UNECE-Regularien R 155 und R 156: Auch Zulieferer sind betroffen

Publiziert
Beginne eine Unterhaltung
0 Kommentare

Seit dem 1. Juli 2024 müssen Fahrzeughersteller (OEMs) für die Typengenehmigung aller Neufahrzeuge ein funktionierendes Cybersicherheitsmanagementsystem (Cyber Security Management System, CSMS) und ein Softwareaktualisierungsmanagementsystem (Software Update Management System, SUMS) nachweisen. Die Anforderungen ergeben sich aus den UNECE-Regelungen Nr. 155 und Nr. 156. Obwohl die Regularien nur die OEMs explizit in die Pflicht nehmen, sehen sich Zulieferer seit einiger Zeit mit Anfragen und der OEMs nach ihren CSMS und SUMS konfrontiert. Nicht selten sorgen solche Anfragen für Verunsicherung.
In diesem Blogartikel erläutern wir, welche Anforderungen sich aus den UN-Regularien UNECE R 155 und R 156 ergeben und woran sich Automobilzulieferer bei der Umsetzung orientieren können.

 

Inhalt

 

Was verbirgt sich hinter UNECE R 155 und UNECE R 156?

UNECE R 155 und R 156 sind Regularien der United Nations Economic Commission for Europe (UNECE) mit dem Ziel, auf organisatorischer Ebene Fahrzeuge gegen Cyberangriffe abzusichern. Die Regelungen sind seit Anfang 2021 in Kraft, galten jedoch während einer Übergangsfrist nur für neue Fahrzeugtypen. Seit dem 1. Juli sind sie nun jedoch für alle neu hergestellten Fahrzeuge (Kraftfahrzeuge zur Personen- und Güterbeförderung, Fahrzeuge mit Funktionen für autonomes Fahren, Anhänger mit mindestens einem elektronischen Steuergerät) verbindlich.

Dabei haben die Regelungen Nr. 155 und Nr. 156 jeweils einen eigenen Fokus:

  • UNECE R 155 umreißt Anforderungen für die Genehmigung von Fahrzeugen hinsichtlich ihrer Cybersicherheit; eine zentrale Rolle spielen dabei die Anforderungen an ein wirksames CSMS des Fahrzeugherstellers.
  • UNECE R 156 beinhaltet Anforderungen im Zusammenhang mit Softwareaktualisierung bei Fahrzeugen und schreibt die Einführung eines SUMS vor.

CSMS und SUMS müssen von einer unabhängigen Prüfstelle („Technischer Dienst“, in Deutschland z. B. der TÜV) zertifiziert und alle drei Jahre geprüft werden. Die Prüfstellen werden im jeweiligen Land von einer autorisierten Staatsstelle (in Deutschland das Kraftfahrtbundesamt) benannt. Kraftfahrzeughersteller und -zulieferer können ihre CSMS und SUMS bei allen Prüfstellen innerhalb der EU zertifizieren lassen.

Mehr Infos zu den beiden UNECE-Richtlinien finden Sie in unserem Wissensartikel „UNECE R 155 und UNECE R 156 (Cybersicherheit von Kraftfahrzeugen)".

 

Warum sind auch Zulieferer von R 155 und R 156 betroffen?

Explizit verpflichten die Regelungen nur die Fahrzeughersteller, ein CSMS und ein SUMS zu implementieren und dies zertifizieren zu lassen. Da die Hersteller aber über die gesamte Lieferkette hinweg für die Einhaltung der Maßnahmen zur Cyber- und Updatesicherheit verantwortlich sind und nachweisen müssen, dass sie die Risiken ihrer Zulieferer kontrollieren, haben die OEMs schon aus Haftungsgründen ein vitales Interesse daran, dass auch ihre Zulieferer die Vorgaben einhalten. Da sich die Verantwortung der Hersteller über den gesamten Lebenszyklus ihrer Produkte erstreckt, ist zudem eine Zusammenarbeit mit Zulieferern auch nach der Auslieferung der Fahrzeuge erforderlich – also während der gesamten Betriebsphase („im Feld“) bis hin zur Verschrottung.

