Sichere Digitalisierung im Automotive-Sektor (1) : UNECE R155 – Cybersicherheits-Managementsysteme als Erfordernis der digitalisierten Zukunft
Um den Herausforderungen der fortschreitenden Digitalisierung zu begegnen, hat die United Nations Economic Commission for Europe (UNECE) einen rechtlichen Rahmen entwickelt, der den Schutz kritischer Infrastrukturen im Kontext des internationalen Handels in der Automobilindustrie gewährleisten soll – und sicherlich auch auf andere Branchen ausstrahlen kann. Um die Anforderungen dieser Regelung umzusetzen, wird unter anderem ein Cybersicherheits-Managementsystem (CSMS) erforderlich sein. Dieses System soll als effektives Instrument zur Umsetzung von Sicherheitsmaßnahmen und zur Durchführung von Risikomanagement verwendet werden, um zukünftig Fahrzeuge vor Cyberangriffen zu schützen.
Aufgrund des zunehmenden digitalen Fortschritts im Automobilsektor vollzieht sich derzeit ein umfassender Wandel. Die steigende Digitalisierung spielt eine wesentliche Rolle bei der Automatisierung, Konnektivität und gemeinsamen Nutzung von Fahrzeugen. Beispielsweise verfügten im Jahr 2020 hergestellte Fahrzeuge über bis zu 150 elektronische Steuergeräte und etwa 100 Millionen Zeilen an Softwarecode – bis 2030 wird erwartet, dass diese Zahl auf 300 Millionen Zeilen ansteigen wird [1]. Diese Entwicklung birgt erhebliche Gefahren für die Cybersicherheit, da sich immer mehr Möglichkeiten eröffnen, um auf elektronische Systeme und Daten zuzugreifen. Das kann sowohl die Fahrzeugsicherheit als auch die Privatsphäre der Verbraucher gefährden.
Eine Arbeitsgruppe der United Nations Economic Commission for Europe (UNECE), das World Forum for Harmonization of Vehicle Regulations (WP.29), hat kürzlich den ersten Regelungsrahmen für die Cybersicherheit im Automobilsektor entwickelt – die Regelung Nr. 155 (UNECE R155). Diese stellt einen (ersten) Meilenstein dar, da sie erstmals alle Informationssicherheits-Infrastrukturen sowie die einzelnen Komponenten der Fahrzeuge in der gesamten Wertschöpfungskette abdeckt – angefangen bei der Entwicklungs- über die Produktions- bis hin zur Post-Produktions-Phase. Von Patrick Smuda und Wolfgang K. Walter, Wien
Die UNECE R155 ist seit Juli 2022 in der EU für alle neuen Fahrzeugtypen verbindlich und gilt ab Juli 2024 für alle neu produzierten Fahrzeuge (vgl. Abb. 1). Ist demnach ein Fahrzeug für den Verkauf und die Zulassung in Deutschland bestimmt, müssen alle Anforderungen dieser Regelung erfüllt werden, unabhängig vom Standort der OEMs. Auf den ebenfalls abgebildeten ISO/SAE 21434 Standard wird an späterer Stelle noch eingegangen. [2]
Brücke zur ISO/IEC 27001
Der Begriff Cybersicherheit wird häufig verwendet, doch seine Definitionen sind variabel und kontextabhängig – es gibt umfangreiche Literatur, die verschiedene Aspekte der Cybersicherheit behandelt und den Begriff in unterschiedlichen Kontexten beschreibt. In den Begriffsabstimmungen der UNECE R155 findet man folgende Definition: „Cybersicherheit bezeichnet den Zustand, in dem Straßenfahrzeuge und deren Funktionen vor Cyberbedrohungen für elektrische oder elektronische Bauteile geschützt sind.“
Cybersicherheit zielt demnach auf den Schutz der Netz- und Informationssysteme, die Nutzer solcher Systeme und andere Individuen, die von Cyberbedrohungen betroffen sein können. Bezug nehmend auf die Automobilindustrie erfasst dies alle Fahrzeuge und Verkehrsteilnehmer sowie die Bevölkerung – wohingegen die Informationssicherheit unter anderem die Datensicherheit innerhalb einer Organisation gewährleistet und auf den Datenschutz innerhalb der gesamten Lieferkette abzielt.
