Cybersicherheits-Vorgaben: Was drin steht

Inhaltsverzeichnis

Kürzlich machte die Runde, dass der Volkswagen-Konzern mehrere Automodelle nicht mehr baut. Als Grund nannten Markensprecher neue Cybersicherheits-Gesetze. Diese gelten seit Juli 2022 für neu homologierte Fahrzeuge. Ab Juli 2024 weitet sich der Geltungsbereich auf alle neu zugelassenen Fahrzeuge aus, was in der Volkswagen-Gruppe einige ältere Typzulassungen betrifft. Bei der Volkswagen-Nutzfahrzeuge-Sparte wird der T6.1 vorzeitig nicht mehr in der EU verkauft. Bei VW fällt der kleine Up weg, bei Porsche der Cayman, Boxster und der aktuelle Verbrenner-Macan. Allen betroffenen Baureihen ist gemein, dass ein Nachfolger bald folgt.

Die Argumentation lautet also: Die nötige Zertifizierung zur Cybersicherheit lohnt sich nicht mehr für diese Modelle. Andere Marken haben sich nicht so klar auf die Cybersicherheit als Grund für Produktionsenden bezogen, die Auto-Presse vermutete das jedoch stellenweise für andere Modelle anderer Konzerne. Fahrzeuge wie der Renault Zoe sind jedoch nicht vom Hersteller bestätigt wegen Cybersicherheit raus. Im Gegenteil betont Renault seit 2022, wie gut sie den Prozess im Griff hätten und wie wichtig er sei. Aber sehen wir uns die Regularien en détail an.

Eine Analyse von Clemens Gleich

Clemens Gleich saß vor langer Zeit als c't-Redakteur in einem Büro des Heise-Verlags, bevor ihn einschneidende Erlebnisse dazu brachten, fürderhin in den Sätteln von Motorrädern sein Geld zu verdienen. Doch einmal Nerd, immer Nerd: Als freier Autor schreibt er immer noch über Computerthemen. Und das ganze Drumherum an gesellschaftlichen und politischen Auswirkungen.

WP.29 schreibt R155 und R156

Innerhalb der Institutionen der Vereinten Nationen (United Nations, UN) gibt es das "Weltforum für die Harmonisierung von Fahrzeugvorschriften", die Working Party 29 (WP.29). Diese Arbeitsgruppe versucht, weltweite Fahrzeuggesetze zu vereinheitlichen. Dazu macht sie Vorgaben, zu denen sich dann Märkte bekennen oder eben nicht bekennen. Zu den Vorschlägen der Cyber- und Updatesicherheit haben sich die EU, Japan und Südkorea bekannt. Bei den diskutierten Vorgaben zur Cybersicherheit geht es um die UNECE-Regelungen R155 und R156. R155 betrifft die besagte Cybersicherheit und dreht sich zentral um ein "Cybersicherheits-Management-System" (CSMS). R156 beschreibt sichere Software-Updates für Fahrzeuge und dreht sich um ein "Software-Update-Management-System" (SUMS). Betroffen sind PKW (Klasse M), Nutzfahrzeuge (N) und Anhänger (O), wenn diese entsprechende IT-Systeme aufweisen. Zweiräder (L) sollen im Juli 2029 folgen. Eine autorisierte Staatsstelle (in Deutschland das Kraftfahrtbundesamt, KBA) benennt einen technischen Prüfdienst (in Deutschland den TÜV), der wiederum nach Prüfung der Unterlagen die Zertifizierungen vornimmt. Geprüft wird alle 3 Jahre. Ein Hersteller kann CSMS und SUMS innerhalb der EU auch bei anderen Prüfstellen zertifizieren lassen. Tesla etwa lässt in den Niederlanden zertifizieren, Audi in Luxemburg.

