In den letzten Jahren ist die Aufmerksamkeit für Cybersecurity in der Automobilbranche stark gestiegen. Insbesondere für den Megatrend des hochautomatisierenden Fahrens hält sowohl die Industrie als auch die Regulierung Cybersecurity für eine der wichtigsten Schlüsseltechnologien, die entlang der gesamten Wertschöpfungskette zu gewährleisten ist.
Cybersecurity braucht einen Rahmen
Das Vorgaben von technischen Anforderungen im Sinne von Bauvorschriften ist im dynamischen Umfeld der Cybersecurity nicht praktikabel. Es muss jedoch sichergestellt sein, dass Datensicherheit von vernetzten Fahrzeugen über ihren gesamten Lebenszyklus adressiert ist. Eine horizontale, systematische Berücksichtigung von Cybersecurity in der Konzeptentwicklung, Produktentwicklung und Produktion, wie auch die notwendigen Software-Updates im Feld entsprechend des aktuellen Stands der Technik, ist dafür sicherzustellen. Darüber hinaus ist auch eine vertikale Betrachtung notwendig, die über die Wertschöpfungskette hinweg und insbesondere in der verteilten Entwicklung eine Abstimmung bei der Cybersecurity gewährleistet.
Sowohl Industrie als auch Regulierung haben die Notwendigkeit von Standards und Regularien erkannt, um diesem komplexen Feld einen Rahmen zu geben. Daher wurden seit 2016 verschiedene Initiativen ins Leben gerufen, die die Datensicherheit bei Fahrzeugen sicherstellen sollen und einen Einfluss auf die Entwicklungsprozesse von Automobilherstellern und -zulieferern nehmen. Viele der Aktivitäten laufen parallel und stellen teils unabhängig voneinander Anforderungen auf, die von Unternehmen der Wertschöpfungskette gleichermaßen umzusetzen sind. Hierbei besteht die Gefahr, dass parallele Strukturen aufgebaut werden, die einen höheren Aufwand bei der Implementierung in interne Prozesse oder in den einzelnen Entwicklungsprojekten erzeugen.
Der folgende Beitrag stellt die für den europäischen Markt wichtigsten Aktivitäten kurz vor und zeigt anschließend die Zusammenhänge auf, gefolgt von einem Überblick zum Zeitplan.
Aktivitäten
UN-Task-Force on Cybersecurity and OTA Issues
Diese Aktivität begann im Dezember 2016 unter anderem mit dem Ziel, Hilfestellungen bezüglich Cybersecurity in der Fahrzeugtypenzulassung zu geben. Ergebnis war im September 2018 die Veröffentlichung eines Vorschlags für eine Regulierung, die nach einer Testphase in der ersten Jahreshälfte von 2019 vom WP.29 (World Forum for Harmonization of Vehicle Regulations) voraussichtlich im März 2020 verabschiedet wird.
ISO/SAE 21434 – Road vehicles – Cybersecurity engineering
Dieses Standardisierungsprojekt startete im Oktober 2016 mit dem Ziel, Anforderungen an Prozesse einer risikobasierten Herangehensweise in der Fahrzeugentwicklung sowie bei Softwareupdates und dem Störungsmanagement (Incident Management) zusammenzustellen. Die Veröffentlichung des Draft International Standard (DIS) ist für Ende Oktober 2019 geplant.
European Commission – Cybersecurity Act
Dieses Regulierungsvorhaben wurde im September 2016 eröffnet und ist derzeit im Trialog. Derzeitige Zwischendokumente fordern die Etablierung von Schemen zur Zertifizierung von Produkten, für die Security relevant ist. Dies sieht auch industriespezifische Schemen vor. Bislang ist eine freiwillige Zertifizierung basierend auf dieser Regulierung geplant, das kann künftig aber durch nationale Gesetzgebung verpflichtend sein. Mitte Dezember 2018 hat der Trialog der europäischen Institutionen zu einer Einigung geführt. Eine Ratifizierung ist fürs erste Quartal 2019 geplant.
