Automotive Cyber Security: Neue verbindliche Vorschriften

INHALT

• Warum Automotive Cyber Security?
• Was bedeutet Cyber Sicherheit in der Automobilindustrie?
• Praxisbeispiel: Auswirkungen eines Angriffs
• IT-Sicherheit und Software-Updates von Fahrzeugen
• Wen betreffen die neuen Regelungen?
• UNECE Cyber Security nach R 155
• Was ist ein Cyber Security Management System (CSMS)?
• Was regelt die UNECE Software-Aktualisierung nach R 156?
• Ist Cyber Sicherheit in der Automobilindustrie zertifizierbar?
• ISO/SAE 21434 als Reputations-Booster
• Exkurs: Weitere wichtige Automotive-Regelwerke
• Checklisten zu den Anforderungen der UNECE Automotive Security
• Zertifizierung mit der DQS

Warum Automotive Cyber Security?

Automotive Cyber Security ist die Herausforderung der Stunde für Autobauer. Jede zusätzliche Kommunikationsschnittstelle und Komponente ist ein potenzieller Angriffspunkt für Cyberkriminelle. Das Schadenspotenzial einer Manipulation steigt rasant, etwa mit Blick auf autonom gesteuerte Fahrzeuge oder elektronisch gesteuerte Fahr- und Bremsfunktionen.

Daher stecken die Vereinten Nationen den grundsätzlichen Rahmen für die Automotive Cyber Security mit zwei neuen Bestimmungen ab. Es handelt sich um UNECE Cyber Security (UN R 155), die auf die neue Norm ISO/SAE 21434 direkten Bezug nimmt, und die UNECE Software-Aktualisierung (UN R 156). Im Juli 2022 sind die Regelungen für neue Fahrzeugtypen (in der EU) in Kraft getreten. Die Automobilbranche steht also vor großen Herausforderungen – zumal viele Original Equipment Manufacturers (OEMs) und Zulieferer die neuen Regelungen als sehr allgemein gehalten kritisieren. Hier wird vielfach der Wunsch nach konkreten Handlungsempfehlungen als verbindlicher Leitplanke laut.

Was bedeutet Cyber Sicherheit in der Automobilindustrie?

Während die internationale Norm ISO 27001 der branchenübergreifende Ansatz für Informationssicherheit ist, beschreibt der Begriff Automotive Cyber Security die Sicherheit digitaler Systeme in der Automobilindustrie. Unsere Kraftfahrzeuge sind immer mehr von vernetzten elektronischen Systemen und Software-Anwendungen abhängig. Deshalb gewinnt der Schutz und die Absicherung dieser Komponenten immer mehr an Bedeutung – und das über die gesamte Branche hinweg. Dies beginnt beim Fahrzeughersteller, geht über die Zulieferer und Engineering-Dienstleister und reicht bis hin zu den Software- und ITK-Infrastruktur-Dienstleistern. Zwei neue Vorschriften der Vereinten Nationen, an die Hersteller und deren Lieferanten gerichtet, sollen die Sicherheit der Automobil-IT gewährleisten.

Warum brauchen wir Automotive Cyber Security?

Vernetzte Fahrzeuge: Das bedeutet innovative Assistenzsysteme, (teil-)autonomes Fahren, vernetzte Produktion unter Einbindung der Zulieferer, connected cars mit connected services – die Digitalisierung macht sich in nahezu jedem Bereich der Automobilindustrie deutlich bemerkbar, und sie schreitet rasant voran. Doch die zunehmende Vernetzung bedeutet letztlich auch immer mehr Code, und der kann auf unterschiedlichsten Wegen kompromittiert werden. Denn moderne Autos enthalten bis zu 150 elektronische Steuergeräte und etwa 100 Millionen Zeilen Code, die sich bis 2030 sogar verdreifachen sollen. Dabei entspricht die Software-Menge eines heutigen Fahrzeugs schon heute dem vierfachen eines Kampfjets.

