Au­to­mo­ti­ve Cyber Se­cu­ri­ty: neue ver­bind­li­che Vor­schrif­ten ab Juli 2024

INHALT

• Warum ist Automotive Cyber Security so wichtig?
• Warum die Automobilindustrie im Fokus vieler Angriffe steht
• Welche Angriffsvektoren gibt es?
• UNECE R 155 & 156: Vorschriften für Automotive Cyber Security
• Wen betreffen die Regularien und welche Auswirkungen haben sie?
• Was ist ein Cyber Security Management System (CSMS)?
• Welche Vorteile bietet ein CSMS?
• Der beste Weg zum CSMS: ISO 21434 und die Einführung des Vehicle Cyber Security Audits
• Wie können sich Unternehmen auf ein VCS Audit vorbereiten?
• Automotive Cyber Security: Warum Unternehmen jetzt handeln sollten
• Mit der DQS zur erfolgreichen Zertifizierung

Warum ist Automotive Cyber Security so wichtig?

Die Entwicklung und Konstruktion von Fahrzeugen hat sich in den vergangenen Jahren grundlegend verändert: Aus dem vormals mechanischen Fortbewegungsmittel ist längst ein Computer mit Rädern geworden. Waren Fahrzeugteile wie Bremspedal und Bremse oder Lenkung und Vorderachse früher physisch miteinander verbunden, kommunizieren sie als Systeme inzwischen ausschließlich über digitale Steuerungsgeräte, die elektrische Signale an Aktuatoren übermitteln. Nahezu jedes Bauteil moderner Fahrzeuge ist digital vernetzt, um optimale Performance und Fahrsicherheit zu gewährleisten. Das moderne Smart Car ist daher auch permanent online – doch die verschiedenen Bordcomputer und Assistenzsysteme bieten dadurch auch eine wachsende Angriffsfläche für Cyber-Attacken.

Ein ebenso realistisches wie beängstigendes Szenario ist dabei die Manipulation von Motor, Bremsen oder Lenkung, die zu einer lebensbedrohlichen Gefahr für Fahrzeug-Insassen und andere Verkehrsteilnehmer werden könnte. Die Fragen um das autonome Fahren gewinnen hier zusätzlich an Brisanz: Je nachdem, über wie viel Entscheidungsgewalt die elektronischen Steuerungssysteme verfügen, kann ein (ferngesteuerter) Eingriff in ihr Fahrverhalten fatale Folgen haben.

Warum die Automobilindustrie im Fokus vieler Angriffe steht

Mit der Digitalisierung haben die Risiken von Angriffen rasant zugenommen. Automobilhersteller sind für Cyberkriminelle in mehrfacher Hinsicht ein attraktives Ziel. Erstens, weil es sich bei ihnen praktisch ausnahmslos um große Konzerne handelt, die aufgrund ihrer Bekanntheit und der weiten Verbreitung ihrer Produkte im Fokus der Öffentlichkeit stehen. Der Rückruf von Fahrzeugen eines namhaften Autobauers generiert in aller Regel ein weitaus lauteres Echo als der von Haushaltsgeräten oder sogar Lebensmitteln. Zweitens drohen bei einem erfolgreichen Fahrzeug-Hack unmittelbare, potenziell lebensbedrohliche Konsequenzen, was zusätzlichen Druck auf die Hersteller ausübt und die Branche in besonderem Maße für Ransomware-Attacken anfällig macht. Und drittens, das müssen sich die Verantwortlichen eingestehen, ist die Cyber Security im Automotive-Bereich bei weitem nicht so fortgeschritten wie in anderen Hightech-Branchen.

Derzeit konzentrieren sich die meisten Angriffe darauf, die Systeme der OEMs oder ihrer Lieferanten zu kompromittieren und die betroffenen Unternehmen mit Ransomware zu erpressen. Neben dem hohen Schadenspotenzial ist der Automotive-Bereich dabei noch in einer zweiten Hinsicht für solche Forderungen vulnerabel: Die Branche ist geprägt von zeitoptimierten Lieferketten und damit einer Vernetzung, in der der Ausfall eines wichtigen Zulieferers einen praktisch vollständigen Stopp ganzer Produktionsanlagen beim OEM nach sich ziehen kann. Ein Umstand, der auch den Cyberkriminellen bewusst ist: Erst im Juni 2023 kam es im Rahmen einer Ransomware-Attacke bei einem großen Zulieferer zur Forderung einer Summe von etwa 70 Mio. USD – das höchste jemals bei einem Cyberangriff geforderte Lösegeld.

Welche Angriffsvektoren gibt es?