VDA–QMC-Arbeitskreis Automotive Cybersecurity Management System
Im Oktober 2018 initierte der QMA einen Arbeitskreis um Standards bei den Auditierungs- und Assessment-Prozessen von Cybersecurity zu definieren. Dies ist motiviert von den geplanten Regeln zur Fahrzeugtypenzulassung sowie dem Standard ISO/SAE 21434. Die Gelbbandphase ist fürs erste Quartal 2020 geplant.
Auch wenn die Aktivitäten zum Teil unabhängig voneinander arbeiten, lässt sich durch eine ganzheitliche Betrachtung der Aufwand der Implementierung ins unternehmenseigene Regelwerk reduzieren. Die Aktivitäten sind wie in Bild 1 miteinander verknüpft. Wie gut das klappt und was zu beachten ist, folgt im nächsten Abschnitt.
UN Regulation for Cybersecurity als Grundlage
Die im Trialog verabschiedete Version der Regulierung enthält sechs Paragraphen mit Anforderungen an das Zertifizierungsschemata (Tabelle 1, große Ansicht oder Pdf-Dokument im Download unten). Es gibt eine überwiegende Übereinstimmung mit den Anforderungen und Empfehlungen der UN-Regulierung, in manchen Punkten wäre die geplante UN-Regulierung zu erweitern.
Durch die Nutzung der UN-Regulierung als Grundlage und Inspiration für ein europäisches Zertifizierungsschema für die Automobilbranche, ließe sich hier ein zusätzlicher Aufwand vermeiden. Die UN-Regulierung definiert keine Assurance Levels, wie sie der Artikel 46 des Cybersecurity Acts verlangt. Da es sich bei diesem Artikel um eine Empfehlung handelt, stellen fehlende Level in der UN-Regulierung kein Problem dar. Die Artikel 45 und 47 werden von der UN-Regulierung nicht erfüllt. Zur Erfüllung bedarf es einer Definition von zusätzlichen Anforderungen für den europäischen Markt, im Hinblick auf die Dokumentation von Zugriffen und das Berichten von zuvor unentdeckten Verwundbarkeiten.
Eine Schwachstelle existiert in der Erfüllung des Artikel 47 des EU-Cybersecurity Act. Offen ist noch die Klärung, ob eine Zertifizierung auf Fahrzeug- oder auf Komponentenebene stattfindet. Dies muss in der Ausarbeitung des Zertifizierungsschemas durch die ENISA noch erfolgen. Eine enge Zusammenarbeit zwischen der ENISA und der europäischen Automobilindustrie sollte einen anwendbaren Rahmen sicherstellen. Die Organisationen ACEA und CLEPA sind daher bereits mit ENISA im Gespräch.
ISO/SAE 21434 als Unterstützung zur Erfüllung der UN-Regulierung
Die aktuelle Arbeitsversion der UN-Regulierung für die Fahrzeugzulassung im Bereich der Cybersecurity erfordert einen zweistufigen Prozess (Bild 2). Die Grundlage bildet eine horizontale Zertifizierung der Unternehmensprozesse, ein Cybersecurity Management System (CSMS) einzubinden. Das CSMS soll sicherstellen, dass Cybersecurity von Fahrzeug in der Entwicklung, aber auch im Feld (Updates, Incident Management) gewährleistet ist. Alle drei Jahre ist das Zertifikat des CSMS durch eine Zulassungsstelle zu erneuern. Der Fahrzeughersteller muss die Implementierung eines CSMS auch bei den Zulieferern sicherstellen. Eine erfolgreiche Zertifizierung bildet die Voraussetzung für die zweite Stufe, bei denen jeder Fahrzeugtyp auf eine angemessene Berücksichtigung der Cybersecurity zu überprüfen ist.