Nicht erst seit der Corona-Pandemie und des damit einhergehenden Anstiegs von Cyberangriffen sollte auf IT-Sicherheit bzw. Automotive Cyber Security besonderes Augenmerk gelegt werden. Ein Fahrzeug muss seine functional safety zu jedem Zeitpunkt garantieren können. Denn das Schadenspotenzial von Cyberangriffen auf Smart Cars ist enorm. Es gilt, die Schreckensszenarien großvolumiger Angriffe („Alle elektronischen Bremsen in den Fahrzeugen eines Herstellers werden zeitgleich von einem Hackerangriff lahmgelegt.“) zu bedenken. Hier braucht es treffsichere, wirksame Security Konzepte

Praxisbeispiel: Auswirkungen eines Angriffs

Die möglichen Auswirkungen eines Hacks haben zwei amerikanische IT-Experten 2015 an einem Jeep Cherokee demonstriert. Sie kompromittierten das Uconnect-System, das von Infotainment bis Navigation viele elektronische Fahrzeugfunktionen vereint. Darüber hinaus dient es als Schnittstelle für Mobilgeräte und eröffnet auf Wunsch einen WLAN-Hotspot – es besitzt also eine IP-Adresse. Zur Demonstration ihrer Fähigkeiten luden die beiden Hacker einen Journalisten ein, der wenig später machtlos dabei zusehen musste, wie er die Kontrolle über das Fahrzeug verlor.

Aus über 1000 Kilometer Entfernung drehten die Hacker über ihren Laptop erst die Klimaanlage und das Radio auf. Dann spritzten sie Wischwasser auf die Scheibe und schalteten schließlich einfach den Motor aus – mitten auf einem Interstate Highway (das Pendant zu einer europäischen Autobahn). Nach diesem ersten Beweis für gravierende Schwachstellen in der IT-Infrastruktur von Fahrzeugen gingen sie sogar noch ein Stück weiter. Sie zeigten auf einem leeren Parkplatz, dass sie sogar die Lenkung beeinflussen oder die Bremsen außer Kraft setzten konnten. Die Folgen dessen waren ein Rückruf von 1,4 Millionen Fahrzeugen und eine Strafzahlung in Höhe von 105 Millionen Dollar.

IT-Sicherheit und Software-Updates von Fahrzeugen

Punktuelle Maßnahmen reichen heute nicht mehr aus, um Fahrzeuge ganzheitlich zu schützen. Stattdessen sind systematische und strategische Ansätze gefordert, die klare Anforderungen an den Umfang, die Leistung und die Auditierung eines Security-Systems vorgeben. Dabei sollte der strategische Ansatz den gesamten Produktlebenszyklus abdecken. Hier gilt es, den Blick etwa auf die langfristige Verfügbarkeit von Software-Updates oder auf die Einbindung der gesamten Supply Chain zu richten.

Um einen entsprechenden Rahmen für Automotive Cyber Security zu schaffen, verabschiedete das Weltforum für die Harmonisierung von Fahrzeugvorschriften der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) im Sommer 2020 erstmals zwei verbindliche Regularien. Die unter den Abkürzungen UNECE R 155 und UNECE R 156 veröffentlichten Regeln betreffen die IT-Security und die Software-Aktualisierung in Fahrzeugen, sind damit also eng verbunden.

Die Bestimmungen sind Anfang 2021 in Kraft getreten. Seit Juli 2022 ist die Einhaltung für neue Fahrzeugtypen verbindlich. Herstellern, die den Anforderungen nicht gerecht werden, droht dann die Nichtzulassung der entsprechenden Fahrzeugtypen. Ab Juli 2024 werden die Regelungen schließlich für alle neu hergestellten Fahrzeuge gelten.

Die Verordnungen verlangen im Wesentlichen die Umsetzung von Maßnahmen in vier Bereichen:

• Management der Cyberrisiken für Fahrzeuge
• Schutz von Fahrzeugen gemäß eines Security-by-Design-Ansatzes, um Risiken entlang der Wertschöpfungskette zu mindern
• Erkennung und Abwehr von Angriffen über den gesamten Fahrzeugbestand
• Bereitstellung von Software-Updates im Sinne der Sicherheit und Einführung einer Rechtsgrundlage für Over-the-Air-Updates (O.T.A.) der Fahrzeugsoftware

Automotive Cyber Security: Wen betreffen die neuen Regelungen?

