Stärkere Verknüpfung von Cybersicherheit und Datenschutz

Im Cybersecurity-Regulationsdschungel der Automobilindustrie

Ronen Smoly Ronen Smoly
Veröffentlicht Geändert
Automobilindustrie Cybersicherheit
Die UNR-155-Typengenehmigungsanforderungen stellen einen Wendepunkt für die globale Automobilindustrie dar. Was kommt auf die OEMs dabei zu?

Cybersicherheit rückt zunehmend in den Fokus der Automobilindustrie und weltweit wurden zahlreiche Sicherheitsanforderungen für Fahrzeuge erlassen. OEMs müssen diese Vorschriften verstehen, um rechtliche Konsequenzen und Strafen zu vermeiden.

Im Dezember 2023 gab Porsche bekannt, den meistverkauften SUV Macan mit Verbrennungsmotor bis Mitte 2024 nicht mehr auf den Märkten der Europäischen Union anzubieten. Auslöser für diese Entwicklung war die UN-Regelung 155 (UNR 155), die seit Juli 2024 für alle Neufahrzeuge vollständig Inkraft ist. In Ländern wie den EU-Mitgliedstaaten, die der Regulierung unterliegen, müssen OEMs seither für jedes neu zugelassene Fahrzeug die Einhaltung der UNR-155-Typgenehmigungsanforderungen nachweisen. Für viele Modelle – wie auch den Porsche Macan mit Verbrennungsmotor – war dies zu komplex und kostspielig.

Diese Entwicklung stellt einen Wendepunkt für die globale Automobilindustrie dar und hat tiefgreifende Auswirkungen auf OEMs jeder Art und Größe.

Was treibt die Regulierung voran?

Vernetzte und softwaredefinierte Fahrzeuge (SDV, software defined vehicles) verbessern Funktionalität und Sicherheit, bergen jedoch auch Cybersicherheitsrisiken. Cyberkriminelle könnten Softwareschwachstellen ausnutzen, um sicherheitskritische Systeme wie Bremsen zu manipulieren oder Fahrzeuge aus der Ferne zu steuern. Ein Beispiel: Eine Schwachstelle im Kia-Connect-System ermöglichte es, den Standort eines Fahrzeugs zu verfolgen, die Türen zu ver- und entriegeln sowie den Motor zu steuern.

Neben Sicherheitsfragen werfen die großen Datenmengen von SDVs erhebliche Datenschutzbedenken auf. Fahrzeuge erfassen Fahrgewohnheiten, Reiserouten und persönliche Daten wie Gespräche oder Aufnahmen der Innenraumkamera.

Als Reaktion auf diese Risiken haben Regierungen und Aufsichtsbehörden zahlreiche Sicherheitsanforderungen für Fahrzeuge erlassen. Globale Cybersicherheitsstandards wie UNR 155 und ISO/SAE 21434 sowie allgemeinere Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) und der California Consumer Privacy Act (CCPA) beeinflussen stark die Produktentwicklung von OEMs. Um rechtliche Konsequenzen und Strafen zu vermeiden, müssen OEMs die Auswirkungen dieser Vorschriften verstehen.

PlaxidityX_grafik_Cybersecurity_Regulations+Standards
Der wachsende Umfang der Cybersicherheitsvorschriften für Fahrzeuge macht OEMs das Leben schwer.

Wichtige Cybersicherheitsvorschriften im Überblick

Die meisten Fahrzeughersteller erkennen die Notwendigkeit von Cybersicherheits- und Datenschutzvorschriften. Weltweit gibt es jedoch über 50 relevante Vorschriften und Standards mit hunderten von Anforderungen – ein echter Regulationsdschungel. Im Folgenden einige prominente Beispiele.

Cybersicherheitsverordnungen

UNR 155 – Die UNR 155 verlangt von OEMs die Einführung eines risikobasierenden Cybersicherheits-Managementsystems (CSMS), um Cyber-Bedrohungen zu erkennen und Fahrzeuge zu schützen. Das CSMS definiert Prozesse, Zuständigkeiten und Governance, um Cybersicherheitsmaßnahmen während des gesamten Fahrzeuglebenszyklus sicherzustellen. Die UNR 155 gibt Vorgaben für Entwicklungs-, Produktions- und Nachproduktionsphasen, ohne spezifische Werkzeuge oder Produkte vorzuschreiben.