Ganz kurz zusammengefasst steht in den Regularien: CSMS und SUMS müssen vorhanden sein. Es gibt nur grob skizzierte Vorgaben, wie sie genau aussehen sollen. Das Erläuterungsdokument zur R155 sagt noch lapidar, Normen wie die ISO/SAE 21434 "können" dazu genutzt werden. Müssen aber nicht, zumindest nicht formal. Informell richten sich die Hersteller allerdings schon an Normen aus, weil die a) konkrete Vorgaben machen und b) oft bereits im Haus zertifiziert sind und den Prozess daher vereinfachen. Zusätzlich verschieben Normen die Prüflast von den staatlichen Stellen auf die jeweiligen Prüfinstitute. Weitere konkrete Vorgaben für die Zertifizierung in Deutschland hält das KBA auf seiner Website bereit. Ein vergleichsweise konkretes Element findet sich in der R156. Sie verlangt, dass jede Software-Version eine eindeutige ID erhalten soll, die RxSWIN, wobei SWIN für "Software Identification Number" steht und das Rx für die UNECE-Norm des zugehörigen Steuergeräts. Ein der Cybersicherheit zugeordnetes Steuergerät (z. B. Gateway) könnte also eine R155xxxxx als ID erhalten. Diese ID soll über ein elektronisches Interface, "mindestens" über OBDII auslesbar sein. Entlang der ID müssen die Software-Versionen in einem vom technischen Dienst prüfbaren Register dokumentiert werden. Software-Updates, die zulassungsrechtliche Systeme betreffen, sollen zudem beim technischen Prüfdienst vorgelegt werden.

Alles kann, nichts muss

Sowohl R155 als auch R156 sind bemerkenswert vage gehalten. Rein formal kann man jeden Prozess, der zur IT-Sicherheit des Fahrzeugs dient, als CSMS zertifizieren lassen. Ein CSMS definiert die WP.29 so:

"'Cyber Security Management System (CSMS)' means a systematic risk-based approach defining organisational processes, responsibilities and governance to treat risk associated with cyber threats to vehicles and protect them from cyber-attacks."

Übersetzung:

"'Cyber Security Management System (CSMS)' meint einen systematischen, risikobasierten Ansatz, der organisatorische Prozesse, Verantwortlichkeiten und Kontrollen definiert, um Risiken in Verbindung mit Cyberbedrohungen für Fahrzeuge zu behandeln und diese vor Cyberattacken zu schützen."

Ich erspare Ihnen die SUMS-Definition, sie ist ähnlich gehalten.

Ich gebe noch eine Kostprobe aus der R155, damit Sie sehen, was ich mit "vage" meine:

"Cryptographic modules used for the purpose of this Regulation shall be in line with consensus standards."

Auf Deutsch in kurzer Sprache: Die Krypto soll dem Stand der Technik entsprechen. Much wow.

Wenn man einen Hammer hat, sieht alles wie ein Nagel aus. Ich bin Texter. Für mich sieht das wie eine reine Textaufgabe aus. Jeder professionelle Texter könnte jeden Prozess der Fahrzeugherstellung aus den letzten 15 Jahren so beschreiben, dass er den Vorgaben formal entspricht. In der Praxis hat sich beim TÜV Süd herausgestellt, dass die Vorbereitungen und Prüfungen Monate dauern, im Extremfall bis zu zwei Jahre. Volkswagens Software-Sparte Cariad spricht von typischerweise sechs Monaten Vorbereitung und einigen Wochen der Überprüfung durch den TÜV. "Das kommt aber darauf an, wie strukturiert die Prozesse vorher waren", erklärt Miriam Gruber, die bei Cariad in der Abteilung Security Governance arbeitet. "Wenn ein Betrieb zum Beispiel schon nach ISO 9001 zertifiziert ist, wird die Zertifizierung eines CSMS deutlich einfacher. Wenn vorherige Zertifizierungen fehlen, wird es wesentlich aufwendiger."

Warum die vorgezogenen Produktionsenden?

Die Fahrzeughersteller scheinen flächendeckend wenig Probleme mit den Vorgaben für neue Typzulassungen gehabt zu haben. Mercedes-Benz etwa gab auf Anfrage an, die CSMS-Zertifizierung 2021 vorgenommen zu haben und folgte mit dem lapidaren Hinweis: "Die Regularie hat keine Auswirkungen auf das Portfolio von Mercedes-Benz." Wenn die Prozesse vorher schon gut strukturiert waren, hält sich der zusätzliche Aufwand für R155 und R156 in Grenzen. Bei älteren Modellen ohne eine solche Zulassung sieht es anders aus. Sie müssen ebenfalls der R155 entsprechen, erhalten aber eine zunächst großzügig klingende Ausnahme:

"The manufacturer shall have a valid Certificate of Compliance for the Cyber Security Management System relevant to the vehicle type being approved.

