Sichere Digitalisierung im Automotive-Sektor (2) : UNECE R156 – Softwareupdate-Managementsysteme und die Bedeutung für Lieferanten

Elektromobilität, autonomes Fahren, vernetzte Fahrzeuge und „Shared Mobility“ – die wesentlichen Trends in der Automobilindustrie basieren alle auf den Fortschritten in der automobilen Software- und Elektroniktechnologie. Daher gilt dieses Segment als eines der wachstumsstärksten innerhalb der Branche [1]. Gleichzeitig erhöhen sich dadurch die Angriffsflächen für Cyberattacken erheblich. Die Gesetzgeber reagieren darauf mit neuen Regularien. Dazu gehört die Anfang 2021 von der United Nations Economic Commission for Europe (UNECE) verabschiedete Regelung Nummer 156 zu Softwareupdate-Managementsystemen (SUMS). Sie stellt die erste gesetzlich verpflichtende Grundlage zur Implementierung einer zentralen Kontrolleinheit für Softwareupdates bei den Fahrzeugherstellern (Original Equipment Manufacturerer, OEM) dar. Ihre Veröffentlichung geht einher mit der UNECE-Regelung Nummer 155, die sich mit Cybersecurity-Managementsystemen (CSMS) befasst. Beide Vorgaben sind seit Juli 2022 für alle neuen Fahrzeugtypen verpflichtend, ab Juli 2024 dann für sämtliche Neufahrzeuge, die in den knapp 60 Mitgliedstaaten der UNECE zugelassen werden.

Obwohl sich beide Regelungen mit der Cybersicherheit von automatisierten Fahrzeugen befassen, haben sie unterschiedliche Schwerpunkte und Ziele. Während UNECE R155 (CSMS) Standards für die Cybersicherheit und die allgemeine Softwareintegrität festlegt, konzentriert sich UNECE R156 (SUMS) spezifisch auf das Softwareupdate-Management. Die konkreten Anforderungen an ein CSMS wurden bereits in der letzten Ausgabe der ausführlich beschrieben [2]. Dieser Beitrag fokussiert sich auf die UNECE R156 (SUMS).

Anforderungen

Sofern die OEMs Fahrzeuge in den Mitgliedstaaten der UNECE verkaufen wollen, führt zukünftig kein Weg an einer SUMS-Zertifizierung vorbei. Der Genehmigungsprozess sieht vor, dass zunächst das Softwareupdate-Managementsystem beim Fahrzeughersteller durch die Genehmigungsbehörde und/oder einem technischen Dienst (z. B. TÜV, Dekra) bewertet wird. Bei erfolgreichem Nachweis aller notwendigen Verfahren stellt die Genehmigungsbehörde eine Konformitätsbescheinigung für das Managementsystem aus, die maximal drei Jahre gültig ist. In einem zweiten Schritt muss der Fahrzeughersteller einen Antrag auf Typgenehmigung für ein bestimmtes Fahrzeug einreichen, inklusive der Beschreibung des jeweiligen Fahrzeugtyps und der bereits ausgestellten Konformitätsbescheinigung für das Managementsystem. Ist die Prüfung erfolgreich, erteilt die Genehmigungsbehörde in weiterer Folge die Fahrzeugzulassung.

Inhaltlich besteht die UNECE R156 (SUMS) aus insgesamt zwölf Kapiteln. Die wesentlichen Anforderungen umfassen folgende Aspekte:

• Aufbewahrung und Schutz von SUMS-relevanten Informationen und Unterlagen
• kontinuierliche Zugänglichkeit zu Informationen und Unterlagen
• eindeutige Identifizierbarkeit von Software-(Updates) durch eine Software-Identifikationsnummer (inklusive Möglichkeit der Aktualisierung und leichte Lesbarkeit der Identifikationsnummer)
• Möglichkeit der Identifizierung von Zielfahrzeugen anhand der Software-Identifikationsnummer
• Definition der Abhängigkeiten zwischen verschiedenen Systemen
• Schutz vor Manipulation von Softwareupdates und Gewährleistung der kontinuierlichen Fahrzeugsicherheit.

Ziel des OEM muss es sein, ein SUMS aufzubauen, das eine Qualitätskontrolle, eine zuverlässige Ausführung der Updates und eine ausreichende Cybersicherheit gewährleistet. Dabei ist eine langfristige Perspektive notwendig, da nun eine lebenslange Verpflichtung zur Softwarepflege vorliegt – auch und gerade über den „Start of Production“ (SOP) hinaus. Bei der Umsetzungsplanung für ein SUMS lohnt sich folglich eine umfassende Betrachtung entlang der gesamten Zeitachse [3].