In den UN-Verordnungen ist vor allem von den Fahrzeugherstellern die Rede, die zur Umsetzung der neuen Anforderungen verpflichtet sind. Dazu gehört es allerdings auch, die Cyber-Sicherheit über die gesamte Lieferkette hinweg zu beobachten und zu überprüfen, um die Durchsetzung der Regelungen jederzeit nachweisen zu können. Der Hersteller ist also zur Kontrolle der Zulieferer verpflichtet. Und er wird seine Lieferanten daher mit hoher Wahrscheinlichkeit ebenfalls zur Umsetzung der neuen Standards verpflichten.

Die beiden Verordnungen gelten für PKW, Kleintransporter, LKW und Busse, sofern diese mit automatisierten Fahrfunktionen ausgestattet sind. In diese Kategorie fallen auch neuartige automatisierte Pods, Shuttles oder vergleichbare Vehikel. Darüber hinaus gelten die Regelungen auch für Anhänger, die mindestens ein elektronisches Steuergerät enthalten.

Was umfasst die UNECE Cyber Security nach R 155?

Die UNECE R 155 definiert Anforderungen für den Schutz von Fahrzeugen gegen Cyber-Angriffe. Ein zentraler Punkt ist dabei die Implementierung eines Cyber Security Management Systems (CSMS) in allen Unternehmen, die Fahrzeuge in den Verkehr bringen. Das Spannende daran: Mit dieser Vorgabe verschiebt sich die Perspektive der Hersteller. Denn: Deren Entwicklungstätigkeit endet nicht länger mit dem „Start of Production“ (SOP). Vielmehr entsteht eine fortlaufende Verpflichtung zur Überprüfung der Sicherheitssysteme über den gesamten Lebenszyklus eines Fahrzeugs, inklusive gegebenenfalls notwendiger Nachbesserungen.

Damit trägt der Gesetzgeber der hohen Dynamik im Bereich der Softwareentwicklung und Softwareabsicherung Rechnung. Zusätzlich soll das Managementsystem die Einhaltung der Sicherheitsanforderungen entlang der Supply Chain sicherstellen. Das ist keine leichte Aufgabe angesichts eines derzeitigen Zulieferer-Anteils von über 70 Prozent des Software-Umfangs.

Um trotz dieser komplexen Zusammenhänge durchgängige Sicherheit zu gewährleisten – von der Entwicklung bis zum fertigen Fahrzeug auf der Straße – gilt es, ein CSMS ganzheitlich zu denken. Darüber hinaus gilt es, Fahrzeuge auf der Basis eines Security-by-Design-Ansatzes zu konzipieren. Die Intention: Das Einfallstor für Angreifer von Beginn an so klein wie möglich halten.

Was ist ein Cyber Security Management System (CSMS)?

Wesentliche Merkmale eines CSMS sind:

• Risikomanagement: Ein Unternehmen nutzt Prozesse zur Risikoerkennung, Risikobewertung und Risikominderung von Cyber-Gefahren.
• Das Risikomanagement deckt den gesamten Produktlebenszyklus ab – von der Entwicklung bis zur Betriebsphase beim Endkunden.
• Monitoring von neuen Schwachstellen und bekannten Angriffen, um mit neuen Updates reagieren zu können.
• Ermöglicht ein unabhängiges Assessment durch ein akkreditiertes Prüfinstitut.

Wichtiger Pluspunkt in der Praxis: Die Systematisierung der Cyber-Sicherheit, die mit der Einführung eines CSMS einhergeht, nimmt die Unternehmen in die Pflicht, sich risikoorientiert mit dem Thema Informationssicherheit auseinanderzusetzen.