Eine vollständige Implementierung der ISO/SAE 21434 (Stand CD) in die unternehmenseigenen Regeln und Prozesse erfüllt die Anforderungen der UN im Hinblick auf CSMS. Eine Einschränkung gibt es beim Geltungsbereich des ISO/SAE-Standards. Dieser beschränkt sich auf Straßenfahrzeuge und berücksichtigt so keine Backend-Systeme (Cloud) oder die Kommunikation zu anderen Fahrzeugen oder zur Straßeninfrastruktur (Road-Side-Units). Die UN-Regulierung hat einen erweiterten Geltungsbereich, der dies mit einschließt. Es ist jedoch rechtlich noch offen, ob Backend-System und Kommunikationskanäle im Rahmen einer Fahrzeugtypenzulassung zu berücksichtigen sind.
Eckdaten
Neue Regulierungen und Standardisierungen definieren derzeit Anforderungen an die Entwicklung der Cybersecurity von Fahrzeugen. Viele der seit 2016 gestartet Aktivitäten laufen parallel und stellen teils unabhängig voneinander Anforderungen auf, die von Unternehmen der Wertschöpfungskette gleichermaßen umzusetzen sind. Parallele Strukturen und verschiedene Vorgehensweisen sind zu vermeiden. Um den Aufwand der internen Implementierung gering zu halten, bedürfen die verschiedenen Aktivitäten einer klugen Verknüpfung miteinander. Der Beitrag stellt die für den europäischen Markt wichtigsten Aktivitäten vor, zeigt deren Zusammenhänge auf beschreibt den Zeitplan.
Nachweise zur Fahrzeugtypenzulassung mit Hilfe der Standardisierung
Für die Zulassung eines bestimmen Fahrzeugstyps in der zweiten Stufe benötigen die Zulassungsstellen eine Dokumentation, die eine Berücksichtigung von Cybersecurity im Risikomanagement und in der Entwicklung von entsprechenden Gegenmaßnahmen nachweist. Die im Standard ISO/SAE 21434 vorgegebenen Prozesse und Dokumentationen können hierbei die UN-Anforderungen zu den Fahrzeugtypen mit zwei Ausnahmen adressieren (Tabelle 2, große Ansicht oder Pdf-Datei im Download unten).
Die erste Ausnahme ist die UN-Anforderung 7.3.4. Sie fordert, kritische Elemente eines Fahrzeugstyps gegenüber Risiken zu schützen und diese zuvor per Risikobewertung zu identifizieren. Der ISO/SAE-Standard beschreibt eine Methode zur Risikobewertung, die jedoch in der aktuellen Arbeitsversion des Standards nicht zur Durchführung verpflichtet. Es steht derzeit in Diskussion, diesen Punkt in der finalen Version zu adressieren.
Die zweite Ausnahme betrifft Anforderung 7.3.5, die eine sichere Umgebung für Aftermarket-Software, Dienstleistungen, Applikationen und Daten fordert. Der Standard ISO/SAE 21434 schließt in seinem Umfang das Vorschreiben von technischen Lösungen aus und kann damit die UN-Anforderung nicht direkt erfüllen. Er eignet sich jedoch als Grundlage für die Entwicklung einer solchen sicheren Umgebung, die den Anforderungen und Herausforderungen der Automobilindustrie entsprechen kann.
Audit und Assessment der Prozesse
Prozesse zur Auditierung und zur Begutachtung von Cybersecurity-Aktivitäten sind bisher nur rudimentär adressiert. Der Standard ISO/SAE 21434 spricht diesen Punkt nur oberflächlich an. Die Regulierung, insbesondere die UN-Regeln zur Fahrzeugtypenzulassung, benötigen aber eine konkretere Aufführung zu diesem Punkt.
Der VDA–QMC hat diese Lücke identifiziert und einen Arbeitskreis gegründet, um diese zu schließen. Der Arbeitskreis „Automotive Cybersecurity Management Systems” hat das Ziel, CSMS auditierbar und zertifizierbar zu machen, um den Anforderungen der UN-Regulierung Sorge zu tragen und um weiteren Standards zu entsprechen. Da der Standard ISO/SAE 21434 als Grundlage für die Fahrzeugtypenzulassung dient, ist es notwendig, dass Anforderungen an das Auditieren und Zertifizieren der Cybersecurity auch in der internationalen Standardisierungslandschaft zu adressieren.