Ein modernes Fahrzeug kann auf unterschiedlichste Weise von Hackern ins Visier genommen werden. Einige Beispiele:

• Das vielleicht gefährlichste Einfallstor ins Fahrzeugsystem und die Electric Control Units (ECU) sind die Connectivity-Features moderner Fahrzeuge, vor allem die Wireless-Schnittstellen über Bluetooth und WLAN. Neben dem Infotainment-System stellen außerdem die zunehmend verbreiteten Companion-Apps, mit denen sich auch kritische Funktionen bedienen lassen, eine bedeutende Schwachstelle dar.
• Immer mehr Automobilhersteller setzen auf Over-the-Air-Updates, die ihnen und ihren Kunden zeitaufwändige Rückrufe und teure Werkstatt-Termine ersparen sollen. Fahrzeuge, die drahtlose Updates empfangen können, sind aber auch anfälliger für eingeschleuste Befehle bösartiger Akteure. OTA-Updates bergen das höchste Risiko für groß angelegte Cyberangriffe, die auf ganze Modellreihen abzielen.
• In Zukunft wird zudem der Vehicle-to-everything-Vernetzung (V2X) mehr Aufmerksamkeit geschenkt werden müssen. V2X bezeichnet die konstante Kommunikation von Fahrzeugen mit Entitäten in ihrer Umgebung, z. B. von Fahrzeugen untereinander, um durch Standortabgleich Staus und Unfälle zu vermeiden.
• Der zunehmende Einfluss von Künstlicher Intelligenz lässt sich heute bereits erkennen. Durch KI-gestützte Methoden werden Angreifer noch schneller und kreativer. Dem gilt es eine robuste Antwort wie eine KI-basierte, präventive Schwachstellensuche entgegenzusetzen.
• Mitunter ist die Gefahr aber auch wesentlich greifbarer: So bergen etwa schlüssellose Zugangssysteme das Risiko des Fahrzeugdiebstahls durch Abfangen oder Imitieren von Signalen.

Wen betreffen die neuen Regularien und welche Auswirkungen haben sie?

Die neuen Vorschriften gelten für alle Unternehmen, die Automobile und andere Fahrzeuge in den Verkehr bringen, und verpflichten diese, die Cyber-Sicherheit ihrer Produkte und Systeme über die gesamte Lieferkette hinweg sicherzustellen. OEMs stehen dabei auch für ihre Zulieferer in der Verantwortung – und nehmen diese deshalb inzwischen vertraglich zur Umsetzung der neuen Vorgaben in die Pflicht.

Die ersten Auswirkungen traten bereits in Erscheinung: In der jüngeren Vergangenheit sahen sich mehrere Automobilhersteller gezwungen, einige ältere Modellreihen komplett einzustellen. Nicht, weil diese nicht erfolgreich gewesen wären, sondern weil es für diese älteren Modelle schlichtweg nicht umsetzbar (oder vertraglich durchsetzbar) war, Softwareupdates über den gesamten Lebenszyklus der Modellreihe zu garantieren.

Der Grund: Ein Fahrzeug hat in der Regel weitaus längere Lebenszyklen als Software-Anwendungen. Die Fähigkeit, noch in 10 oder mehr Jahren Updates ausliefern zu können, erschien für die auslaufenden Produkte als nicht gesichert. Viele OEMs und Zulieferer hatten die Aufwände nicht eingepreist, die sich durch die neuen Fürsorgepflichten der UNECE R 155 im Lebenszyklus des Fahrzeugs ergeben können.

Die neuen Regularien zum Cyber Security Management System (CSMS) und den Software-Updates sollen sicherstellen, dass Verantwortlichkeiten für Cybersicherheit vertraglich vereinbart und die notwendigen Fähigkeiten und Kompetenzen über den typischen Fahrzeug-Lebenszyklus von 15 Jahren sichergestellt werden. Den Konformitätsnachweis für ihr CSMS können Unternehmen durch eine VCS Zertifizierung erhalten.

Was ist ein Cyber Security Management System?

Ziel der Einführung eines Cyber Security Management System (CSMS) ist es, die Cyber-Sicherheit im Unternehmen zu systematisieren und an etablierten nationalen oder internationalen Standards auszurichten. Zentrale Aspekte bei der erfolgreichen Einführung eines CSMS sind:

• Das Unternehmen muss über ein zeitgemäßes Risikomanagement verfügen und robuste Prozesse zur Risikoerkennung, Risikobewertung und Risikominderung von Cyber-Gefahren definiert haben.
• Das Risikomanagement deckt den gesamten Produktlebenszyklus ab – von der Entwicklung, Produktion und Betrieb bis zur Entsorgung. 
• Ein umfassendes Monitoring neuer Schwachstellen und bekannter Angriffe ermöglicht es, auf Cyberangriffe schnell mit zielgerichteten Updates zu reagieren.

