Die UNECE WP.29-Regelungen für die Cyber Security

Seit Anfang 2022 gelten neue Regeln für Software-Updates vernetzter Fahrzeuge. Diese Anforderungen rücken die Cyber Security auch in der Automobilindustrie in den Fokus.

WP.29: Das Weltforum für die Harmonisierung von Fahrzeugvorschriften

Die WP.29 ist eine Arbeitsgruppe des Weltforums für die Harmonisierung von Fahrzeugvorschriften. Das Inland Transport Committee (ITC) und die Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) verfolgen dabei unterschiedliche Aufgaben.

Ein Ziel der UNECE WP.29 ist es, den internationalen Handel durch ein einheitliches Regelsystem im Fahrzeugbau zu vereinfachen. Gleichzeitig zielen Regularien wie die UNECE R155 darauf ab, technische Vorschriften zu harmonisieren und weiterzuentwickeln. Die Grundlage bilden die rechtlichen Rahmenbedingungen der WP.29 aus den Jahren 1958, 1997 und 1998.

Eine weitere wichtige Aufgabe der UNECE WP.29 besteht darin, innovative Fahrzeugtechnologien zu regulieren und die Fahrzeugsicherheit kontinuierlich zu verbessern. Hierzu kommt unter anderem die UNECE R155 zum Einsatz. Neben der Automotive Cyber Security spielen weitere Aspekte wie Energieverbrauch und Umweltschutz eine zentrale Rolle. Dennoch liegt der Fokus der neuen Verordnungen vor allem auf dem Teilbereich der Cybersicherheit. Damit sollen Schwächen in den aktuellen Sicherheitsstandards behoben werden, um Fahrer und Hersteller gleichermaßen vor Cyberkriminellen zu schützen.

Die WP.29 Regelung im Detail: R155, R156 und R157

Die UNECE-Arbeitsgruppe befasst sich mit zahlreichen Themen: von der Fahrzeugsicherheit über den Umweltschutz bis hin zur Energieeffizienz. Vorschriften wie die UNECE R155 beziehen sich dabei auf Sicherheitsmechanismen, die eine verbesserte Cyber Security gewährleisten sollen.

• R155: Die UNECE R155 konzentriert sich auf die Implementierung eines Cyber Security Management Systems. Solche Systeme sind entscheidend für das Incident Response Management über den gesamten Fahrzeuglebenszyklus hinweg. Daher bilden die verschiedenen KPIs der Informationssicherheit, etwa die Mean Time to Contain, einen zentralen Teil dieser Vorschrift. Zusätzliche Maßnahmen wie ein fortlaufender Schwachstellenscan (Continuous Vulnerability Scan) oder Pentests sind ebenfalls Bestandteil der R155-Verordnung.
• R156: Während sich die UNECE R155 auf die Cyber Security konzentriert, liegt der Fokus der R156 auf Software-Updates. Die Richtlinie verlangt ein dediziertes Software-Update-Management-System sowie regelmäßige Security Assessments. So lässt sich die fortlaufende Kompatibilität der Updates sicherstellen.
• R157: Diese Vorschrift widmet sich der Sicherheit moderner Fahrassistenzsysteme. Dazu gehören das Advanced Driver Assistance System (ADAS) und der automatische Spurhalteassistent (Automated Lane Keeping System, ALKS). Beide Systeme erfordern ein hohes Maß an Cyber Security und innovativer Technologie, weshalb die UNECE R155 hierbei eine besonders wichtige Rolle spielt. Um die angestrebte Safety of the Intended Functionality (SOTIF) zu gewährleisten, ist eine sogenannte Black Box erforderlich. SOTIF ist ein Teilbereich der technischen Produktsicherheit, der sich mit den Gefahren technischer Systeme befasst.

Nahezu alle Innovationen in der Automobilindustrie haben ihren Ursprung in der zunehmenden Digitalisierung. Moderne Car-IT-Systeme bieten hohen Komfort, stellen jedoch zugleich attraktive Angriffsziele für Cyberkriminelle dar. Während viele Unternehmen bereits auf bewährte Sicherheitskonzepte setzen, fehlt es bei modernen Fahrzeugen oft an der nötigen Cybersicherheit.

Die UNECE R155 wirkt dem durch formell-regulatorische Anforderungen entgegen. Dank dieser Verordnung ist Cyber Security nicht länger verhandelbar, sondern ein verbindliches Kriterium für den Marktzugang neuer Fahrzeuge. Diese Regelungen sollten Sie als gemeinsamen Ansatz für ein höheres Sicherheitsniveau verstehen. Denn remote durchgeführte Software-Updates sind stets mit einem gewissen Risiko verbunden -- nicht nur in der Automobilindustrie.

Die UNECE WP.29-Regelung R155 für CSMS und ihre Bedeutung für die Automotive Cyber Security

Eine besondere Herausforderung bei der Implementierung der UNECE R155 und der übrigen Vorschriften ist die Fahrzeugtypenzertifizierung. Wie auch die R156 und R157 setzt die UNECE R155 auf leistungsfähige Managementsysteme. Die Hersteller müssen die in der UNECE R155 geforderten Cyber-Security-Maßnahmen bis Juli 2024 verpflichtend umsetzen. Die Automobilindustrie steht damit vor zahlreichen Änderungen in kurzer Zeit.

Ein Lichtblick für viele Hersteller: Die neuen Regularien der UNECE R155 gelten ausschließlich für neue Fahrzeuge. Bereits ausgelieferte und verkaufte Modelle sind nicht betroffen.

Trotz der Herausforderungen bringt die Umsetzung der UNECE R155 auch deutliche Vorteile mit sich, denn sie berücksichtigt die gesamte Lebensdauer des Fahrzeugs. Durch die Kombination einzelner Softwarelösungen und die Möglichkeit der Datengewinnung lassen sich technische Innovationen schneller vorantreiben.

Gleichzeitig räumen Regularien wie die UNECE R155 Sicherheitsbedenken aus dem Weg. Im Umkehrschluss können sich Fahrzeughersteller durch die konsequente Umsetzung der Vorschriften auch einen Wettbewerbsvorteil sichern. Denn ein hohes Maß an Cyber Security ist ein entscheidendes Kriterium für das Vertrauen potenzieller Käufer.

Sicherheit in der Automobilindustrie: Holen Sie sich Unterstützung

Die UNECE R155 ist ebenso wie die übrigen Vorschriften für die Automobilindustrie von zentraler Bedeutung. Da die Anforderungen der UNECE R155 sehr umfangreich sind, lohnt sich die Zusammenarbeit mit erfahrenen Spezialisten. Mit unserer langjährigen Expertise im Bereich der Fahrzeugsicherheit steht Ihnen das Team von turingpoint gerne zur Seite.