Begleitung durch ISO 24089

Wenngleich die Regelung der UNECE einen organisatorischen Rahmen für die sichere Durchführung von Softwareupdates festlegt, hilft sie nur bedingt bei der Umsetzung der Anforderungen auf operativer Ebene. Hier setzt die neue Norm 24089 der International Organization for Standardization (ISO) an. Sie befasst sich mit den Kernfragen bei der Softwareentwicklung und gibt gute Hinweise, wie OEMs ein Softwareupdate-Managementsystem auf einer praktischeren Ebene einrichten können.

Die ISO 24089 spezifiziert die Anforderungen und Empfehlungen für Softwareupdate-Engineering für Straßenfahrzeuge sowohl auf Organisations- als auch auf Projektebene. Sie gelten gleichermaßen für Gesamtfahrzeuge, Fahrzeugsysteme, elektronische Steuergeräte (ECUs), die IT-Infrastruktur von Fahrzeugen sowie für die Bereitstellung von Softwareupdate-Paketen nach der Erstentwicklung. ISO 24089 gilt außerdem für alle Organisationen, die an der Entwicklung von Software und Softwareupdates für Straßenfahrzeuge beteiligt sind, sowohl für Fahrzeughersteller als auch für Zulieferunternehmen und deren Tochtergesellschaften oder Partner. Im Vergleich zur ursprünglichen von der UNECE veröffentlichten Regelung ist die ISO-24089-Norm deutlich detaillierter und definiert spezifische Arbeitspakete, die von den Fahrzeugherstellern für jedes Element erstellt werden müssen. Im Wesentlichen fokussiert sie sich dabei auf die folgenden drei Anforderungsblöcke:

• Organisatorische und projektbezogene Anforderungen: Die Anforderungen auf organisatorischer Ebene sind erfüllt, wenn ein Unternehmen spezifische Regeln und Prozesse für Softwareupdates eingeführt hat, die auch Aspekte des Qualitäts- und Funktionssicherheitsmanagements umfassen. Ebenso wichtig ist es, dass Unternehmen einen kontinuierlichen Verbesserungsprozess für alle Aktivitäten in Zusammenhang mit Softwareupdate-Engineering einführen und aufrechterhalten. Bei den Anforderungen auf Projektebene handelt es sich hingegen um zeitlich begrenzte Aktivitäten wie die Planung von Softwareupdate-Projekten und die Verwaltung von Informationen.
• Anforderungen auf Ebene der IT-Infrastruktur im Unternehmen und der Fahrzeugsysteme: Auf IT-Infrastrukturebene müssen die Automobilhersteller und -zulieferer nachweisen, dass sie über die entsprechenden Funktionstechnologien zur Unterstützung von Softwareupdate-Kampagnen verfügen. Dazu gehören zum Beispiel Techniken zur Verteilung, Kommunikation, Informationsspeicherung und Gewährleistung der Cybersicherheit von Softwareupdates. Im Gegensatz dazu gelten die Anforderungen auf Fahrzeug- und Fahrzeugsystemebene nur für Funktionen im Fahrzeug selbst. Sie bilden auf technologischer Ebene die Grundlage für sichere Software-Aktualisierungsvorgänge in Fahrzeugen.
• Anforderungen an Softwareupdate-Pakete und -kampagnen: Die Norm regelt auch die Anforderungen an die Zusammenstellung von Softwareupdate-Paketen sowie die Bestimmung von Zielfahrzeugen und Fahrzeugsystemen. Das bedeutet vor allem, dass die Kompatibilität mit der bereits im Fahrzeug vorhandenen Software gegeben sein muss. Außerdem müssen Update-Pakete vor ihrer Freigabe überprüft und validiert werden. Die Anforderungen an die Softwareupdate-Kampagne beschreiben wiederum den nachfolgenden Prozess der Verteilung des Update-Paketes und die Bereitstellung relevanter Informationen an das Fahrzeug beziehungsweise den Fahrzeughalter.

Relevanz für Lieferanten

In jedem Fall ist der OEM für die Einhaltung aller Anforderungen verantwortlich. Er ist die zu zertifizierende Partei und muss im Rahmen der Fahrzeugtypzulassung nachweisen, dass das Risiko einer Cyberattacke über die Fahrzeugsoftware möglichst gering ist. Herausfordernd kommt hier hinzu, dass im Bereich der Elektronik- und Softwarekomponenten ein großer Teil des Volumens von externen Lieferanten bezogen wird. Da die Verantwortung für eingekaufte Software beim OEM liegt, müssen konkrete Maßnahmen und Nachweise vereinbart und festgelegt werden, um die Einhaltung der Vorschriften durch den Lieferanten sicherzustellen. Auch im Hinblick auf eine Updatepflicht während des gesamten Fahrzeuglebenszyklus ist eine viel engere prozessuale Zusammenarbeit zwischen den OEMs und ihren Zulieferern erforderlich [3].

