Wo sich vormals potenzielle Cyberangreifer noch physisch mit den Fahrzeugkomponenten verbinden mussten, um diese zu manipulieren, bestehen heute insbesondere aufgrund der gestiegenen Vernetzung der Komponenten untereinander sowie der Zugangspunkte außerhalb der Fahrzeuge erheblich breitere Eintritts- und Angriffsmöglichkeiten (zum Beispiel über kabellose Verbindungen wie Mobilfunk, WLAN oder Bluetooth). Mit der fortschreitenden Automatisierung geht also letztlich auch ein gesteigertes Gefahren- und Risikopotenzial einher. In diesem Zusammenhang sind natürlich nicht nur die Fahrzeuge, sondern auch die Strukturen der Unternehmen selbst immer mehr der Gefahr von Cyberangriffen ausgesetzt.
Um dieser Entwicklung neben bereits existierenden allgemeinen Sicherheitsvorgaben gerecht zu werden, hat das Weltforum für die Harmonisierung von Fahrzeugvorschriften (das sogenannte WP.29) der Wirtschaftskommission der Vereinten Nationen (die sogenannte UN-ECE) im Juni dieses Jahres erstmalig zwei Vorschriften mit Anforderungen zu Cybersecurity und zu Software-Updates für die Automobilindustrie verabschiedet.
UN-ECE-Vorschriften müssen von EU und Einzelstaaten umgesetzt werden
Da die UN-ECE-Vorschriften selbst noch keine unmittelbare Verbindlichkeit für die Marktteilnehmer haben, müssen diese von den einzelnen Staaten beziehungsweise von der Europäischen Union (EU) als Ganzes noch in die jeweiligen Rechtsordnungen umgesetzt werden, um verbindliche Wirkung zu entfalten. Der Zeitplan hierfür ist in Anbetracht der gänzlich neuen Anforderungen ehrgeizig. In Japan sollen die Vorschriften zum Beispiel bereits ab Januar 2021 gelten. Die Europäische Union plant eine Einführung innerhalb der nächsten zwei Jahre.
Geplant ist, dass die beiden Vorschriften wie auch die bisherigen UN-ECE-Vorschriften im Rahmen der Genehmigung von Fahrzeugen und Fahrzeugteilen in der EU (sogenannte Homologation) verpflichtend werden. Eine solche Genehmigung ist von jedem Fahrzeughersteller für jeden Fahrzeugtyp durchzuführen. Hierbei muss nachgewiesen werden, dass die einschlägigen UN-ECE-Vorschriften erfüllt werden. Dagegen sind Zulieferer grundsätzlich keine unmittelbaren Adressaten der Homologationsvorschriften, sofern diese nicht eine eigene Homologation ihrer Produkte durchführen.
Dennoch werden die neuen UN-ECE-Vorschriften für Cybersecurity und Software-Updates auch für den Großteil der Zulieferer relevant werden. Zum einen ist zu erwarten, dass die Automobilhersteller die daraus erwachsenden Anforderungen durch vertragliche Verpflichtungen auch in der Lieferkette sicherstellen werden (müssen). Zum anderen sind die Zulieferer schon im Rahmen der allgemeinen Risikoverhütung und der diesbezüglich bestehenden Sorgfaltspflichten in Bezug auf die eigene Unternehmensführung verpflichtet, sich mit solchen Industriestandards zu beschäftigen und diese in gebotenem Umfang zu berücksichtigen. Nicht zuletzt sind die in den UN-ECE-Vorschriften geforderten Maßnahmen zur Risikoerkennung und -minimierung von IT-Sicherheitsvorfällen deshalb auch als Selbstschutz zu verstehen, denn diese Maßnahmen tragen dazu bei, mit angemessenen Prozessen auf solche Vorfälle reagieren zu können.
Inhaltliche Anforderungen
Die beiden Vorschriften zu Cybersecurity und Software-Updates sind als zwei ineinandergreifende Systeme zu verstehen. Denn die besten Cybersecurity-Maßnahmen verfehlen letztlich ihre Wirkung, wenn diese aufgrund der fortschreitenden technischen Entwicklung im Laufe der Zeit angreifbar werden und entstandene Sicherheitslücken nicht durch Updates geschlossen werden. Umgekehrt können auch Software-Updates nicht ausreichend sein, zum Beispiel, wenn der Update-Prozess nicht zuverlässig ist.
Vor diesem Hintergrund sehen die neuen UN-ECE-Vorschriften sowohl auf der Fahrzeug- und Komponentenebene als auch auf der Unternehmensebene Anforderungen vor.
Die UN-ECE-Vorschrift zu Cybersecurity fordert insbesondere die Etablierung eines Cybersecurity Managementsystems sowie eine Risikoanalyse zur Identifizierung kritischer Risiken, Mechanismen zur Reduzierung von Risiken sowie Maßnahmen zur IT-Forensik und auch die Weiterleitung von Berichten über Cybersicherheitsvorfälle an die Genehmigungsbehörde.
Die UN-ECE-Vorschrift zu Software-Updates verpflichtet zur Etablierung eines Software-Update Managementsystems und zur Vornahme von Maßnahmen zum Schutz des Update-Vorgangs. An Over-the-Air-Updates werden nochmals gesonderte Anforderungen gestellt.
Herausforderungen und Folgen der Nichteinhaltung
Mit diesen neuen UN-ECE-Vorschriften erfolgt erstmalig eine umfassende Regulierung der Cybersecurity-Anforderungen in der Automobilindustrie. Da diese Vorschriften erheblich über die bisher nur allgemeinen Bestimmungen für die Automobilbranche hinausgehen, verlangt der relativ kurze Übergangszeitraum den Fahrzeugherstellern und Zulieferern einiges an inhaltlicher Arbeit ab. Insbesondere die Prüfung, Implementierung und Absicherung entsprechender Maßnahmen wie Cybersecurity und Software-Update Managementsystemen in die bestehende Prozesslandschaft wird hierbei eine der Herausforderungen sein. Aus diesem Grund sowie auch schon aus Gründen des Eigenschutzes tun Fahrzeughersteller und Zulieferer gut daran, sich frühestmöglich mit den neuen Anforderungen und deren Implementierung im eigenen Unternehmen auseinanderzusetzen.
Unternehmen, die die neuen Anforderungen zu Cybersecurity und Software-Updates ab deren verbindlicher Geltung nicht erfüllen, kann zukünftig die Genehmigung und damit auch der Vertrieb neuer Fahrzeugtypen und Fahrzeugteilen durch die zuständige Behörde untersagt werden. Darüber hinaus drohen Fahrzeugherstellern und Zulieferern auch zivilrechtliche Folgen wie Gewährleistungs- und Schadensersatzansprüche der Kunden und/oder Dritter (etwa andere Verkehrsteilnehmer), wenn die neuen Anforderungen nicht beachtet werden und in der Folge Cyberangriffe oder andere IT-Vorfälle zu Schäden führen. Aufgrund des Medieninteresses können solche Vorfälle darüber hinaus auch zu einem erheblichen Imageschaden führen.