Die Anforderungen an die Informationssicherheit sind im normativen Standard ISO/IEC 27001 festgelegt, der somit auch die wichtigste Zertifizierungsmöglichkeit im Bereich der Cybersicherheit darstellt. ISO/IEC 27001 legt einen Prozess fest, der die Sicherheitsmaßnahmen an die spezifischen Bedürfnisse einer Organisation anpasst und auf dem Plan-Do-Check-Act-Modell (PDCA) basiert. In der „Plan-Phase“ werden ein Informationssicherheits-Managementsystem (ISMS) entwickelt und die Ziele sowie geeignete Sicherheitsmaßnahmen festgelegt. Anschließend implementiert man das ISMS in der „Do-Phase“ gemäß geplanter Sicherheitsmaßnahmen und betreibt es mithilfe von Richtlinien und Prozessen. Die „Check-Phase“ umfasst die Bewertung des ISMS, beispielsweise durch interne Audits, um festzustellen, ob die definierten Ziele erreicht werden. Erkenntnisse und Handlungsempfehlungen für ein verbessertes ISMS werden in der „Act-Phase“ berücksichtigt, um die Effektivität des ISMS kontinuierlich zu steigern.
Die aktuelle Version der ISO/IEC 27001 legt einen erhöhten Schwerpunkt auf Cybersicherheit und Datenschutz. Aus diesem Grund spielt der Standard auch eine maßgebliche Rolle bei der geforderten Implementierung eines Cybersicherheits-Managementsystems (CSMS) gemäß UNECE R155 [3].
Anforderungen und Relevanz
Die Umsetzung der UNECE R155 basiert auf der bereits angesprochenen Arbeitsgruppe der WP.29 und umfasst sowohl ein CSMS als auch Anforderungen an Fahrzeugtypen. WP.29 besteht seit mehr als 50 Jahren und bietet mit Teilnehmern aus der ganzen Welt – allem voran den relevantesten Herstellerländern von Kraftfahrzeugen – einen einzigartigen Rahmen für weltweit harmonisierte Vorschriften für Fahrzeuge. Beauftragt wurde diese Arbeitsgruppe von der UNECE mit der Ausarbeitung von Regelungsentwürfen zur Cybersicherheit und zu Over-the-Air-(OTA)-Updates, darunter die UNECE R155. Auf der organisatorischen Ebene ist ein CSMS erforderlich, das den gesamten Lebenszyklus und das Ökosystem des Fahrzeugs abdeckt. Außerdem muss für jeden Fahrzeugtyp, für den eine Typgenehmigung beantragt wird, ein Nachweis für die Cybersicherheit vorgelegt werden. Im Folgenden sind die Anforderungen der UNECE R155 kurz zusammengefasst (vgl. [4,5]):
- Anforderungen an die Fahrzeugtypengenehmigung: Der Antrag auf Genehmigung sowie die Vorgehensweise bei der Genehmigung sind klar geregelt. Dabei auch ist definiert, von wem der Antrag inklusive der dafür notwendigen Dokumente eingereicht wird.
- Anforderungen an die Kennzeichnung: Das Genehmigungszeichen muss sichtbar angebracht werden und deutlich sowie dauerhaft lesbar sein. Konkrete Vorgaben und Beispiele für die regelkonforme Anordnung des Genehmigungszeichens sind in der UNECE R155 im Anhang klar definiert.
- Anforderungen an die CSMS-Konformitätsbescheinigung: Der Ablauf und sämtliche Forderungen an den Prozess der Konformitätsbescheinigung sind in der UNECE R155 abgesteckt. Dazu zählen unter anderem die Benennung einer geeigneten Genehmigungsbehörde, das Ausstellen der CSMS-Konformitätsbescheinigung oder der Umgang mit relevanten Änderungen oder bei erneuter Überprüfung.
- Anforderungen an die technischen Spezifikationen: Die Kernelemente inklusive der Anforderungen zum Umgang mit Risiken, der Definition betroffener Phasen in der Wertschöpfungskette oder dem Testen von Sicherheitsmaßnahmen beschreibt UNECE R155 in den Kapiteln 5 und 7.