Mithilfe von Standards und anderen Zertifizierungen wie ISO 27001 oder TISAX können Zulieferunternehmen nachweisen, dass sie über ein entsprechendes Level an Informationssicherheit verfügen. Im Gegensatz zu diesen allgemeinen Informationssicherheitsstandards beinhaltet UNECE R156 allerdings deutlich spezifischere Anforderungen an die Cybersicherheit von Softwareupdates auf Fahrzeugebene. Damit einhergehend verschärfen sich auch die Anforderungen an die Zulieferer in diesem Umfeld.

Im Rahmen der SUMS-Zertifizierung wird sowohl das Softwareupdate-Managementsystem des Fahrzeugherstellers als auch das fertige Fahrzeug im Rahmen der Typgenehmigung geprüft. Die oben beschriebene Verzahnung von OEM und Lieferant bedeutet aber auch, dass der Zulieferer (zumindest) gewisse Vorgaben einhalten muss. Darauf wird indirekt in Kapitel 3.4 der UNECE-Regelung Nr. 156 zu SUMS hingewiesen: „Falls an den Beschreibungen […] Eigentumsrechte bestehen oder […] Know-how des Herstellers oder seiner Zulieferer preisgegeben wird, übermitteln der Hersteller oder sein Zulieferer Informationen […].“

Auch die begleitende Norm ISO 24089 bezieht sich an mehreren Stellen auf das Thema Lieferanten. So heißt es etwa in Kapitel 5.3.2.2, dass sich der OEM für Aktivitäten während eines Softwareupdate-Projekts „[…] mit seinen Lieferanten darüber beraten kann, welche Klauseln dieses Dokuments für die Arbeit des Lieferanten gelten.“ In Kapitel 5.3.4.1 unter Anmerkung 1 der ISO 24089 liest man weiter: „Die Organisation, die Software an Fahrzeuge verteilt, kann ein OEM, ein Zulieferer oder ein anderes autorisiertes Unternehmen sein.“

Noch deutlicher wird das Thema im Rahmen der UNECE-Regelung Nr. 155 (CSMS) aufgegriffen. Im zugehörigen ISO-Standard 21434 widmet sich zum Beispiel das gesamte Kapitel 7 dem cybersicherheitstechnischen Umgang mit Lieferanten. In der Regelung selbst wird in Absatz 7.2.2.5 festgehalten: „Der Fahrzeughersteller muss […] darlegen, wie sein CSMS mit bestehenden […] Abhängigkeiten mit Zulieferern […] umgeht.“ Obwohl es sich dabei um eine andere Regelung der UNECE handelt, ist davon auszugehen, dass solche Inhalte in ähnlichem Umfang auch für die UNECE R156 (SUMS) gelten.

Framework für SUMS-Compliance bei Lieferanten

Folglich müssen sich die OEMs Gedanken darüber machen, wie sie die Einhaltung von SUMS bei ihren Zulieferern sicherstellen können. Zu diesem Zweck schlagen die Autoren dieses Beitrags ein schrittweises Vorgehen für Unternehmen vor, um herauszufinden, welche Art von Vertragsbeziehung mit ihren Lieferanten für eine erfolgreiche Zertifizierung nach UNECE R156 erforderlich ist. Im Wesentlichen enthält das Vorgehensmodell vier Kernfragen, die OEMs für sich beantworten müssen. Abhängig von den Antworten ergeben sich am Ende die entsprechenden Handlungsnotwendigkeiten. Die folgenden vier Fragen bilden die Grundlage des Vorgehensmodells:

• Um welche Art von Lieferant handelt es sich?
• Werden Bauteile und Komponenten mit bereits vorinstallierter Software bezogen?
• Verfügt der Lieferant bereits über IT-Sicherheitszertifizierungen?
• Handelt es sich bei den bezogenen Komponenten oder IT-Dienstleistungen um sicherheitskritische Systeme?