ISO/SAE 21434 – Die ISO/SAE 21434 legt technische Anforderungen für das Cybersecurity-Risikomanagement in Konzept, Entwicklung, Produktion, Betrieb und Wartung von Fahrzeugen fest. Diese Verordnung schützt die Fahrzeugsicherheit und bietet Leitlinien zur Integration von Cybersicherheit in den Entwicklungsprozess.

ENISA – Die 2004 gegründete und durch den EU-Cybersicherheitsakt gestärkte Agentur der Europäischen Union für Cybersicherheit (ENISA) fördert ein einheitliches hohes Cybersicherheitsniveau in der EU. Sie unterstützt die Cyberpolitik und steigert das Vertrauen in IKT-Produkte durch Zertifizierungssysteme. ENISA veröffentlicht regelmäßig Berichte mit Best Practices zur Sicherheit vernetzter und autonomer Fahrzeuge.

Datenschutzbestimmungen

Datenschutz-Grundverordnung (DSGVO) – Die DSGVO regelt die Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen, um den Datenschutz in der EU zu gewährleisten. Sie gibt Einzelpersonen mehr Kontrolle über ihre Daten und setzt Anforderungen zur Bekämpfung von Datenschutzverletzungen und Datenverlusten.

California Consumer Privacy Act of 2018 (CCPA) – Das kalifornische CCPA stärkt den Datenschutz der Verbraucher und hat extraterritoriale Auswirkungen auf Unternehmen, die personenbezogene Daten sammeln. Viele Unternehmen mussten ihre Datenpraktiken anpassen, um Strafen zu vermeiden.

Die Komplexität der CSMS-Implementierung

Die Einrichtung eines Cybersicherheits-Managementsystems (CSMS) und die Einhaltung von Vorschriften erfordern Fachwissen, Ressourcen und spezialisierte Tools. OEMs müssen auf Prozesse, Richtlinien und Strategien zurückgreifen, die den Anforderungen der ISO/SAE 21434 entsprechen. Dazu zählen auch Unternehmenskultur, Schulungen und Cybersicherheitsbewusstsein.

Gemäß ISO/SAE 21434 beginnt die Implementierung auf Produktebene mit der Bedrohungsanalyse und Risikobewertung (TARA, threat analysis & risk assessment). Dabei werden Fahrzeugarchitektur und kritische Softwarekomponenten analysiert sowie potenzielle Cyberbedrohungen bewertet. Penetrations- und Fuzz-Tests decken Schwachstellen auf. OEMs ergreifen basierend auf den TARA-Ergebnissen Maßnahmen zur Risikominderung durch Softwareanpassungen. Abschließend erfolgt die Validierung und Verifizierung des gesamten Systems, um alle Schwachstellen zu beheben. Der gesamte Zyklus ist in ISO/SAE 21434 dokumentiert.

In der Automobilindustrie ist Cybersicherheit nur eine von vielen Normen, die OEMs einhalten müssen, darunter Qualitätsmanagement (ISO 9001), funktionale Sicherheit (ISO 26262) und ASPICE. Das CSMS muss daher auf organisatorischer Ebene nahtlos mit diesen Normen zusammenarbeiten.

Cybersicherheit schon in der Entwicklungsphase

Cybersicherheit hat einen direkten Einfluss auf den Produktentwicklungszyklus, da Sicherheitsaspekte in den gesamten Entwicklungsprozess integriert sein müssen. Über die gesamte Lebensdauer eines Fahrzeugs (10 - 15 Jahre) sind Cybersicherheitsaktivitäten stetig zu überwachen und Verfahren für Over-the-Air-Software-Updates (OTA), einschließlich Sicherheitsupdates, für Fahrzeuge im Straßenverkehr festzulegen.

Herkömmliche IT-Tools zur Sicherung von Unternehmensnetzwerken sind für die spezifischen Herausforderungen vernetzter Fahrzeuge ungeeignet, zum Beispiel Millionen schützenswerter Endpunkte, komplexe Lieferketten, lange Fahrzeug-Lebenszyklen und strenge Compliance-Anforderungen. Da Cybersicherheit in der Automobilindustrie auch die Entwicklungsphase umfasst, sind viele gängige IT-Standards nicht anwendbar. Tools für IT-Standards wie ISO 27001 erfüllen nicht die Anforderungen der Cybersicherheit in der Automobilentwicklung.

