Neuer Standard zum Schutz der Automobile gegen Hackerangriffe

Für ein Mindestmaß an Sicherheit der Automobile gegen Cyberattacken soll in der EU künftig ein neuer Standard sorgen. Ab Mitte 2022 bekommen demnach neue Fahrzeugmodelle nur dann eine Typgenehmigung, wenn ihr Hersteller und alle Zulieferer digitaler Komponenten zertifizierte Cyber-Security-Management-Systeme (CSMS) installiert haben. Dessen Regeln müssen auch schon während der Fahrzeugentwicklung gegriffen haben. Gewährleisten sollen CSMS die Sicherheit nicht nur beim Verlassen des Werks, sondern – auch durch Updates – über das ganze Fahrzeugleben.

Den Rahmen setzt die UNECE, eine Kommission der Vereinten Nationen, mit einer Ende Juni beschlossenen Regelung. Die Details finden sich im Standard ISO/SAE 21434, der aber wohl erst Ende des Jahres endgültig verabschiedet werden wird. "Bis dahin liegen die Anforderungen nur als Entwurf vor", erläutert Hans-Peter Fischer, Partner und Security-Experte bei KPMG. Damit "stehen die Hersteller unter einem großen Zeitdruck. Schließlich befinden sich jene Fahrzeuge, die ab Mitte 2022 ihre Typgenehmigung benötigen, schon jetzt in der Entwicklung", so Fischer.

CSMS stellen gewissermaßen das Pendant zu den Information-Security-Management-Systemen (ISMS). Während die ISMS auf den Schutz der IT und der Daten im Unternehmen gerichtet sind, sollen CSMS die Security im Produkt sichern – und erfassen dazu auch alle Zulieferer und Subzulieferer von digitalen Komponenten.

Zwar ist es neu, dass für CSMS nun eine Reglementierung und Zertifzierung geschaffen wird. Doch die Unternehmen haben "in den vergangenen Jahren bereits ohne gesetzliche Vorgaben Strukturen für die Cybersicherheit der Produkte geschaffen, auf denen sie nun aufbauen können. Status und Tempo sind hier von Hersteller zu Hersteller durchaus unterschiedlich", erläutert KPMG-Security-Experte Jan Stölting.

Bei BMW sieht man sich in dieser Hinsicht gut aufgestellt. Der Hersteller "verfügt bereits über ein CSMS, welches wir ausbauen, um weiterhin unsere Prinzipien ‚Security by Design‘ und ‚Privacy by Design‘ konsequent von Beginn an in der Entwicklung einfließen zu lassen und den Regularien vollständig zu entsprechen", erläutert ein BMW-Sprecher der Automobilwoche. Zudem habe BMW die Ausarbeitung der Regelungen "intensiv begleitet und ist entsprechend vorbereitet auch wenn eine detaillierte Auslegung bei den technischen Diensten und Behörden noch nicht vorliegt", so der Unternehmenssprecher weiter.

Das grundsätzlich Neue, so viel ist auch vor der Verabschiedung des Standards ISO/SAE 21434 ist die Ausweitung auf die gesamte Lebensdauer des Fahrzeugs. Das CSMS muss also auch Regeln und Prozesse zum "Patchen" von Sicherheitslücken im Betrieb vorgeben.