Cybersicherheits-Vorgaben: Was drin steht

Mehrere Modelle aus der Volkswagen-Gruppe sollen wegen "Cybersicherheits"-Regularien vorzeitig aus der Produktion genommen werden. Um was geht es genau?

In Pocket speichern vorlesen Druckansicht 146 Kommentare lesen

(Bild: Erstellt mit Midjourney durch heise Autos)

Lesezeit: 10 Min.
Von
  • Clemens Gleich
Inhaltsverzeichnis

Kürzlich machte die Runde, dass der Volkswagen-Konzern mehrere Automodelle nicht mehr baut. Als Grund nannten Markensprecher neue Cybersicherheits-Gesetze. Diese gelten seit Juli 2022 für neu homologierte Fahrzeuge. Ab Juli 2024 weitet sich der Geltungsbereich auf alle neu zugelassenen Fahrzeuge aus, was in der Volkswagen-Gruppe einige ältere Typzulassungen betrifft. Bei der Volkswagen-Nutzfahrzeuge-Sparte wird der T6.1 vorzeitig nicht mehr in der EU verkauft. Bei VW fällt der kleine Up weg, bei Porsche der Cayman, Boxster und der aktuelle Verbrenner-Macan. Allen betroffenen Baureihen ist gemein, dass ein Nachfolger bald folgt.

Die Argumentation lautet also: Die nötige Zertifizierung zur Cybersicherheit lohnt sich nicht mehr für diese Modelle. Andere Marken haben sich nicht so klar auf die Cybersicherheit als Grund für Produktionsenden bezogen, die Auto-Presse vermutete das jedoch stellenweise für andere Modelle anderer Konzerne. Fahrzeuge wie der Renault Zoe sind jedoch nicht vom Hersteller bestätigt wegen Cybersicherheit raus. Im Gegenteil betont Renault seit 2022, wie gut sie den Prozess im Griff hätten und wie wichtig er sei. Aber sehen wir uns die Regularien en détail an.

Der Porsche Cayman wird nicht mehr produziert. Die nötige Anpassung an die Regularien wäre zu teuer geworden, und ein Nachfolger steht ohnehin bereits an. Ähnlich geht es anderen Modellen im Volkswagen-Konzern.

(Bild: Clemens Gleich)

Eine Analyse von Clemens Gleich

Clemens Gleich saß vor langer Zeit als c't-Redakteur in einem Büro des Heise-Verlags, bevor ihn einschneidende Erlebnisse dazu brachten, fürderhin in den Sätteln von Motorrädern sein Geld zu verdienen. Doch einmal Nerd, immer Nerd: Als freier Autor schreibt er immer noch über Computerthemen. Und das ganze Drumherum an gesellschaftlichen und politischen Auswirkungen.

Innerhalb der Institutionen der Vereinten Nationen (United Nations, UN) gibt es das "Weltforum für die Harmonisierung von Fahrzeugvorschriften", die Working Party 29 (WP.29). Diese Arbeitsgruppe versucht, weltweite Fahrzeuggesetze zu vereinheitlichen. Dazu macht sie Vorgaben, zu denen sich dann Märkte bekennen oder eben nicht bekennen. Zu den Vorschlägen der Cyber- und Updatesicherheit haben sich die EU, Japan und Südkorea bekannt. Bei den diskutierten Vorgaben zur Cybersicherheit geht es um die UNECE-Regelungen R155 und R156. R155 betrifft die besagte Cybersicherheit und dreht sich zentral um ein "Cybersicherheits-Management-System" (CSMS). R156 beschreibt sichere Software-Updates für Fahrzeuge und dreht sich um ein "Software-Update-Management-System" (SUMS). Betroffen sind PKW (Klasse M), Nutzfahrzeuge (N) und Anhänger (O), wenn diese entsprechende IT-Systeme aufweisen. Zweiräder (L) sollen im Juli 2029 folgen. Eine autorisierte Staatsstelle (in Deutschland das Kraftfahrtbundesamt, KBA) benennt einen technischen Prüfdienst (in Deutschland den TÜV), der wiederum nach Prüfung der Unterlagen die Zertifizierungen vornimmt. Geprüft wird alle 3 Jahre. Ein Hersteller kann CSMS und SUMS innerhalb der EU auch bei anderen Prüfstellen zertifizieren lassen. Tesla etwa lässt in den Niederlanden zertifizieren, Audi in Luxemburg.