Warum OEMs sich um den Datenschutz kümmern müssen

Je mehr persönlichen Daten unsere Autos erzeugen, desto mehr müssen OEMs auf Datenschutzbestimmungen achten. Als Verantwortliche für Daten, auf die Dienstleistungsanbieter wie Versicherungen zugreifen, müssen sie die Datenschutzgesetze und angemessene Sicherheitsmaßnahmen einhalten. Unternehmen, die die DSGVO nicht einhalten, riskieren hohe Strafen von bis zu 4 % des globalen Jahresumsatzes oder bis zu 20 Mio. EUR.

Ein Beispiel: Im Mai 2023 wurde bekannt, dass Tesla die Daten von Kunden und Mitarbeitern unzureichend geschützt hat, was zu Tausenden von Beschwerden über das Fahrerassistenzsystem führte. Ein Whistleblower hatte 100 Gigabyte vertraulicher Daten weitergegeben. Sollte dieser Verstoß nachgewiesen werden, könnte Tesla eine Geldstrafe von bis zu 4 % des Jahresumsatzes drohen, was 3,26 Mrd. EUR (3,5 Mrd. USD) entspräche.

PlaxidityX_grafik_Product-Level_ISO21434_ImplementationFlow
Die Implementation der ISO/SAE 21434 beginnt auf Produktebene und endet mit der Verifizierung des gesamten Systems.

Save the date: 30. Automobil-Elektronik Kongress

Save the Date! Der AUTOMOBIL-ELEKTRONIK Kongress findet 2026 am 16. und 17. Juni statt.
Save the Date! Der AUTOMOBIL-ELEKTRONIK Kongress findet 2026 am 16. und 17. Juni statt.

Am 16. und 17. Juni 2026 findet zum 30. Mal der Internationale Automobil-Elektronik Kongress (AEK) statt. Dieser Netzwerkkongress ist bereits seit vielen Jahren der Treffpunkt für die Top-Entscheider der Elektro-/Elektronik-Branche und bringt nun zusätzlich die Automotive-Verantwortlichen und die relevanten High-Level-Manager der Tech-Industrie zusammen, um gemeinsam das ganzheitliche Kundenerlebnis zu ermöglichen, das für die Fahrzeuge der Zukunft benötigt wird. Trotz dieser stark zunehmenden Internationalisierung wird der Automobil-Elektronik Kongress von den Teilnehmern immer noch als eine Art "automobiles Familientreffen" bezeichnet.

Sichern Sie sich Ihr(e) Konferenzticket(s) für den 30. Automobil-Elektronik Kongress (AEK) im Jahr 2026! Folgen Sie außerdem dem LinkedIn-Kanal des AEK und #AEK_live.

Im Channel zum Automobil-Elektronik Kongress finden Sie Rück- und Vorberichterstattungen sowie relevanten Themen rund um die Veranstaltung.

Cybersicherheit und Datenschutz gehen Hand in Hand

Eine Herausforderung bei SDVs ist die Verwaltung der gesammelten Daten von zahlreichen vernetzten Komponenten (ADAS, Kameras, Sensoren, GPS usw.) verschiedener Hersteller. Selbst aufmerksame OEMs haben Schwierigkeiten, den Überblick zu behalten und Datenschutzanforderungen zu erfüllen.

Unabhängig von der Datenerfassung liegt es in der Verantwortung der OEMs, Cybersicherheitsmaßnahmen zu implementieren, um Daten vor unbefugtem Zugriff zu schützen. Ohne die richtigen Instrumente im Fahrzeug lassen sich personenbezogene Daten durch Cyberangriffe kompromittieren oder stehlen. In solchen Fällen reicht es möglicherweise nicht aus, dass der OEM die Daten nicht absichtlich verkauft hat, um Haftung zu vermeiden. Daher wird Datenschutz zu einem wesentlichen Bestandteil der Cybersicherheit in der Automobilindustrie.

