Cybersecurity war bislang nahezu ausschließlich eine Domäne der betrieblichen IT. Mit der Vernetzung der Produktionsstrukturen kamen auch die Experten für die Shopfloor-Echtzeitrechner mit an den Tisch. Ein Regelwerk der UN nimmt nun auch die Fahrzeugentwickler in die Pflicht: Im Juni hat das Weltforum für die Harmonisierung von Fahrzeugvorschriften (UN/ECE) eine Reihe von Vorgaben vorgelegt, die bereits ab 2021 schrittweise in Kraft treten sollen. Erstmalig werden darin zulassungsrelevante Vorgaben für die Cybersicherheit von Fahrzeugen formuliert.
Kurz zusammengefasst: Ohne Schutz vor Hackern und anderen Cybergaunern wird in Zukunft kein Auto mehr eine Typzulassung erhalten. Dazu müssen die Hersteller den Nachweis führen, dass sie für jedes Fahrzeugmodell ein spezifisches Cybersecurity-Managementsystem (CSMS) implementiert haben. Damit werden die Entwicklungsabteilungen künftig nicht mehr um Kompetenzaufbau in diesem heiklen Bereich herumkommen. Dies zu schultern bedeutet eine zusätzliche Herausforderung für die OEMs, die mit der Digitalisierung von Produkten, Produktionsverfahren und Dienstleistungen gegenwärtig ohnehin stark gefordert sind.
Sicherheit während des gesamten Lebenszyklus
Mit der Einführung und Einhaltung des Prinzips Security by Design ist die Aufgabe aber noch nicht bewältigt: Die verbundenen Fahrzeuge müssen künftig über ihren gesamten Lebenszyklus auch im Zugriff der Security-Prozesse bleiben und die OEMs müssen nachweisen, dass sie in der Lage sind, Updates auszuliefern und durchzuführen. Die Prozesse umfassen die Funktionen Evaluierung und Priorisierung von Cyberrisiken sowie den Umgang mit ihnen. Die CSMS müssen Bedrohungen erkennen und eine schnelle Abhilfe gewährleisten; das gilt auch für neue Bedrohungen.
Die Richtlinien sagen nichts darüber aus, wie die Hersteller diese Anforderungen umzusetzen haben, doch einfach eine weitere Cybersecurity-Abteilung zu gründen, werde nicht funktionieren, sagen Experten wie Martin Böhner, der beim Softwarehersteller Elektrobit das Produktmanagement für Connectivity und Security leitet. „Durchgängige Security muss von Anfang an ein integraler Bestandteil durch sämtliche Konzepte und Prozesse hindurch sein“, sagt Böhner. Noch etwas komplizierter wird die Lage durch die Anforderung, die Fahrzeuge sicherheitstechnisch über ihren gesamten Lebenszyklus zu begleiten und im Falle eines Angriffs eine entsprechende Gegenmaßnahme zu entwickeln und in die Fahrzeuge einzubringen.
Der Support für die Modelle wird eingestellt
Auch bei der Entdeckung einer Sicherheitslücke, die sich theoretisch für einen Angriff eignen würde, muss der OEM ein Patch zur Verfügung stellen. Unklar ist, wann ein Hersteller den Support für ein Modell einstellen kann – theoretisch dürfte das erst beim Nachweis der Verschrottung für das letzte Exemplar eines Fahrzeugs der Fall sein, doch das ist wohl nicht realistisch. Beobachter schließen nicht aus, dass die Hersteller irgendwann ein Ende des Supports für bestimmte Modelle verkünden werden, ganz ähnlich wie das heute im Softwaremarkt für PCs oder Handys der Fall ist.
Eventuell wäre dann auch der Austausch eines gefährdeten Steuergeräts durch ein neueres denkbar. Den Betrieb der CSMS werden die Fahrzeughersteller dabei kaum an externe Dienstleister delegieren können, sagt Böhner. „Gewisse Dinge, wie das Sammeln von Daten, kann man auslagern. Aber wenn es um die Analyse eines unerwarteten Verhaltens der Elektronik geht, ist die Kompetenz des Herstellers gefragt.“ Bei der Analyse ist dieser unter Umständen auf das Knowhow seiner Zulieferer angewiesen, muss dann aber auch Änderungsanforderungen entlang der Lieferkette orchestrieren und durchsetzen.