Ganz kurz zusammengefasst steht in den Regularien: CSMS und SUMS müssen vorhanden sein. Es gibt nur grob skizzierte Vorgaben, wie sie genau aussehen sollen. Das Erläuterungsdokument zur R155 sagt noch lapidar, Normen wie die ISO/SAE 21434 "können" dazu genutzt werden. Müssen aber nicht, zumindest nicht formal. Informell richten sich die Hersteller allerdings schon an Normen aus, weil die a) konkrete Vorgaben machen und b) oft bereits im Haus zertifiziert sind und den Prozess daher vereinfachen. Zusätzlich verschieben Normen die Prüflast von den staatlichen Stellen auf die jeweiligen Prüfinstitute. Weitere konkrete Vorgaben für die Zertifizierung in Deutschland hält das KBA auf seiner Website bereit. Ein vergleichsweise konkretes Element findet sich in der R156. Sie verlangt, dass jede Software-Version eine eindeutige ID erhalten soll, die RxSWIN, wobei SWIN für "Software Identification Number" steht und das Rx für die UNECE-Norm des zugehörigen Steuergeräts. Ein der Cybersicherheit zugeordnetes Steuergerät (z. B. Gateway) könnte also eine R155xxxxx als ID erhalten. Diese ID soll über ein elektronisches Interface, "mindestens" über OBDII auslesbar sein. Entlang der ID müssen die Software-Versionen in einem vom technischen Dienst prüfbaren Register dokumentiert werden. Software-Updates, die zulassungsrechtliche Systeme betreffen, sollen zudem beim technischen Prüfdienst vorgelegt werden.

Autos können über 100 Steuergeräte enthalten, die jeweils mit eigenen Software-Konfigurationen laufen. Hier will die UN systematische Sicherheitsrichtlinien weltweit vereinheitlichen.

(Bild: Bosch)

Sowohl R155 als auch R156 sind bemerkenswert vage gehalten. Rein formal kann man jeden Prozess, der zur IT-Sicherheit des Fahrzeugs dient, als CSMS zertifizieren lassen. Ein CSMS definiert die WP.29 so:

"'Cyber Security Management System (CSMS)' means a systematic risk-based approach defining organisational processes, responsibilities and governance to treat risk associated with cyber threats to vehicles and protect them from cyber-attacks."

Ăśbersetzung:

"'Cyber Security Management System (CSMS)' meint einen systematischen, risikobasierten Ansatz, der organisatorische Prozesse, Verantwortlichkeiten und Kontrollen definiert, um Risiken in Verbindung mit Cyberbedrohungen fĂĽr Fahrzeuge zu behandeln und diese vor Cyberattacken zu schĂĽtzen."

Ich erspare Ihnen die SUMS-Definition, sie ist ähnlich gehalten.

Das Automobil kommt von der Hardware-Seite her. Doch schon vor rund 15 Jahren hat der Wertschöpfungsanteil der Software den der Hardware überholt, und für Software gelten andere Regeln, weil sie viel einfacher verändert werden kann.

(Bild: Continental)

Ich gebe noch eine Kostprobe aus der R155, damit Sie sehen, was ich mit "vage" meine:

"Cryptographic modules used for the purpose of this Regulation shall be in line with consensus standards."

Auf Deutsch in kurzer Sprache: Die Krypto soll dem Stand der Technik entsprechen. Much wow.

Wenn man einen Hammer hat, sieht alles wie ein Nagel aus. Ich bin Texter. Für mich sieht das wie eine reine Textaufgabe aus. Jeder professionelle Texter könnte jeden Prozess der Fahrzeugherstellung aus den letzten 15 Jahren so beschreiben, dass er den Vorgaben formal entspricht. In der Praxis hat sich beim TÜV Süd herausgestellt, dass die Vorbereitungen und Prüfungen Monate dauern, im Extremfall bis zu zwei Jahre. Volkswagens Software-Sparte Cariad spricht von typischerweise sechs Monaten Vorbereitung und einigen Wochen der Überprüfung durch den TÜV. "Das kommt aber darauf an, wie strukturiert die Prozesse vorher waren", erklärt Miriam Gruber, die bei Cariad in der Abteilung Security Governance arbeitet. "Wenn ein Betrieb zum Beispiel schon nach ISO 9001 zertifiziert ist, wird die Zertifizierung eines CSMS deutlich einfacher. Wenn vorherige Zertifizierungen fehlen, wird es wesentlich aufwendiger."

Die Fahrzeughersteller scheinen flächendeckend wenig Probleme mit den Vorgaben für neue Typzulassungen gehabt zu haben. Mercedes-Benz etwa gab auf Anfrage an, die CSMS-Zertifizierung 2021 vorgenommen zu haben und folgte mit dem lapidaren Hinweis: "Die Regularie hat keine Auswirkungen auf das Portfolio von Mercedes-Benz." Wenn die Prozesse vorher schon gut strukturiert waren, hält sich der zusätzliche Aufwand für R155 und R156 in Grenzen. Bei älteren Modellen ohne eine solche Zulassung sieht es anders aus. Sie müssen ebenfalls der R155 entsprechen, erhalten aber eine zunächst großzügig klingende Ausnahme:

"The manufacturer shall have a valid Certificate of Compliance for the Cyber Security Management System relevant to the vehicle type being approved.