Ein erheblicher Anteil der von den Cybersecurity-Anforderungen betroffenen Systeme – insbesondere ein Großteil der Fahrzeugsoftware – wird als Komponenten zugeliefert. Ähnlich wie es bei anderen Produkthaftungsrisiken geschieht, werden Hersteller daher – falls nicht bereits geschehen – ihre Zulieferer verpflichten, ebenfalls ein den UNECE-Vorgaben entsprechendes CSMS und SUMS einzuführen.

 

Welche Cyberrisiken sollen durch die UNECE-Regeln minimiert werden?

In Anhang 5 der UNECE R 155 findet sich eine Reihe von Beispielen für mögliche Cyberbedrohungen für Fahrzeuge. Unter anderem sind dies:

  • Angriffe auf Back-End-Server der Hersteller (Insider-Angriffe, Backdoors, SQL-Angriffe etc.)
  • Direkte Angriffe auf die Fahrzeugsysteme
  • Missbrauch oder Beeinträchtigung von Updateverfahren
  • Unbefugte Zugriffe auf die fahrzeuginternen Netzwerke
  • Angriffe auf die externe Kommunikation (Fahrzeug/Fahrzeug, Fahrzeug/externe Infrastruktur)
  • Manipulationen der Fahrzeugsoftware oder -firmware

Die Liste der Bedrohungen und Angriffsszenarien soll als Orientierung für Hersteller und Prüfstellen dienen, um mögliche Schwachstellen und Bedrohungsszenarien zu erkennen. Zwar werden jeweils auch „Minderungsmaßnahmen“ aufgelistet, diese sind jedoch wenig konkret. Um eine „Beeinträchtigung von drahtlosen Softwareaktualisierungsmaßnahmen“ vorzubeugen, lautet die Empfehlung beispielsweise „Es sind sichere Softwareaktualisierungsverfahren anzuwenden“.

 

Was sollten Automobilzulieferer nun tun?

Automobilzulieferer, die Komponenten mit digitalen Funktionen oder Software herstellen, sollten sich mit den UNECE-Anforderungen auseinandersetzen und sie weitestmöglich im eigenen Unternehmen umsetzen. Selbst dort, wo Hersteller dies nicht explizit einfordern, dürfte die Einhaltung von R 155 und R 156 einen großen Wettbewerbsvorteil für Automobilzulieferer darstellen. Dies, zumal die Umsetzung der UNECE-Regularien eine enge Kooperation zwischen Herstellern und Zulieferern, insbesondere bei Bedrohungsanalysen und Risikobewertungen (TARA), nötig macht.

Zulieferer sollten demnach:

1. Ein Cybersicherheitsmanagementsystem implementieren, das den Anforderungen der UNECE R 155 entspricht. Dieses System muss alle Aspekte der Cybersicherheit über den gesamten Lebenszyklus eines Fahrzeugs hinweg abdecken. In Hinblick auf Datenschutz ist dabei insbesondere die Zeit nach Stilllegung eines Fahrzeugs zu berücksichtigen, da die Systeme vernetzter Fahrzeuge eine große Zahl personenbezogener Daten enthalten.
2. Eine kontinuierliche Bewertung von Risiken und Bedrohungen für die Cybersicherheit ihrer Produkte etablieren, verbunden mit Maßnahmen zur Risikominderung. Dies umfasst die Identifikation potenzieller Angriffe und ein regelmäßiges Monitoring von CVE-Datenbanken (Common Vulnerabilities and Exposures), um neue Schwachstellen zu identifizieren. Darüber hinaus müssen Rückmeldemöglichkeiten an CVE-Datenbanken für die Meldung sicherheitsrelevanter Vorfälle sowie ggf. über Patches vorgehalten werden.
3. Ein Software Update Management System gemäß UNECE R 156 implementieren, um sicherzustellen, dass Software-Updates über den gesamten Lebenszyklus ihrer Produkte sicher und effizient verwaltet und durchgeführt werden können.
4. Ein Register für Regulierungs-Software-Identifikationsnummern (RXSWIN) zur Identifikation und Verwaltung von Software etablieren. So kann der Stand der Steuergeräte im Fahrzeug dokumentiert werden, damit Hersteller und unabhängige Prüfer jederzeit die aktuelle Softwarekonfiguration eines Fahrzeugsystems nachvollziehen können.
5. Eine Prüfroutine von Updates und Patches einführen, um Software-Updates vor dem Ausrollen auf Sicherheitslücken zu überprüfen. Gegebenenfalls ist es nötig, die Updates durch die Zulassungsbehörde prüfen zu lassen – vor allem wenn sie sicherheitsrelevante Funktionen betreffen (z. B. Bremsen, Lenkung oder Funktionen für autonomes Fahren).
6. Sämtliche Maßnahmen im Rahmen der Cybersicherheit detailliert dokumentieren, um die Einhaltung der Anforderungen jederzeit nachweisen zu können.