Welche Vorteile bietet ein CSMS? 

Ein CSMS bietet den Unternehmen über Verringerung von Risiken und die Compliance hinaus eine Reihe von Vorteilen: Zu den wichtigsten davon gehört, dass es die Cyber Security des Unternehmens bewertbar macht – typischerweise im Rahmen eines unabhängigen Assessments durch einen zugelassenen Auditanbieter. Das Unternehmen erfährt so, wo es steht und kann dies auch jederzeit nachweisen. Darüber hinaus legen externe Prüfungen unvoreingenommen die Aspekte der Cyber-Sicherheit offen, für deren Stärkung noch Handlungsbedarf besteht.

Hinzu kommt, dass sich die Automotive-Anbieter im Rahmen dieses Prozesses eingehend und risikoorientiert mit der Aufrechterhaltung der Informationssicherheit des Fahrzeugs über dessen Lebenszyklus auseinandersetzen müssen, und so über alle Hierarchie-Ebenen hinweg das Bewusstsein für die Cyber Security schärfen. 

UNECE R 155 & 156: Vorschriften für Automotive Cyber Security

Um den wachsenden Bedrohungen für die Automobilbranche zu begegnen, brachte die UN bereits im Sommer 2020 mit der UNECE R 155 und der UNECE R 156 gleich zwei wichtige neue Regularien auf den Weg.

• UNECE R 155 definiert Anforderungen für den Schutz von Fahrzeugen gegen Cyber-Angriffe und betont dabei vor allem die Schlüsselrolle eines sorgfältig implementierten Cyber Security Management Systems.
• UNECE R 156 hingegen fokussiert darauf, dauerhafte Sicherheit über den gesamten Lebenszyklus eines Fahrzeuges hinweg sicherzustellen und schreibt dafür die Einführung und den Betrieb eines normgerechten Software Update Management Systems (SUMS) vor.

In Kraft getreten sind beide Regularien bereits Anfang 2021. Seit Juli 2022 ist die Einhaltung lediglich für neue Fahrzeugtypen verbindlich. Ab dem 1. Juli 2024 gelten die Regeln schließlich für alle neu hergestellten Fahrzeuge.

Auch wenn die grundsätzliche Sinnhaftigkeit der neuen Vorschriften außer Frage steht, äußerten allerdings viele Unternehmen schnell Kritik an den neuen Bestimmungen: Diese seien zu allgemein gehalten und gäben nur wenig konkrete Handlungsempfehlungen. Sehen wir uns die neuen Regularien also genauer an.

Der beste Weg zum CSMS

ISO 21434 und die Einführung des Vehicle Cyber Security Audits

Im August 2021 hat die International Organization for Standardization (ISO) gemeinsam mit der Society of Automotive Engineers (SAE) die Norm ISO/SAE 21434 veröffentlicht, und damit eine international gültige Richtlinie für die Implementierung eines CSMS bereitgestellt, an der sich Unternehmen orientieren können.

In der Praxis kam es allerdings erwartungsgemäß zu unterschiedlichen Auslegungen der Norm. Da die Bedeutung kohärenter Sicherheitsmaßnahmen in der Automobilindustrie mit ihren tief integrierten Lieferketten besonders hoch ist, hat die ENX zeitnah nachgebessert: Mit der Vehicle Cyber Security (VCS) Zertifizierung stellte sie eine neue Möglichkeit des Konformitätsnachweises vor, die einheitlicher gestaltet und noch besser auf die Anforderungen der Branche zugeschnitten ist.

Grundlage des weltweit standardisierten VCS Audits ist dabei nach wie vor die Norm ISO 21434. Diese wurde aber, im engen Austausch mit Unternehmen der Automobilbranche, um eine Reihe notwendiger Erweiterungen ergänzt. Mit Blick auf die Zukunft ist der Prüfkatalog so angelegt, dass er im Bedarfsfall rasch aktualisiert werden kann, und erlaubt somit eine schnellere Reaktion auf Neuentwicklungen in der Automobilindustrie oder in der Cyberbedrohungslandschaft.

Wie können sich Unternehmen auf ein VCS Audit vorbereiten?

Voraussetzung für eine VCS Zertifizierung ist ein TISAX^® Assessment, welches die Konformität des zentralen Informationssicherheits-Managementystems (ISMS) mit TISAX^® nachweist. Das ISMS stellt sicher, dass fundamentale Regeln und Prozesse sicherer Informationsverarbeitung eingehalten werden. Die Menge der im VCS Audit einbezogenen Standorte muss eine Teilmenge der Standorte des TISAX^® Assessments sein. Zusätzlich muss ein zentrales Qualitätsmanagementsystem im Unternehmen implementiert sein (mögliche Standards: IATF 16949, ISO 10007, Automotive SPICE^®, ISO/IEC 330xx, ISO/IEC/IEEE 15288 oder ISO/IEC/IEEE 12207).