However, for type approvals prior to 1 July 2024, if the vehicle manufacturer can demonstrate that the vehicle type could not be developed in compliance with the CSMS, then the vehicle manufacturer shall demonstrate that cyber security was adequately considered during the development phase of the vehicle type concerned."

Zusammenfassend auf Straßendeutsch: Wenn man bei Typzulassungen vor Juli 2024 noch kein CSMS für einen Fahrzeugtyp hat und nachweisen kann, dass man das nicht entwickeln konnte (Fachkräftemangel!), dann reicht es, wenn die Cybersicherheit als "angemessen bedacht" belegt wird.

Diese Hürde klingt zwar niedrig, bedeutet aber dennoch einen erheblichen bürokratischen Aufwand. Denn selbst in der Argumentation für "angemessen bedacht" liegt einiger Papierkrieg verborgen. Zusätzlich verlangt die R155 den Nachweis, dass während des Betriebs an alle Cyber-Eventualitäten gedacht wird. Das hieße für die alten Elektronikkonfigurationen der betroffenen Modelle, dass dort ein gewisses Kostenrisiko auf die Straße gebracht wird. Bei einem Sicherheitsproblem müssen aufwendig zu beschreibende Prozesse greifen und nachgewiesen werden, die in diesen alten Typen ohne Over-the-Air-Update behoben werden müssten. Bei der Verantwortlichkeit verlangt die R155 sowohl die Berücksichtigung der Zuliefererkette als auch einen Prozess, der greift, bis das letzte Fahrzeug des Typs von der Straße ist, was im Oldtimer-Liebhaberland Deutschland heißt: für die Lebenszeit des Herstellers. All diese Kostenfaktoren veranlassten die Marken anscheinend zu den vorzeitigen Produktionsenden der betroffenen Modelle.

CAD-Rendering des Kabelbaums der BMW S 1000 RR, und das Bild ist auch schon wieder 15 Jahre alt. Aufgrund der Komplexität auch bei Motorrädern soll die R155 ab 2029 auch für Zweiräder gelten.

(Bild: BMW Motorrad)

Während die Gesetze in ihren Kernvorgaben vage bleiben, sind die bürokratischen Anforderungen klarer formuliert. Es muss ganz viel "in dreifacher Ausfertigung" in Formulare geschrieben werden. Zusätzlich enthält vor allem die R155 einige Eigenheiten. Mindestens einmal im Jahr sollen die Hersteller beim KBA ihren Cyber-Bericht abliefern und dabei bestätigen, dass alles noch so cyber ist wie zur Zertifizierung (R155, Abschnitt 7.4.1). Die Dokumente enthalten dann noch tabellarisch Tipps dazu, wie man Cyberprobleme löst. Ein Virus hat sich eingeschlichen? "Measures to protect systems against embedded viruses/malware should be considered." Oder ganz oft einfach: "Cybersecurity best practices for software and hardware development shall be followed." Alles nicht besonders hilfreich.

Wir erhalten zunächst einmal viel neue Bürokratie für alte Selbstverständlichkeiten. Meine persönliche Ansicht ist: Dem hohen bürokratischen Aufwand steht nur ein geringer Nutzen gegenüber, weil das von der R155 Verlangte längst Produktionsalltag in deutschen Autofirmen ist. Miriam Gruber von Cariad sieht das differenzierter, globaler: "Ist man mit seinen Prozessen bereits gut aufgestellt, ist der Aufwand durch die neue Richtlinie überschaubar. Wenn ich den Gesamtmarkt betrachte, halte ich die neuen Regeln für eher hilfreich, weil sie für den Gesamtmarkt oder Quereinsteiger in die Automobilproduktion Mindeststandards setzen. Auch die Zertifizierungen können an sich sehr hilfreich sein. Wir sehen zum Beispiel Vorteile in einer partnerschaftlichen Zusammenarbeit mit den technischen Diensten: Wir wollen beide, dass prüfbar sichere Systeme auf die Märkte kommen. Wenn der technische Prüfdienst Verbesserungsmöglichkeiten aufzeigt, ist das gut für uns. Der technische Dienst hat industrieweite Einblicke und kann unsere Prozesse in einem größeren Kontext bewerten."

Ganz kurz fĂĽr Entscheider also zum Schluss: Ein bisher guter Prozess wird sich gut zertifizieren lassen, und es lohnt sich, die neuen Vorgaben als Anlass zu nehmen, die hauseigenen Prozesse zu verbessern.

(cgl)