Lieferantentyp

Allgemeine Aussagen über die Relevanz der Regelung für Zulieferunternehmen oder für das Vertragsverhältnis zwischen OEM und Zulieferer sind schwierig. Vielmehr bedarf es einer schrittweisen Beurteilung der individuellen Situation. Das bedeutet in erster Linie die Beantwortung der Frage, welche Art von Lieferanten beteiligt sind. Dabei unterscheidet man zwischen Zulieferern von Bauteilkomponenten und Lieferanten im IT-Bereich.

Erstere beliefern die Fahrzeughersteller mit Komponenten, die für die Fertigstellung des Fahrzeugs notwendig sind. Zulieferer im IT-Bereich sind Unternehmen, die für den OEM als Entwicklungs- oder Supportdienstleister im IT-Umfeld tätig sind. Dazu gehören zum Beispiel Anbieter von Softwarelösungen, die vom OEM explizit mit der Erstellung einer bestimmten Dienstleistung beauftragt werden. In diesem Fall ist es immer notwendig, eine laufende Überprüfung der Einhaltung der Anforderungen an die Informationssicherheit durchzuführen. Bei Zulieferern von Teilen und Komponenten müssen die OEMs vor allem berücksichtigen, ob die zugekauften Komponenten bereits mit installierter Software geliefert werden oder nicht.

Bauteile und Komponenten mit installierter Software

Wie bereits erwähnt, versorgen Teilelieferanten die Fahrzeughersteller mit Bauteilen, die für die Fertigstellung des Fahrzeugs notwendig sind. In der einfachsten Form beliefern sie den OEM mit „Rohteilen“ ohne Software (z. B. Steuergerät ohne Software). Diese spielt der OEM anschließend selbst auf, womit lediglich die internen Regelungen zu SUMS eingehalten werden müssen.Die UNECE-Verordnung hat keine Auswirkung auf die Beziehung zwischen OEM und Zulieferer.

Anders verhält es sich bei Lieferanten, die Bauteile mit bereits aufgespielter Software an den OEM liefern (z. B. fertig bestückte Steuergeräte). In diesem Fall ist die Eignung des Lieferanten in Hinblick auf seine SUMS-Prozesse sehr wohl zu berücksichtigen. Gleiches gilt für Auftragshersteller, die komplette Fahrzeugkomponenten liefern. Auch hier muss der OEM überprüfen, inwieweit der Zulieferer in der Lage ist, die Anforderungen an die Informations- und Cybersicherheit zu erfüllen. Eine Möglichkeit ist die Überprüfung bereits vorhandener Informationssicherheitszertifikate.

Bestehende Informationssicherheitszertifizierungen

Sofern die entsprechenden Zertifikate vorhanden sind, stellen sie die einfachste Möglichkeit dar, die SUMS-Konformität von Lieferanten zu gewährleisten. Wichtig sind vor allem die beiden allgemeinen Informationssicherheits-Standards ISO 27001 und TISAX. Wie bereits erwähnt, bilden sie die Grundlage für jede Art der Zusammenarbeit mit den meisten OEMs.

Noch besser ist in dieser Hinsicht eine Lieferantenzertifizierung nach der neuen ISO 24089, die für alle Organisationen gilt, die an der Entwicklung von Software-Updates für Straßenfahrzeuge beteiligt sind (siehe Abschnitt oben). Darüber hinaus kann auch eine ISO-21434-Zertifizierung des Lieferanten ein guter Nachweis für die Einhaltung der SUMS-Anforderungen sein. Obwohl es sich dabei um den begleitenden Standard zu UNECE R155 (CSMS) handelt, sind die Inhalte der ISO 21434 auf bestimmte, meist prozessbezogene Anforderungen an ein SUMS übertragbar.

Die genannten und weitere Normen und Zertifizierungen können einem  Lieferanten helfen, seine Fähigkeiten in den Bereichen Informationssicherheit und Softwareupdate-Management nachzuweisen. Verfügt der Lieferant jedoch nicht oder nur in unzureichendem Maß über solche Zertifikate, müssen zusätzliche vertragliche Vereinbarungen getroffen werden. Außerdem müssen OEMs prüfen, ob die eingekauften Komponenten oder IT-Dienstleistungen einen sicherheitsrelevanten Einfluss auf das Fahrverhalten haben.

Sicherheitskritische Bauteile und IT-Dienstleistungen

Gehen die Anforderungen an die Lieferanten über ein gewisses Maß hinaus, reicht der alleinige Nachweis  von Standards und Normen mit Bezug zur Informationssicherheit nicht mehr aus. In diesen Fällen sind weitere individuelle Richtlinien mit dem Lieferanten vertraglich zu vereinbaren. Dieses Vorgehen ist dann relevant, wenn es sich zum Beispiel um Bauteile mit sicherheitsrelevantem Einfluss auf das Fahrzeugverhalten handelt.