Das Unternehmen muss bestimmen, welches Label es für OEMs oder andere Lieferanten nachweisen muss. Diese Labelanforderungen legen fest, welche Anforderungen des VCSA Prüfkatalogs konkret zu erfüllen sind: 

     1. VCS Development: Unternehmen verantwortet VCS Entwicklungstätigkeiten bis zur Produktionsreife

      2. VCS Production: Unternehmen produziert sicher vorkonfigurierte VCS Komponenten

      3. VCS Operations & Maintenance: Unternehmen überwacht den sicheren Betrieb von VCS Komponenten und bewältigt Sicherheitsvorfälle indem beispielsweise Updates entwickelt und über das zentrale Fleet-Management des OEM ausgeliefert werden.

Der VCS Zertifizierungsprozess verläuft in folgenden Phasen:

1. Im Kickoff stellt der VCS Lead Auditor den Ablauf im Detail vor und formuliert seine Erwartungen an die Zuarbeit der beteiligten Mitarbeiter und Standorte. In diesem Schritt erhebt der Lead Auditor die Menge der VCS Projekte im Unternehmen und deren Risikoeinschätzung.
2. Das Unternehmen führt für das zentrale CSMS ein Self-Assessment auf der Basis des VCSA Prüfkatalogs der ENX durch und übermittelt das Ergebnis inklusive der referenzierten Dokumente des CSMS an den Lead Auditor.
3. An dem Standort, an dem das zentrale Management des CSMS erfolgt, wird die Konformität der getroffenen Regelungen und Prozesse auf Basis von Evidenzen vor Ort überprüft.
4. Aus der Menge der VCS Projekte bestimmt der Lead Auditor eine risikobasierte Stichprobe. Die Risken lassen sich aus den Ergebnissen der internen Projektbewertung namens Threat Analysis and Risk Assessment (TARA) ableiten. Ist die Stichprobe ausnahmsweise größer als im initialen Angebot vermutet, dann wird das Angebot der DQS entsprechend dieser höheren Aufwände angepasst.
5. Die VCS Projekte in der Stichprobe legen fest welche Entwicklungsteams an welchen VCS Standorten konkret einbezogen werden.
6. Ausgewählte Entwicklungsteams werden remote unter Einbeziehung eines VCS Experten befragt wie das VCS Projekt implementiert wurde, um zu bestimmen ob die Regelungen des CSMS in allen Lebensphasen der VCS Komponenten eingehalten werden.

Analog zu TISAX^® erhält ein erfolgreich auditierter VCS Kunde in der Datenbank der ENX die oben genannten Label zugeteilt und kann seine Ergebnisse interessierten Parteien (OEMs und Kunden) zugänglich machen. Die VCS Label werden für 3 Jahre ihre Gültigkeit behalten.   

Automotive Cyber Security: Warum Unternehmen jetzt handeln sollten

Wie bereits erwähnt treten die neuen Regularien zum 1. Juli 2024 für alle neu hergestellten Fahrzeuge in Kraft. Herstellern, die die Anforderungen hinsichtlich des CSMS und der Software-Updates nicht erfüllen, droht dann im schlimmsten Fall die Nichtzulassung der entsprechenden Fahrzeugtypen. Eine Konformität gemäß des neuen VCS Audits setzt ein starkes Signal an Behörden und Geschäftspartner, bescheinigt die Umsetzung aller sicherheitsrelevanter Aspekte und sorgt für langfristiges Vertrauen über den gesamten Fahrzeuglebenszyklus hinweg.

Mit der DQS zur erfolgreichen Zertifizierung

Als zugelassener Prüfdienstleister der ENX Association bieten wir Ihnen Akkreditierungen für alle maßgeblichen Regelwerke der Automobilindustrie. Mit unseren Produkten wie dem Qualitätsmanagement gemäß IATF 16949 oder unseren TISAX^® Assessments haben wir und unsere Auditoren bereits umfassende Branchenkenntnisse erworben.

Nutzen Sie das Wissen unserer Normexperten und informieren Sie sich grundlegend über die neuen Vorschriften zur Automotive Cyber Security und deren Bedeutung für Ihr Unternehmen. Mit der Erfahrung aus mehr als 35 Jahren und dem Know-how von weltweit 2.500 Auditoren sind wir Ihr kompetenter Zertifizierungspartner und liefern Antworten auf alle Fragen rund um Datenschutz und Informationssicherheit.

Vertrauen und Expertise

Unsere Beiträge und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Inhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: willkommen@dqs.de

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.