- Cyberbedrohungen (inkl. Minderungsmaßnahmen): Die Liste der Bedrohungen und der entsprechenden Minderungsmaßnahmen (Mitigations) sind im Anhang 5 der UNECE R155 aufgezählt. Darauf wird im Vorlauf der Regelung referenziert, da die Berücksichtigung dieser Bedrohungen ebenso eine wichtige Rolle spielt wie die Umsetzung der angeführten Minderungsmaßnahmen. Ein konkretes Beispiel für eine Minderungsmaßnahme gemäß UNECE R155 Anhang 5 Tabelle B1 lautet: „Das Fahrzeug muss die Authentizität und Integrität der empfangenen Nachrichten überprüfen“, um beispielsweise zu verhindern, dass Informationen oder digitale Kommunikation abgefangen werden kann.
![Abbildung 2: Prozesse eines CybersicherheitsManagementsystems (CSMS) nach [5]](https://www.kes-informationssicherheit.de/app/uploads/resized/2023/08/Abbildung_2_Prozesse_CybersicherheitsManagementSystems_CSMS-min-100x0-c-center.jpg)
CSMS-Anforderungen
Cybersicherheit wird sich zunehmend als ein wesentliches Thema für automobile Systeme etablieren, allem voran im Bereich des vernetzten und automatisierten Fahrens. Anstehende Regulierungen definieren Anforderungen an die Cybersicherheit auf mehreren Ebenen, um eine Typgenehmigung zu erhalten [5].
Das Cybersicherheits-Managementsystem (CSMS) fungiert dabei als übergeordnetes Konstrukt, das alle relevanten Prozesse zur Gewährleistung der Cybersicherheit zusammenführt (siehe Abb. 2). Das Ziel besteht darin, Bedrohungen für Fahrzeuge einzudämmen und Cyberattacken auf Fahrzeuge zu verhindern.
Ein Fahrzeughersteller ist verpflichtet sicherzustellen, dass auch seine Zulieferer und Dienstleister ein CSMS implementieren. Die CSMS des Herstellers sowie der Zulieferer und Dienstleister werden von einer anerkannten Genehmigungsbehörde oder einem „Technischen Dienst“ überprüft. Das ausgestellte CSMS-Zertifikat hat in der Regel eine Gültigkeitsdauer von drei Jahren, wobei die Behörde oder der Dienst jederzeit eine erneute Überprüfung beantragen können.
Die in einem CSMS definierten Prozesse müssen die Entwicklung, die Produktion sowie die Zeit nach der Produktion umfassen und die Überwachung von Risiken und Bedrohungen für das Fahrzeug sowie Verfahren zur Reaktion auf Zwischenfälle berücksichtigen [5]. Die Aufgaben des CSMS sind demnach darauf ausgerichtet, eine angemessene und effektive Informationssicherheit im gesamten Konzern sicherzustellen.
Eine konkrete Anforderung gemäß UNECE R155 Kap. 7.2.2 besagt auszugsweise: „Der Fahrzeughersteller muss nachweisen, dass bei den Verfahren im Rahmen seines Cybersicherheits-Managementsystems gewährleistet ist, dass dem Aspekt der Sicherheit angemessen Rechnung getragen wird; hier sind auch die in Anhang 5 aufgeführten Risiken und Minderungsmaßnahmen zu berücksichtigen. Dabei geht es um folgende Verfahren: […] die Verfahren zur Bewertung, Kategorisierung und Behandlung der ermittelten Risiken […]“
Begleitung durch ISO/ SAE 21434
Die International Organization for Standardization (ISO) und die Society of Automotive Engineers (SAE) haben gemeinsam im Sommer 2021 einen optional umzusetzenden Cybersicherheits-Standard für die Entwicklung von Straßenfahrzeugen veröffentlicht. Dieser kann dabei unterstützen, die verpflichtenden Anforderungen aus der UNECE R155 umzusetzen. Die Ziele dieses Standards sind dabei laut [4]:
- einen strukturierten Prozess zur Gewährleistung der Cybersicherheits-Entwicklung von bordeigenen Systemen festzulegen,
- dadurch das Potenzial für einen erfolgreichen Angriff zu verringern und die Wahrscheinlichkeit von Verlusten zu minimieren sowie
- klare Mittel zur Verfügung zu stellen, um auf Bedrohungen der Cybersicherheit in der globalen Automobilindustrie einheitlich zu reagieren.