Während eine ISO-24089- oder TISAX-Zertifizierung eines Lieferanten durch einen externen Auditor durchgeführt wird, muss der OEM selbst die Einhaltung solcher individuellen vertraglichen Vereinbarungen kontrollieren. Ein solches Recht zur eigenständigen Durchführung von stichprobenartigen Kontrollen ist in der Regel in den allgemeinen Einkaufsbestimmungen eines Fahrzeugherstellers festgehalten. Demnach kann der OEM jederzeit unangekündigt Einblick in die Prozesse des Lieferanten nehmen, um sich von der Einhaltung der vereinbarten SUMS-Richtlinien zu überzeugen.

Haben die betrachteten Komponenten oder IT-Dienstleistungen hingegen keinen sicherheitsrelevanten Einfluss auf das Fahrverhalten, ist der Nachweis mit bestehenden Informationssicherheitszertifikaten ausreichend. In diesem Fall sind keine weiteren einzelvertraglichen Vereinbarungen erforderlich.

Fazit

Die Verabschiedung der Regelung Nr. 156 der UNECE ist ein weiterer wichtiger Schritt zur Absicherung von Softwareaktualisierungen gegen Cyberangriffe. Mit der verpflichtenden Umsetzung für alle neu produzierten Fahrzeuge bis spätestens Mitte des Jahres 2024 ist es für die Automobilhersteller höchste Zeit, mit der Implementierung eines Softwareupdate-Managementsystems zu beginnen.

Um das zu erreichen, müssen die Unternehmen mehrere Schritte durchlaufen. Zunächst ist es erforderlich, dass sie sich mit der Verordnung selbst näher auseinandersetzen. Die alleinige Betrachtung der neuen UNECE-Regelung zu SUMS stellt die Automobilhersteller jedoch vor Schwierigkeiten bei der Umsetzung der Anforderungen auf operativer Ebene. Es ist daher ratsam, sich weitere Standards und Normen im SUMS-Umfeld näher anzusehen, allen voran die ISO 24089 als begleitende ISONorm zur UNECE R156.

Betrachtet man die Lieferkette in der Automobilindustrie, so stellt man fest, dass viele elektrische und elektronische Komponenten extern von verschiedenen Lieferanten bezogen werden. Infolgedessen müssen die Unternehmen die Fähigkeiten ihrer Zulieferer im Bereich der Informationssicherheit nicht nur einmalig bewerten, sondern auch kontinuierlich überwachen. ISO 27001, ISO 24089 und TISAX bieten eine etablierte Methode für Lieferanten, um den Auftraggebern das Niveau ihrer Informationssicherheit und Software-Entwicklungsfähigkeiten nachzuweisen. Mit dem Inkrafttreten der neuen UNECE-Verordnung zu SUMS steigen die Anforderungen an die Lieferanten in diesem Bereich weiter an.

Das in diesem Beitrag beschriebene Vorgehensmodell dient als Leitfaden für OEMs zur Überprüfung und Sicherstellung der SUMS-Compliance bei ihren Lieferanten. Je nach Art der Lieferantenbeziehung müssen sie bereits zu Beginn des Fahrzeuglebenszyklus darauf achten, dass die Fähigkeit des Lieferanten zur Einhaltung der SUMS-Anforderungen gegeben ist. Im Optimalfall verfügt der Lieferant über anerkannte Standards, die seine Fähigkeit zum sicheren Umgang mit Softwareupdates sowie generell seine Informationssicherheit nachweisen. Im Rahmen von vertraglichen Vereinbarungen sind zudem in bestimmten Fällen zusätzliche Anforderungen an die Lieferanten seitens der OEMs festzuhalten.

Daniel Breschan ist Consultant, Dr.-Ing. Wolfgang K. Walter ist Engagement Manager im Bereich Informationssicherheit, IT-und Cyber-Security bei der EFS Unternehmensberatung GmbH

Literatur

[1] Ondrej Burkacky, Johannes Deichmann, Jan Paul Stein, Automotive software and electronics 2030 – Mapping the sector’s future landscape, McKinsey & Company, 2019

[2] Patrick Smuda, Wolfgang Walter, Sichere Digitalisierung im Automotive-Sektor (1), UNECE R155 – Cybersicherheits-Managementsysteme als Erfordernis in der digitalisierten Zukunft, # 4, August 2023 [3] Andreas Herzig, Anke Guderian, Das Fahrzeug als mobiles Endgerät: Herausforderung „Software Update Management“, Deloitte, 2021