Dazu gehört es auch, Risiken vollumfänglich zu definieren und zu evaluieren, und sich Gedanken darüber zu machen, mit welcher Wahrscheinlichkeit diese eintreten werden. Diese Risikobewertung bildet einen robusten Ausgangspunkt, um das konkrete Schadenspotenzial auf ein tragbares Maß zu reduzieren – ein bewährter und pragmatischer Ansatz.

Automotive Cyber Security – Was regelt UNECE R 156?

Da in absehbarerer Zukunft auch vollständig autonome Fahrzeuge am Verkehr teilnehmen werden, ist es von zentraler Bedeutung, die Fahrzeugsoftware angemessen zu pflegen und beispielsweise durch Bugfixes oder Updates permanent auf dem neuesten Stand zu halten. Die R 156 schreibt daher die Einführung und den Betrieb eines normgerechten Software Update Management Systems (SUMS) für alle Fahrzeuge vor. Es soll dauerhafte Sicherheit über den gesamten Lebenszyklus eines Fahrzeuges bieten.

Selbst nach vielen Jahren oder Jahrzehnten müssen Updates demnach noch sicher und zuverlässig aufgespielt werden können. Darüber hinaus legt R 156 die Rechtsgrundlage für sogenannte „Over-the-Air“-Updates (O.T.A.), mit deren Hilfe die Fahrzeuge unabhängig von ihrem Standort jederzeit kurzfristig aktualisiert werden können.

Im Vergleich dazu geben aktuelle Hersteller von Mobiltelefonen kaum eine Zusicherung, wie viele kommende Software-Generationen sie unterstützen werden oder über welche Zeiträume ältere Geräte noch mit Sicherheitsupdates versorgt werden. Wenn sich eigentlich IT-affine Mobiltelefon-Hersteller den Herausforderungen des Lebenszyklus ihrer Produkte möglichst frühzeitig entziehen möchten, dann zeigt sich daran deutlich, vor welchen IT-technischen Herausforderungen die Automobilbranche mit ihren langen Produktlebenszyklen nun steht.

Ist zeitgemäße Cyber Sicherheit in der Automobilindustrie zertifizierbar?

Laut den EU-Regularien müssen Hersteller die Funktionstüchtigkeit ihrer Managementsysteme zu jedem Zeitpunkt sicherstellen und den Status ihrer gesamten Software umfangreich dokumentieren.

Um eine zertifizierbare Norm für die Funktionsfähigkeit eines CSMS bereitzustellen, hat die International Organization for Standardization (ISO) im August 2021 gemeinsam mit der Society of Automotive Engineers (SAE) die Norm ISO/SAE 21434 veröffentlicht. In Fachkreisen wird davon ausgegangen, dass ISO/SAE 21434 eine von den Genehmigungsbehörden anerkannte Grundlage für die Implementierung eines Cyber Security Management Systems bei einem Fahrzeughersteller bilden wird.

Der Verband der Automobilindustrie (VDA) hat zu dieser Norm eine ergänzende Prüfgrundlage geschaffen, mit der ein Fahrzeughersteller das CSMS seines Lieferanten oder Engineering-Dienstleisters auditieren kann. Auf diese Weise kann das CSMS des Herstellers bis auf die Ebene der Lieferanten eine positive Wirkung im Sinne der UNECE Regelungen entfalten.

Für die Zertifizierung eines Software Update Management Systems soll die Norm ISO 24089 zum Standard werden. Die Gestaltung ist zum jetzigen Zeitpunkt (Januar 2022) allerdings noch offen.

Abgrenzung zu TISAX^®

Auch TISAX^® ist zwar ein Prüfverfahren für Informationssicherheit in der Automobilindustrie. Und ähnlich wie bei einer Zertifizierung kann die Erfüllung der Anforderungen durch ein Assessment nachgewiesen werden. Allerdings richtet ich TISAX^® primär an Dienstleister oder Lieferanten in der Automobilindustrie, die ihren Kunden nachweisen müssen, dass Sie bestimmten Anforderungen an die Informationssicherheit nachkommen. Ein Beispiel ist der sichere Umgang mit Daten und Informationen, die einem Lieferanten vom Auftraggeber etwa für einen Entwicklungs- und Herstellungsprozess überlassen werden. ISO/SAE 21434 hingegen richtet sich an die Fahrzeughersteller, also die Original Equipment Manufacturers (OEM).