However, for type approvals prior to 1 July 2024, if the vehicle manufacturer can demonstrate that the vehicle type could not be developed in compliance with the CSMS, then the vehicle manufacturer shall demonstrate that cyber security was adequately considered during the development phase of the vehicle type concerned."

Zusammenfassend auf Straßendeutsch: Wenn man bei Typzulassungen vor Juli 2024 noch kein CSMS für einen Fahrzeugtyp hat und nachweisen kann, dass man das nicht entwickeln konnte (Fachkräftemangel!), dann reicht es, wenn die Cybersicherheit als "angemessen bedacht" belegt wird.

Diese Hürde klingt zwar niedrig, bedeutet aber dennoch einen erheblichen bürokratischen Aufwand. Denn selbst in der Argumentation für "angemessen bedacht" liegt einiger Papierkrieg verborgen. Zusätzlich verlangt die R155 den Nachweis, dass während des Betriebs an alle Cyber-Eventualitäten gedacht wird. Das hieße für die alten Elektronikkonfigurationen der betroffenen Modelle, dass dort ein gewisses Kostenrisiko auf die Straße gebracht wird. Bei einem Sicherheitsproblem müssen aufwendig zu beschreibende Prozesse greifen und nachgewiesen werden, die in diesen alten Typen ohne Over-the-Air-Update behoben werden müssten. Bei der Verantwortlichkeit verlangt die R155 sowohl die Berücksichtigung der Zuliefererkette als auch einen Prozess, der greift, bis das letzte Fahrzeug des Typs von der Straße ist, was im Oldtimer-Liebhaberland Deutschland heißt: für die Lebenszeit des Herstellers. All diese Kostenfaktoren veranlassten die Marken anscheinend zu den vorzeitigen Produktionsenden der betroffenen Modelle.

Formulare und Quirks

Während die Gesetze in ihren Kernvorgaben vage bleiben, sind die bürokratischen Anforderungen klarer formuliert. Es muss ganz viel "in dreifacher Ausfertigung" in Formulare geschrieben werden. Zusätzlich enthält vor allem die R155 einige Eigenheiten. Mindestens einmal im Jahr sollen die Hersteller beim KBA ihren Cyber-Bericht abliefern und dabei bestätigen, dass alles noch so cyber ist wie zur Zertifizierung (R155, Abschnitt 7.4.1). Die Dokumente enthalten dann noch tabellarisch Tipps dazu, wie man Cyberprobleme löst. Ein Virus hat sich eingeschlichen? "Measures to protect systems against embedded viruses/malware should be considered." Oder ganz oft einfach: "Cybersecurity best practices for software and hardware development shall be followed." Alles nicht besonders hilfreich.

Wir erhalten zunächst einmal viel neue Bürokratie für alte Selbstverständlichkeiten. Meine persönliche Ansicht ist: Dem hohen bürokratischen Aufwand steht nur ein geringer Nutzen gegenüber, weil das von der R155 Verlangte längst Produktionsalltag in deutschen Autofirmen ist. Miriam Gruber von Cariad sieht das differenzierter, globaler: "Ist man mit seinen Prozessen bereits gut aufgestellt, ist der Aufwand durch die neue Richtlinie überschaubar. Wenn ich den Gesamtmarkt betrachte, halte ich die neuen Regeln für eher hilfreich, weil sie für den Gesamtmarkt oder Quereinsteiger in die Automobilproduktion Mindeststandards setzen. Auch die Zertifizierungen können an sich sehr hilfreich sein. Wir sehen zum Beispiel Vorteile in einer partnerschaftlichen Zusammenarbeit mit den technischen Diensten: Wir wollen beide, dass prüfbar sichere Systeme auf die Märkte kommen. Wenn der technische Prüfdienst Verbesserungsmöglichkeiten aufzeigt, ist das gut für uns. Der technische Dienst hat industrieweite Einblicke und kann unsere Prozesse in einem größeren Kontext bewerten."

Ganz kurz für Entscheider also zum Schluss: Ein bisher guter Prozess wird sich gut zertifizieren lassen, und es lohnt sich, die neuen Vorgaben als Anlass zu nehmen, die hauseigenen Prozesse zu verbessern.

(cgl)