Praktische Ratschläge für OEMs

Um der wachsenden Komplexität der regulatorischen Landschaft zu begegnen und Cybersicherheits- sowie Datenschutzmaßnahmen effektiv umzusetzen, müssen OEMs ihre Kenntnisse laufend erweitern. Eine aktuelle Studie von PlaxidityX zu globalen Cybersicherheitsvorschriften in der Automobilindustrie liefert einige zentrale Erkenntnisse:

Überlappende Cybersicherheitsstandards
Viele Cybersicherheitsstandards überschneiden sich in ihren Anforderungen. ISO/SAE 21434 deckt bereits die meisten Anforderungen anderer Standards ab, insbesondere im Risikomanagement. Eine durchdachte Implementierung von ISO/SAE 21434 kann helfen, die UNR 155 und andere Standards schnell zu erfüllen und den Aufwand für die Einhaltung erheblich zu reduzieren.

Datenschutz als entscheidender Compliance-Faktor
Datenschutz ist zu einem entscheidenden Element der Compliance geworden und es ist zu erwarten, dass die Zahl der Datenschutzvorschriften in den kommenden Jahren steigt. Der Schutz persönlich identifizierbarer Informationen (PII) in Fahrzeugen hat direkte Auswirkungen auf die Profitabilität der OEMs.

Fehlende formale Zertifizierung im Datenschutz
Bislang gibt es keine formale Zertifizierung für die Einhaltung von Datenschutzvorschriften, so müssen OEMs selbst sicherstellen, dass sie alle Anforderungen erfüllen und angemessene Maßnahmen nachweisen. Ohne externe Zertifizierung kann es im Falle eines Verstoßes schwierig sein, rechtliche Haftung auszuschließen.

Handlungsorientierte Anleitung
OEMs benötigen konkrete Handlungsempfehlungen zum Umsetzen der Anforderungen. Angesichts der Komplexität von Fahrzeugökosystemen und der wachsenden Zahl an Vorschriften ist es wichtiger denn je, informiert zu bleiben und regulatorische Anforderungen in Maßnahmen umzusetzen.

Aufkommende Cybersecurity-Trends: Was ist am Horizont zu sehen?

Die UNR 155 ist derzeit in den EU-Mitgliedstaaten verbindlich. In den kommenden Jahren weiten sich Cybersicherheitsvorschriften auf weitere Regionen aus. Chinas Anpassung, bekannt als GB/T, soll 2025 Inkraft treten, während Indien neue Regelungen in einem frühen Entwicklungsstadium angekündigt hat. In Nordamerika gibt es zwar noch keine offiziellen neuen Verordnungen, doch eine Einführung ist angesichts der globalen Entwicklungen nur eine Frage der Zeit. Viele nordamerikanische Hersteller halten bereits die UNR 155 ein, um ihre Fahrzeuge in Europa verkaufen zu können.

UNR 155 ist derzeit die einzige verbindliche Cybersicherheitsregelung für Pkws, Lkws und Busse. Die UNECE-Arbeitsgruppe plant, sie auf Motorräder, Motorroller und Elektrofahrräder (Fahrzeugkategorie L) mit über 25 km/h auszuweiten. Geländefahrzeuge wie Traktoren oder Bagger könnten als nächste unter die Vorschriften fallen: Die ISO/WD 24882 befindet sich in der Vorbereitungsphase und konzentriert sich auf Cybersicherheitsstandards für die Integration digitaler Systeme in Landmaschinen.

Mit der zunehmenden Datensammlung durch Fahrzeuge ist eine stärkere Verzahnung von Cybersicherheits- und Datenschutzbestimmungen zu erwarten. Aktuelle Datenschutzgesetze sind allgemein und nicht auf Fahrzeuge zugeschnitten, während Cybersicherheitsvorschriften wie UNR 155 Datenschutz nur am Rande erwähnen. Zukünftig werden Cybersicherheits- und Datenschutzvorschriften zwar unabhängig bleiben, aber es wird wahrscheinlich mehr Querverweise zwischen beiden geben.

Ronen Smoly

CEO von PlaxidityX (vormals Argus Cyber Security)

RonenSmoly_CEO_PlaxidityX
cybersicherheit datenschutz unr 155 iso/sae 21434 oem automotive

Auch interessant