ISO/SAE 21434 als Reputations-Booster

Der Ansatz von ISO 21434 fordert analog zu gängigen Managementsystemen wie ISO 27001 die Umsetzung von Prozessen und Verfahren unter Beachtung identifizierter Risiken.

Erklärtes Ziel der Norm ist es dabei, die Sicherheit aller elektrischen sowie vor allem der datenverarbeitenden elektronischen Systeme über den gesamten Produktlebenszyklus eines Fahrzeugs bis zu dessen Entsorgung zu gewährleisten. Damit will sie ein etablierter und verbindlicher Qualitätsstandard für die Cybersicherheit im Automobilbereich werden.

Um diesem ganzheitlichen Ansatz gerecht zu werden, definiert die Norm ein CSMS für die Bereiche Sicherheitskonzeption, Produktentwicklung, Produktwartung, Risikoerkennung, Gefahrenabwehr, Produktentsorgung und die damit verbundenen fortlaufenden Prozesse. Dabei werden auch Regelungen für die Verantwortlichkeiten bei einer verteilten Produktentwicklung zwischen Hersteller und Lieferanten getroffen, ohne spezifische Technologien oder Lösungen konkret vorzuschreiben.

Fahrzeughersteller und Lieferanten sollten die Implementierung von ISO 21434 nicht als zusätzliche Bürde zum Tagesgeschäft verstehen. Im Gegenteil: Zertifizierungen bieten in vielen Bereichen echten Mehrwert – Stichwort: Cyber-Versicherung, Cyber-Haftung und Marktreputation. Damit können sie mitunter sogar zum Wettbewerbsvorteil werden. Immerhin gelten von unabhängigen Experten bestätigte IT-Sicherheit nach dem Stand der Technik und bestätigter Datenschutz in der Branche zunehmend als wichtiges Qualitätsmerkmal.

Exkurs: weitere wichtige Automotive-Regelwerk

IATF 16949

Die Automobilindustrie hat sich exzellenter Prozessqualität verschrieben, kontinuierlichen Verbesserungsprozessen, höchsten Standards und Innovationskraft. IATF 16949 ist die Norm für Qualitätsmanagementsysteme von Lieferanten in der Automobilbranche.

TISAX^®

TISAX^® ist ein gemeinsames Prüf- und Austauschverfahren für den Automobilbereich. Es basiert auf dem vom Verband der Automobilindustrie (VDA) entwickelten Fragenkatalog „ISA – Information Security Assessment“. Dieser enthält wiederum wesentliche Aspekte der internationalen Norm ISO/IEC 27001 und erweitert sie um ein Reifegradmodell.

ISO 26262

Mit der Umsetzung der Norm soll die funktionale Sicherheit eines Systems mit elektrischen bzw. elektronischen Komponenten im Kraftfahrzeug gewährleistet werden. Die Norm besteht aus zwölf Teilen. Teil 1: Vokabular, Teil 2: Management der Funktionalen Sicherheit, Teil 3: Konzeptphase, Teil 4: Produktentwicklung auf Systemebene, Teil 5: Produktentwicklung auf Hardwareebene, Teil 6: Produktentwicklung auf Softwareebene, Teil 7: Produktion und Betrieb, Teil 8: Unterstützende Prozesse, Teil 9: Automobiles Sicherheitsintegritätsniveau (ASIL)-orientierte und sicherheitsorientierte Analyse, Teil 10: Leitfaden für die Anwendung der ISO 26262, Teil 11: Leitfaden für die Anwendung der ISO 26262 auf Halbleiter und Teil 12: Anpassung für Motorräder.

Checklisten: Erfüllen Sie die Anforderungen der UNECE Automotive Security?

Der Anforderungskatalog der UNECE ist breit und kann auf den ersten Blick überfordern. Die folgenden drei Checklisten sollten Ihnen einen kompakten Überblick über die Bestimmungen geben – und einen ersten Eindruck darüber vermitteln, ob Ihre vorhandenen Managementsysteme bereits den UNECE-Regularien entsprechen.

