Die neue Generation BMW iDrive führt die Interaktion zwischen Fahrer und Fahrzeug in die digitale Zukunft. (Bild: BMW)
Elektrisch und autonom fahrenden Autos gehört die Zukunft. Viele Branchenmanager haben sich diese Einschätzung längst zu eigen gemacht und gewichten das Portfolio ihrer Unternehmen neu. Die Fahrzeughardware tritt in den Hintergrund, immer wichtiger für neue Geschäftsmodelle werden softwarebasierte Innovationen. Die Transformation ist in vollem Gange. Allerdings: In dem Maße, in dem der Vernetzungsgrad zunimmt und Autos komplexer macht, eröffnen sich nicht nur neue Möglichkeiten. Es steigen auch die digitalen Risiken.
Die Konnektivität, die neuen Fahrzeugmodellen zugrunde liegt, vergrößert die Angriffsfläche für Hacker ganz erheblich. Mit jedem neuen Modell, das auf die Straßen kommt, wächst die Zahl der Angriffe und Manipulationsversuche. Mal steht die Privatsphäre der Besitzer auf dem Spiel, mal erfolgen schwerwiegende Zugriffe auf die elektronischen Bordsysteme und Daten der Autos selbst. „Cybersecurity ist eine wachsende Herausforderung“, stellte Théo Tamisier vom Beratungshaus Q-Perior im März auf dem Internationalen Stuttgarter Symposium klar. Allein im Jahr 2020 hätten sich die Schäden durch Cyberkriminalität für Firmen in den USA auf die gigantische Summe von 1.000 Milliarden Dollar belaufen. Das entspricht den kumulierten Jahresumsätzen, die der Volkswagen-Konzern, Daimler, BMW, Ford, Toyota und Bosch 2019 erzielt haben.
Neue Regelungen zu Cybersicherheit
Security-relevante Vorfälle in der Automobilindustrie haben besonders in den letzten drei Jahren signifikant zugenommen. Malware-Angriffe, Sensorattacken, Erpressungssoftware oder Datenlecks hielten viele Unternehmen mächtig auf Trab. Und so wird es bleiben: Im Januar veröffentlichte das Weltforum zur Harmonisierung von Fahrzeugregelungen (WP.29), das von der UNECE betrieben wird, neue Regelungen zu Cybersicherheit und Cybersecurity-Managementsystemen. Die technischen Anforderungen müssen von der Automobilbranche weltweit beachtet werden und gelten in wichtigen Märkten wie Europa, Russland, Japan oder Südafrika.
Der hinterlegte Zeitplan hat es in sich: Bereits im Juli nächsten Jahres sind die Verordnungen verbindlich für alle neuentwickelten Fahrzeuge. Ab dem Jahr 2024 greifen sie dann beim Neuverkauf aller Fahrzeugtypen, die vor 2022 zugelassen wurden. Alle Autohersteller müssen bis dahin nachweisen, dass sie über ein Cybersecurity-Managementsystem verfügen, das auf Fahrzeuge im Straßenverkehr anwendbar ist. Das CSMS muss Risiken analysieren und bewerten können, kritische Punkte identifizieren sowie Maßnahmen zur Risikominimierung dokumentieren. Dazu zählen Tests und beispielsweise die Beweismittelsicherung durch Datenforensik.
Risiko: Updates over the Air
Ebenso fordert die WP.29 ein Softwareupdate-Managementsystem: Mit ihm müssen die OEMs über spezielle Identifikationsnummern den Nachweis führen, in welchem Fahrzeug welcher Softwarestand installiert ist, um nachträgliche Aktualisierungen über die Luftschnittstelle sicher durchführen zu können. Um die Lücken zwischen der Organisation und den neuen Vorschriften zu ermitteln, empfehlen die Experten von Q-Perior eine umfassende Bewertung der Ist-Situation. Dabei sollten nicht nur Prozesse und Aktivitäten überprüft, sondern auch ihre Reife und Anwendung in der täglichen Praxis kritisch hinterfragt werden. Eine Aufgabenstellung, mit der sich Jürgen Gleichauf im Bereich Legal Product und Technical Compliance bei Daimler tagtäglich auseinandersetzt. „Unser gemeinsames Ziel über alle Fachbereiche hinweg lautet: Wir wollen Fahrzeuge weltweit rechtssicher auf die Straße bringen. Dabei müssen unsere Ingenieure bei der Produktentwicklung rechtliche Fragestellungen mitberücksichtigen“, erklärt der Jurist in einem Interview mit automotiveIT.
Keine triviale Sache: Zum einen sind viele juristische Normen sehr abstrakt und für viele nicht auf den ersten Blick verständlich. Zum anderen eilt der technologische Fortschritt dem Gesetzgeber oft voraus, während der Dschungel an Vorschriften immer dichter wird. „Um hier die richtigen Entscheidungen treffen zu können, braucht es Orientierung und Unterstützung. Die Plattform dafür wollen wir mit unserem technical Compliance Management System bieten“, sagt Gleichauf.
Recht und Technik gemeinsam denken
Im Zentrum steht für Daimler ein möglichst umfassendes Risikomanagementsystem, das Entwickler, Zertifizierer, Juristen und Compliance Manager im Dialog umsetzen. „Wir verfolgen einen systematischen und präventiven Ansatz: Recht und Technik sollen von Anfang an gemeinsam gedacht werden“, sagt Daimlers Rechtsexperte Gleichauf. Als Stichwort nennt er hier unter anderem das Konzept Adaptive Compliance, um die Transformation in der Automobilbranche möglichst flexibel und mit schnellen Reaktionszeiten zu begleiten. „Die zentrale Frage in allen Bereichen der technischen Entwicklung lautet doch: Wie kann ich heute eine Entscheidung treffen, die auch morgen noch rechtssicher ist – und das Ganze so, dass die technische Innovation nicht schon im Keim erstickt wird.“
Das muss auch für ein Technologiefeld gelten, über das sich die UNECE zuletzt ebenfalls einige Gedanken gemacht hat: das teil- beziehungsweise hochautomatisierte und vollautonome Fahren. Im Januar sind strenge Anforderungen für den Einsatz automatisierter Spurhalteassistenzsysteme, sogenannter ALKS (Automated Lane Keeping Systems), weltweit in Kraft getreten. Die UN-Verordnung Nr. 157 ist die erste verbindliche internationale Regelung für die Level-3-Fahrzeugautomatisierung. Durch die Nutzung fortschrittlicher Technologien sollen Unfälle vermieden und ein aktiver Beitrag zu mehr Verkehrssicherheit geleistet werden. Die Regularien gelten nicht nur für Pkw, sondern auch für Transporter, Lkw, Busse sowie leichte vierrädrige Fahrzeuge, wenn sie mit automatisierten Fahrfunktionen ab Stufe 3 ausgestattet sind. Ziel der Verordnung ist es, die sichere Einführung und den sicheren Betrieb von automatisierten Fahrzeugen in verschiedenen Verkehrsumgebungen zu ermöglichen.