Nationale VDA-QMC-Aktivitäten könnten daher kurzfristig als Teil eines ISO-PAS-Dokuments international öffentlich erscheinen und mittelfristig als Ergänzung in der zweiten Edition der ISO/SAE 21434 hinzukommen. Ein international abgestimmtes Vorgehen ist für die global agierende Automobilbranche essenziell, um Mehraufwände durch regionale Unterschiede möglichst gering zu halten.
Die nächsten Schritte
Bisher ist noch keine der angesprochenen Aktivitäten in einem finalen Stand verfügbar. Ein direktes Implementieren in organisationsspezifische Regeln und Prozesse birgt daher ein gewisses Risiko von erneuten Änderungen zu einem späteren Zeitpunkt. Die ersten finalen Ergebnisse sind sowohl für den ISO/SAE-Standard, als auch die UN-Regulierung nicht vor Ende 2019 zu erwarten (Bild 3, große Ansicht oder Pdf-Datei im Download unten).
Die für Ende Oktober geplante Veröffentlichung des ISO/SAE 21434 DIS (Draft International Standard) kann den Startschuss für die Implementierung in interne Prozesse und Regeln geben. Wie zuvor beschrieben, wird der Standard auch eine gute Grundlage für die UN-Fahrzeugtypenzulassung bilden. Der noch offene und kritische Punkt der Risikobewertung sollte im ISO/SAE 21434 DIS geschlossen sein. Trifft dies nicht zu, muss die Wertschöpfungskette dies für Märkte, bei denen die UN-Regularien relevant sind, selbst definieren.
Der Zertifizierungsstandard für CSMS sollte seine Arbeit im engen Austausch mit dem ISO/SAE 21434-Standard fortsetzen. Etwa zeitgleich mit Verabschiedung der UN-Regeln durch WP.29 im März 2020 bildet ein Gelbband (unverbindliche Normempfehlung) sowie eine internationale Standardisierungsaktivität im ersten Quartal 2020 eine gute Orientierung zur Auditierung von CSMS der Fahrzeughersteller auf Basis des Standards ISO/SAE 21434. Die gesetzliche Implementierung der UN-Regulierung erfolgt in Europa durch einen Delegated Act, den die General Safety Regulation autorisiert. Auch wenn diese Regulierung erste im September 2021 Inkrafttreten soll, sind der Standard ISO/SAE 21434 und die Ergebnisse des QMC-Arbeitskreises in der finalen Version im Vorfeld bereits verfügbar. So ist eine gute Grundlage zur Erfüllung der Anforderungen der Fahrzeugtypenzulassung schon jetzt gegeben.
Ein Haufen Arbeit für ENISA
Parallel läuft die Ausarbeitung des Zertifizierungsschemas für die Automobilindustrie. Die Verabschiedung des Cybersecurity Acts in den ersten beiden Monaten von 2019 bildet die rechtliche Grundlage für die Ausarbeitung und Bestimmung der Cybersecurity-Zertifizierungsschemen. Die ENISA wird aufgrund begrenzter Ressourcen priorisieren müssen, mit welchen Industrien sie im Jahr 2019 beginnen wird. Ob die Automobilindustrie auch darunter sein wird, ist auch abhängig davon, inwieweit sie selbst Vorschläge für eine Umsetzung im Dialog mit der ENISA einbringt.
Die kommenden zwei Jahre werden für die Datensicherheit in der Automobilindustrie sehr spannend und wegweisend. Wenn es die Automobilindustrie schafft die verschiedenen Aktivitäten klug zu verknüpfen, dann wird dies die Grundlage für eine gute und angemessene Berücksichtigung der Cybersecurity in der Produktentwicklung von Fahrzeugen und Fahrzeugkomponenten sein sowie die Basis für erfolgreiche Megatrends legen.
Dr. Markus Tschersich
(jwa)