Darüber hinaus sollten alle beteiligten Mitarbeiter geschult und für die Bedeutung der Cybersecurity-Maßnahmen und des Software-Update-Managements sensibilisiert werden, damit sie die Anforderungen verstehen und berücksichtigen.

 

Wie können Automobilzulieferer diese Anforderungen umsetzen?

Wie bereits erwähnt, sind UNECE R 155 und R 156 nicht sehr konkret, wenn es um die Umsetzung der Anforderungen geht. Darüber hinaus lassen die Regularien auch einige zentrale Aspekte offen, etwa die Frage, wie lange Updates zur Verfügung gestellt werden müssen (sind sie z. B. so lange verpflichtend, bis es keinen zugelassenen Oldtimer des jeweiligen Fahrzeugtyps mehr gibt?). Dies erschwert nicht nur Herstellern und Zulieferern das Leben, sondern auch den prüfenden Instanzen. Auch deswegen beanspruchen wohl Zertifizierungen derzeit zwischen sechs Monaten und zwei Jahren. Allerdings verläuft eine Zertifizierung umso glatter, je strukturierter die Prozesse eines Unternehmens bereits vor Einführung von CSMS und SUMS waren. Ist ein Unternehmen bereits ISO-9001-zertifiziert, kann dies erfahrungsgemäß die Zertifizierung eines CSMS deutlich vereinfachen.

Aber Hersteller und Zulieferer müssen im Hinblick auf die Umsetzung der UNECE-Vorgaben nicht im luftleeren Raum operieren. Einen strukturierten Rahmen für die Einführung eines CSMS und die Erfüllung der regulatorischen Anforderungen der R 155 bietet die Norm ISO 21434 („Road vehicles – Cybersecurity engineering“). Die Norm enthält u. a. Beschreibungen von kontinuierlichen Überwachungsmaßnahmen von Cybersecurity-Aktivitäten auf organisatorischer Ebene (Bewertung von Cybersecurity-Ereignissen, Schwachstellenanalyse und -management etc.), Methoden für Bedrohungs- und Risikoanalysen, Reaktionen auf Security-Vorfälle, Beispiele für eine Security-Kultur und für die Erstellung einer Risikoanalyse (Threat and Risk Assessment, TARA).

Bei Einführung und Betrieb eines Softwareaktualisierungsmanagementsystems können sich Automobilzulieferer an der ISO 24089 (Road vehicles – Software update engineering) orientieren. Sie bietet einen Rahmen für die Entwicklung eines Software-Update-Mechanismus, der die sichere Bereitstellung von Updates ermöglicht, darunter Anforderungen und Empfehlungen für das Software-Update-Engineering, die Einführung eines SUMS sowie Verifizierung, Validierung und Risikomanagement in Hinblick auf Cybersicherheit. Auch der in Teil 6 der ISO 26262 beschriebene Entwicklungsprozess für funktional sichere Software kann als Orientierung für Entwicklung und Validierung von Software-Updates dienen.

 

Wie NewTec Automobilzulieferer unterstützt

Wir beraten Automobilzulieferer bei der Implementierung eines CSMS, beispielsweise zu qualitätssicherungsrelevanten Themen wie einem kontinuierlichen Schwachstellen- oder CVE-Monitoring, zu Dokumentationen (z. B. Guidelines, Manuals für OEMs) oder zu regelmäßigen Bedrohungs- und Risikoanalysen auf Organisationsebene. In Bezug auf UNECE R 156 unterstützen unsere Fachleute Sie z. B. bei der Entwicklung eines SUMS-Konzepts, beim Aufbau eines SUMS oder Implementierung eines RXSWIN-Systems.

Kontaktieren Sie uns: Kontakt
Oder rufen Sie uns an unter +49 7302 9611-0

Kommentare

Keine Kommentare

Kommentar schreiben

* Diese Felder sind erforderlich