Die UNECE WP.29-Regelungen für die Cyber Security

Bereits seit Anfang 2022 gelten neue Regeln hinsichtlich der Software-Updates von vernetzten Fahrzeugen. Diese Anforderungen rücken die Cyber Security auch für die Automobilindustrie in ein neues Licht.

WP.29: Das Weltforum für die Harmonisierung von Fahrzeugvorschriften

Die WP29 ist eine Arbeitsgruppe des Weltforums für die Harmonisierung von Fahrzeugvorschriften. Dabei verfolgen das Inland Transport Committee (ITC) und die Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) unterschiedliche Aufgaben.
Ein Ziel der UNECE WP 29 ist es , den internationalen Handel durch ein einheitliches Regelsystem im Fahrzeugbau zu vereinfachen. Gleichzeitig zielen Regularien wie die UNECE R155 darauf ab, die technischen Vorschriften zu harmonisieren und weiterzuentwickeln. Die Grundlage dafür bilden die rechtlichen Rahmenbedingungen der WP 29 aus den Jahren 1958, 1997 und 1998.
Eine wichtige Aufgabe der UNECE WP 29 besteht außerdem darin, innovative Fahrzeugtechnologien zu regulieren, um die Fahrzeugsicherheit kontinuierlich zu verbessern. Um diesen Ansprüchen gerecht zu werden, kommt beispielsweise die UNECE R155 Vorschrift zum Einsatz. Neben der Automotive Cyber Security stehen weitere wichtige Aspekte wie der Energieverbrauch und der Umweltschutz im Vordergrund. Trotzdem liegt der Fokus der neuen Verordnungen vor allem auf dem Teilbereich der Cybersicherheit. So will man Mängel in den aktuellen Sicherheitsstandards beheben, um Fahrer und Hersteller gleichermaßen vor Cyberkriminellen zu schützen.

Die WP.29 Regelung im Detail: R155, R156 und R157

Die UNECE Arbeitsgruppe befasst sich mit zahlreichen Thematiken: Von der Fahrzeugsicherheit über den Umweltschutz bis hin zur Energieeffizienz. Dabei beziehen sich Vorschriften wie die UNECE R155 zudem auf Sicherheitsmechanismen, die eine verbesserte Cyber Security gewährleisten sollen.

• R155: Die UNECE R155 konzentriert sich auf die Implementierung eines Cyber Security Management Systems. Solche Systeme sind ausschlaggebend für das Incident Response Management über den gesamten Fahrzeuglebenszyklus hinweg. Daher machen die unterschiedlichen KPIs in der Informationssicherheit, wie beispielsweise die Mean Time to Contain, einen zentralen Teil dieser Vorschrift aus. Zusätzliche Maßnahmen wie ein fortlaufender Schwachstellenscan (Continuous Vulnerability Scan) oder Pentests sind ebenfalls Bestandteil der R155-Verordnung.
• R156: Während sich die UNECE R155 auf die Cyber Security konzentriert, liegt der Fokus der R156 auf den Software-Updates. Die Richtlinie verlangt ein dediziertes Software-Update-Management-System sowie regelmäßige Security Assessments. Dadurch soll es möglich sein, die kontinuierliche Kompatibilität der Updates im Blick zu behalten.
• R157: Hier liegt der Fokus auf der Sicherheit moderner Fahrassistenzsysteme. Hierunter fallen beispielsweise das Advanced Driver Assistance System (ADAS) und der automatische Spurhalteassistent, das Automated Lane Keeping System (ALKS). Beide Systeme erfordern ein hohes Maß an Cyber Security und innovativer Technologie. Daher spielt gerade die UNECE R155 hierbei eine wichtige Rolle. Um die gewünschte Safety of the Intended Functionality (SOTIF) zu gewährleisten, ist eine so genannte Black Box erforderlich. Die SOTIF ist ein Teilbereich der technischen Produktsicherheit, der sich mit den Gefahren technischer Systeme auseinandersetzt.

Fast alle Innovationen in der Automobilindustrie haben ihren Ursprung in der zunehmenden Digitalisierung. Moderne Car-IT-Systeme sind besonders komfortabel, stellen jedoch gleichzeitig verlockende Ziele für Cyberkriminelle dar. Während die meisten Unternehmen bereits auf hochwertige Sicherheitskonzepte vertrauen, mangelt es bei modernen Autos an der benötigten Cybersicherheit.
Dem soll die UNECE R155 beispielsweise durch formell regulatorische Anforderungen entgegenwirken. Dank ihr ist die Cyber Security nicht länger verhandelbar, sondern ein wichtiges Kriterium für den Marktzugang neuer Fahrzeuge. Daher ist es notwendig, diese Verordnungen als gemeinsamen Ansatz für ein höheres Maß an Sicherheit zu verstehen. Schließlich sind remote durchgeführte Software-Updates stets mit einem gewissen Risiko verbunden - nicht nur in der Automobilindustrie.

Die UNECE WP.29-Regelung R155 für CSMS und ihre Bedeutung für die Automotive Cyber Security

Eine besondere Herausforderung bei der Implementierung der UNECE R155 und der übrigen Vorschriften ist die Fahrzeugtypenzertifizierung. Genau wie die R156 und R157 setzt auch die UNECE R155 auf gute Managementsysteme. Dabei gilt, dass die Hersteller die in UNECE R155 geforderten Cyber Security Maßnahmen bis Juli 2024 verpflichtend implementieren müssen. Die Automobilindustrie sieht sich also mit zahlreichen Änderungen innerhalb kürzester Zeit konfrontiert.
Ein Lichtblick für viele Hersteller ist jedoch, dass die neuen Regularien der UNECE R155 nur für neue Fahrzeuge gelten. Bereits ausgelieferte und verkaufte Modelle sind nicht davon betroffen.
Doch trotz dieser Herausforderungen bringt die Umsetzung der UNECE R155 auch Vorteile mit sich: Denn sie berücksichtigt die gesamte Lebensdauer des Fahrzeugs. Durch die Kombination einzelner Softwarelösungen und die Möglichkeit der Datengewinnung lassen sich technische Innovationen schneller vorantreiben.
Gleichzeitig räumen Regularien wie die UNECE R155 Sicherheitsbedenken aus dem Weg. Das bedeutet im Umkehrschluss, dass sich die Fahrzeughersteller mit der Umsetzung der Vorschriften auch einen Wettbewerbsvorteil sichern können. Schließlich ist ein hohes Maß an Cyber Security ein wichtiges Kriterium für das Vertrauen potenzieller Käufer.

Sicherheit in der Automobilindustrie: Holen Sie sich Unterstützung

Die UNECE R155, wie auch die anderen Vorschriften, sind für die Automobilindustrie von zentraler Bedeutung. Da die Anforderungen der UNECE R155 sehr umfangreich sind, lohnt sich die Zusammenarbeit mit Profis. Mit unserer langjährigen Expertise im Bereich der Fahrzeugsicherheit stehen wir von Turingpoint Ihnen hierbei gerne zur Seite.