Gemäß der UNECE-Verordnung über Cybersicherheit und Cyber-Security-Managementsysteme müssen Hersteller, um die Typgenehmigung zu bekommen, folgende Anforderungen erfüllen:

Anforderungen Cyber-Security-Managementsysteme

• Ein CSMS ist vorhanden und lässt sich auf die Entwicklungs-, Produktions- und Postproduktionsphase von Straßenfahrzeugen anwenden.
• Risikobewertungsanalysen werden durchgeführt und erfüllen ihren Zweck.
• Die Identifizierung von Maßnahmen zur Risikominderung erfolgt.
• Die Funktionsfähigkeit der Risikominderung ist durch Tests nachweisbar.
• Es sind Maßnahmen zur Identifizierung und Abwehr vor Cyberangriffen vorhanden.
• Methodische Datenforensik ermöglicht die Analyse erfolgreicher Angriffe.
• Es gibt Maßnahmen, um die Überwachungskapazität für einschlägige Bedrohungen, Schwachstellen und Cyber-Angriffe zu unterstützen.
• Der Fahrzeughersteller erstattet der Genehmigungsbehörde mindestens einmal im Jahr Bericht.

Gemäß der UNECE-Verordnung über Software-Updates und Software Update Management Systeme, müssen Hersteller, um die Typgenehmigung zu bekommen, folgende Anforderungen erfüllen.

Anforderungen Software Update Management Systeme

• Ein Software Update Management System ist vorhanden und es lässt sich auf Straßenfahrzeuge anwenden.
• Der Hersteller dokumentiert Aktualisierungen umfassend.
• Der Bereitstellungsmechanismus für Updates ist vor Manipulation geschützt und Integrität und Authentizität der Updates können gewährleistet werden.
• Software-Identifikationsnummern bzw. Softwareversionen sind vor unbefugten Veränderungen geschützt.
• Die Software-Identifikationsnummer ist über eine Schnittstelle vom Fahrzeug aus lesbar.

Anforderungen für Over-The-Air-Software-Updates

• Es existiert eine Wiederherstellungsfunktion, falls die Aktualisierung fehlschlägt.
• Die Software wird nur aktualisiert, wenn genügend Leistung vorhanden ist.
• Die sichere Ausführung der Updates kann gewährleistet werden.
• Benutzer werden über jedes Update und über deren Abschluss informiert.
• Updates werden nur ausgeführt, wenn das Fahrzeug dazu in der Lage ist (zum Beispiel können einige Updates nicht während der Fahrt erfolgen).
• Der Benutzer wird informiert, wenn ein Mechaniker benötigt wird.

Stellen Sie mit der DQS die Weichen für eine erfolgreiche Zertifizierung

Informationssicherheit und Datenschutz sind komplexe Themen, die weit über die IT-Sicherheit hinausgehen. Sie umfassen technische, organisatorische und infrastrukturelle Aspekte und berühren Anforderungen des Gesetzgebers. Für wirksame Schutzmaßnahmen eignet sich ein Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO/IEC 27001. Dieses lässt sich bestens um ein Privacy Information Managementsystem (PIMS) nach ISO/IEC 27701 ergänzen. ISO 21434 wiederum könnte die Basis für das von den Genehmigungsbehörden bald geforderte Cyber Security Management System (CSMS) werden.

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen von Managementsystemen und Prozessen. Mit unseren Produkten für die Automobilindustrie, wie dem Qualitätsmanagement gemäß IATF 16949 oder dem Prototypenschutz bei Lieferanten gemäß TISAX^®, haben wir und unsere Auditoren bereits umfassende Branchenkenntnisse erworben. Mit der Erfahrung aus mehr als 35 Jahren und dem Know-how von weltweit 2.500 Auditoren sind wir Ihr kompetenter Zertifizierungspartner und liefern Antworten auf alle Fragen rund um Datenschutz und Informationssicherheit.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.