Angefangen bei den Anforderungen an das organisatorische CSMS und die Spezifikation der organisatorischen Cybersicherheitsrichtlinien und -prozesse über Anforderungen an die zu durchlaufenden Phasen bis hin zur Bedrohungsanalyse sind alle relevanten Anforderungen an die Cybersicherheit beziehungsweise ein CSMS angeführt. Anforderungen an die Zuweisung der Verantwortlichkeiten zwischen Kunden und Lieferanten sowie die kontinuierliche Risikobewertung sind ebenso unumgänglich bei der Einhaltung der UNECE R155 und dementsprechend wesentlicher Bestandteil der ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ (www.iso.org/standard/70918.html).
Länderspezifische Umsetzung
Der Umsetzungsstand der UNECE R155 ist von großer Bedeutung im globalen Vergleich – der Implementierungsstatus der einzelnen Nationen sehr unterschiedlich. Während die Staaten, die seit 1958 Vertragsparteien der UNECE sind, die Regelung großteils bereits in nationales Recht implementiert haben, gehen andere Nationen alternative Wege. Zu den Vertragsparteien zählen unter anderem die EU-Mitgliedstaaten, während die USA oder China Stellvertreter für Alternativlösungen sind. Eine globale Auswahl an Nationen und deren Implementierungsstatus sowie die nationalen verantwortlichen Organe beziehungsweise geltenden Sicherheitsstandards zeigt Tabelle 1.
Fazit
Aufgrund der vielen internationalen Verflechtungen und Abhängigkeiten kann man davon ausgehen, dass sich jedes Land der Bedeutung des Themas Cybersicherheit bewusst ist. Ob oder wie genau die Umsetzung der UNECE R155 konkret aussieht, ist in einigen Ländern jedoch noch nicht öffentlich bekannt. Definitiv ist Cybersicherheit aber nicht länger ein „Nice-to-have“! Sie muss gewährleistet sein, um Angriffe auf Fahrzeuge zu verhindern und katastrophale Auswirkungen auf Menschenleben zu vermeiden. Sie spielt eine wesentliche Rolle beim Datenschutz sowie beim Schutz des geistigen Eigentums und der neuen Ökosysteme von OEMs – wie IT-Backends, mobile Anwendungen oder Produktionsanlagen.
Daraus lässt sich ein möglicher Ausblick auf andere Branchen ableiten: Denn neben der Automobilindustrie verfügen auch andere – wenn nicht alle – Wirtschaftszweige über exponierte Assets, die vor Angriffen und Manipulationen geschützt werden müssen. Um diese Systeme und Produkte vor bekannten, aber auch unbekannten Bedrohungen zu schützen, müssen Unternehmen die Cybersicherheit von Anfang an in das Design ihrer Produkte und Systeme mit einbeziehen. Dies ist mit der UNECE R155 möglich, die unter anderem die Überwachung von Schwachstellen sowie Sicherheitstests berücksichtigt.
Technologie wie künstliche Intelligenz und maschinelles Lernen wird die Anforderungen an die Cybersicherheit in Zukunft wahrscheinlich noch erhöhen, da sie es ermöglicht, potenzielle Bedrohungen schneller zu entdecken und zu behandeln. Dabei ist es von entscheidender Bedeutung, dass Staaten und Wirtschaft zusammenarbeiten, um die Herausforderungen der Cybersicherheit anzugehen – denn ohne durchgesetzte Vorschriften oder Regeln ist es schwierig, gleiche Wettbewerbsbedingungen für alle OEMs zu gewährleisten.
Dieses höchst dynamische Themenfeld mit all den notwendigen Prozessen, den regulatorischen Cybersicherheits-Entwicklungen und den operativen beziehungsweise strategischen Auswirkungen für alle Beteiligten ist und bleibt weiterhin in Bewegung. Für betroffene Unternehmen ist es nun höchste Zeit, ihr CSMS zu zertifizieren – denn mit dessen Hilfe können Konnektivität, Vernetzung und Autonomie nicht zu einer Bedrohung, sondern zu einer Chance für Gesellschaft und Wirtschaft werden.
Ausblick: In der kommenden <kes> behandelt der zweite Teil dieser Serie eine zweite neue UNECE-Regelung (R156) sowie die ISO 24089 zu Softwareupdate-Managementsystemen.
Patrick Smuda ist Senior Consultant, Dr.-Ing Wolfgang K. Walter ist Engagement Manager im Bereich Informationssicherheit, IT- und Cyber-Security bei der EFS Unternehmensberatung GmbH.