSMS implementiert haben, geht es nun darum, den Erfolg des CSMS langfristig sicherzustellen.
Empfohlene Schritte:
- CSMS-Prozesse operationalisieren und nachhaltig in den einzelnen Unternehmensabteilungen verankern
- Synergien mit den anderen Managementsystemen (z.B. ISMS, QMS etc.) identifizieren und nutzen
- CSMS-Abläufe auf Tool-Basis automatisieren
Fazit
UNECE R155 und ISO/SAE 21434 verpflichten Fahrzeughersteller und deren Lieferanten umfassende Cybersicherheitsmanagementsysteme (CSMS) zu implementieren, die den gesamten Lebenszyklus von Fahrzeugen abdecken. Die Einhaltung dieser Vorgaben ist nicht nur für die Typgenehmigung neuer Fahrzeuge erforderlich, sondern hat auch weitreichende Auswirkungen auf die gesamte Lieferkette. Fahrzeughersteller und Lieferanten müssen diese Anforderungen erfüllen, um ihre Marktfähigkeit und Compliance in der digitalen Fahrzeugwelt zu sichern.
Mehr Informationen zum Thema befinden sich in dem EFS Consulting Whitepaper „Sichere Fahrzeuge durch UNECE R155 & ISO/SAE 21434“.
