Security by Design im Auto: Neue UN-Vorgaben für Cybersicherheit von Fahrzeugen
Experten sehen Fahrzeuge reif für massive Hackerangriffe. Die UNECE will mit neuen Vorschriften auch für Software-Updates die Latte für sichere Kfz höherlegen.
Die UNECE werde im Juni detaillierte Vorschriften verabschieden, um die Ansprüche in diesem Bereich deutlich zu erhöhen und Kfz, Busse und Lkws so "weltweit sicherer zu machen", erklärte der Leiter der Task Force, Darren Handley, am Mittwoch. Nach 19 Treffen vor Ort mit Vertretern von Regierungen und zivilgesellschaftlichen Organisationen will die "Arbeitsgruppe für Cyber Security in Fahrzeugen und Software-Updates aus der Ferne der Wirtschaftskommission für Europa der Vereinten Nationen" (UNECE) nun in wenigen Tagen Ergebnisse liefern.
Die damit verknüpften Anforderungen etwa an die Organisationsstruktur sowie an Prozesse und Design der Fahrzeugarchitektur und Risikoeinschätzungen müssten Hersteller im Rahmen der nationalen Umsetzung der Vorgaben dann "über den gesamten Produktzyklus aufrechterhalten", betonte Handley auf der online abgehaltenen VDI-Konferenz "Cyber Security for Vehicles". Die Auflagen bezögen sich vor allem auf den Grundsatz "Security by Design", also den Einbau von IT-Sicherheit direkt in die Technik.
Risikomanagement und sichere Software-Updates
Produzenten müssen laut den nun spruchreifen Regularien ständig ein nachweisbares Risikomanagement vorweisen und einschlägige Tests durchführen. Sie sollen in der Lage sein, Cyber-Angriffe zu überwachen, abzuwehren und darauf zu reagieren. Dazu gehören forensische Fähigkeiten zur Analyse erfolgreicher oder versuchter Attacken. Nachweise dazu sollen etwa über Firmendokumente belegt werden können, die relevante Prozesse näher ausführen. Auch Audits oder der Einsatz einschlägiger Cybersicherheits-Standards wie ISO 21434 können angeführt werden.
Die Arbeitsgruppe der UNECE werde eine Art Checkliste mitliefern, an der sich die Betroffenen abarbeiten könnten, versprach Handley. Zu den allgemeinen Vorschriften für die Cybersicherheit kämen zudem Anforderungen für künftige Typgenehmigungsverfahren. Dafür sei etwa zu belegen, dass Hersteller ein spezielles Cybersecurity Management System (CSMS) nutzten. Fahrzeugbauer müssten auch zeigen, dass geplante Abhilfemaßnahmen funktionierten und sie Angriffe tatsächlich ausfindig machen und verhindern könnten.
Erfasst werden Handley zufolge auch Ausrüster und in abgestufter Form auch Käufer, "um die Schutzkette aufrechtzuerhalten". Zum Austausch über Bedrohungsinformationen sei das UN-Verfahren dagegen nicht geeignet. Dafür hat sich 2015 auch bereits mit dem Automotive Information Sharing & Analysis Center (Auto-ISAC) eine Herstellerallianz gebildet.
Die Vorschriften für "over the air" erfolgende Software-Updates seien ganz ähnlich angelegt und ausgerichtet, berichtete der Sicherheitsexperte aus dem britischen Verkehrsministerium. Hier liege der Schwerpunkt darauf, einschlägige Programme im Fahrzeug zu identifizieren und ein Managementsystem für die Qualitätskontrolle zu etablieren. Enthalten sein müssten etwa Verfahren für die Konfigurationskontrolle auch von Hardware und verschiedene Softwareversionen, die für einen Fahrzeugtyp relevant seien. Es sollte möglich sein, ausfallende Systeme wiederherzustellen und Updates nur durchzuführen, wenn genügend Strom vorhanden sei. Diese Formen der Risikoreduktion hingen vor allem von Audits ab, weniger von "harten physischen Tests".
Einhaltung der Vorgaben
Die EU plane, die UN-Vorgaben bis Juli 2022 für neue und zwei Jahre später für alle Fahrzeugtypen verbindlich zu machen, erläuterte der Standardisierungsexperte von Continental, Markus Tschersich. Japan habe die Regeln für autonome Fahrzeuge bereits "vorsorglich" übernommen, ab Mitte des Jahres solle sie dort für alle Typen verbindlich werden. Die USA seien bei dem Ratifizierungsverfahren nicht direkt dabei, wollten aber eine eigene Liste an Anforderungen auf Basis der UN-Vorgaben erstellen. Handley wollte sich nicht dazu äußern, ob Großbritannien auch einschlägige Verordnungen erlassen werde.
Zwischen dem laufenden Standardisierungsverfahren ISO 21434 und den UN-Vorschriften gibt es laut Tschersich einige Überschneidungen. Bei der ISO werde aber breiter der Gesamtbereich der Lieferkette erfasst, zudem liege der Fokus auf Gateways, Steuergeräten, dem Infotainment-System und Sensoren wie Radar oder Kameras. Auf UN-Ebene stehe das ganze Fahrzeug im Blick mit der gesamten elektronischen Architektur und den Vernetzungsschnittstellen.
Continental habe bereits eine erste Lückenanalyse durchgeführt angesichts der Pflicht, beide Regulierungsstränge beachten zu müssen, ließ Tschersich durchblicken. Zwar sei der Autobauer verantwortlich für die gesamte Architektur und müsse die Typgenehmigung beantragen. Zulieferer und Sublieferanten stünden aber in der Pflicht, eine angemessene Dokumentation der gelieferten Systeme, Software oder Komponenten zur Verfügung zu stellen. Da ein Haftungsfall vor Gericht landen könne, ließen sich die Mindestanforderungen nicht auf die leichte Schulter nehmen.