Der Self Drive Act definiert gesetzlich verbindliche Standards für autonomes und automatisiertes Fahren. Dem Thema Automotive Security widmet die Gesetzesvorlage dabei ein eigenes Kapitel. Alle Hersteller von Fahrzeuge, die Assistenzsysteme für automatisiertes Fahren an Bord haben, werden demnach verpflichtet, einen so genannten „Cybersecurity Plan“ zu entwickeln. Im Gesetzestext explizit empfohlen werden Intrusion Detection and Prevention Systems (IDPS) zur Angriffsüberwachung und Absicherung wichtiger Steuerelemente sowie Test- und Monitoringroutinen und regelmäßige Updates.

Self Drive Act

Aller Voraussicht nach wird der Senat dem Self Drive Act – vorbehaltlich möglicher Änderungen – am Ende zustimmen. Der Weckruf aus Washington ist also deutlich vernehmbar. Es wäre unklug, ihn zu überhören.

Dr. Thomas Wollinger: „Der Weckruf aus Washington ist also deutlich vernehmbar. Es wäre unklug, ihn zu überhören.“ KD Busch

Der Gesetzentwurf verlangt einerseits Embedded Security-Lösungen, ein leistungsfähiges Backend und stetige Anpassung der Cybersecurity-Komponenten an die sich ständig ändernde Gefahrenlandschaft. Er fordert aber ausdrücklich auch eine organisatorisch verankerte Security-Policy, die Verantwortlichkeiten und Zugang zu sensiblen Daten genau definiert.

Solche Security-Maßnahmen sollen auch für Autos vorgeschrieben sein, bei denen Fahrerassistenzsysteme nur Einzelaufgaben übernehmen. Die Gesetzesvorlage spricht hier von „Partial Driving Automation“. Gemäß der gängigen Klassifizierung nach SAE International Standard J3016 würden dann bereits Fahrzeuge mit automatischer Einparkhilfe oder einem Stauassistenten ohne den gesetzlich geforderten „Cybersecurity Plan“ künftig zum US-Markt keinen Zugang mehr erhalten.

Handlungsbedarf

„Dass der Self Drive Act in den USA in Kraft tritt, ist wohl nur eine Frage der Zeit“, erklärt Dr. Thomas Wollinger, Geschäftsführer der Escrypt Embedded Security GmbH. Derzeit liege es zur Prüfung beim Senatsausschuss für Handel, Wissenschaft und Verkehrswesen (Committee on Commerce, Science, and Transportation). „Aller Voraussicht nach wird der Senat dem Self Drive Act – vorbehaltlich möglicher Änderungen – am Ende zustimmen. Der Weckruf aus Washington ist also deutlich vernehmbar. Es wäre unklug, ihn zu überhören.“

Self Drive Act USA

Der Self Drive Act wird wohl schon bald zum Gesetz in den USA. Shutterstock/Escrypt

Vor diesem Hintergrund bietet Escrypt entsprechendes „Strategic Automotive Security Consulting“ an. Laufende Informationen zur bestehenden Rechts- und Bedrohungslage sowie die Auswertung aktueller Veröffentlichungen und sicherheitsrelevanter Vorkommnisse sind hier wichtige Bausteine. „Übergeordnetes Ziel von Escrypt jedoch ist, den OEM ganzheitlich, über alle Instanzen hinweg zu begleiten – ausgehend von seiner individuellen Situation hin zu Automotive-Security auf Benchmark-Level“, erläutert Dr. Wollinger die Strategie seines Unternehmens. „Dazu gehört nicht nur der zielgerichtete Einsatz von Security-Lösungen wie Hardware-Security-Modulen, sicheren Protokollen zur Datenübertragung, Key-Management sowie Intrusion-Detection- and Prevention-Systemen. Mindestens ebenso wichtig ist die Implementierung und Orchestrierung von Security-Prozessen über die gesamte Organisation hinweg und entlang des gesamten Fahrzeug-Lebenszyklus – und zwar unter Einbeziehung aller internen und externen Stakeholder.“

Am Ende ist Automotive Security als Ganzes dann mehr als die Summe seiner Teile. Diese Denk- und Handlungsweise fordert die US-Legislative über ihren Gesetzentwurf ein – und die Gesetzgeber in anderen Autonationen könnten hier folgen. Für die Automobilbranche wird IT-Security dann nicht länger nur eine Frage der Fahrzeugsicherheit sein, sondern auch eine der Rechtssicherheit.