UNECE R 155 & R 156: CSMS- und SUMS-Pflichten für Automobilzulieferer

Warum UNECE R 155 und R 156 auch Zulieferer betreffen

Seit dem 1. Juli 2024 müssen Fahrzeughersteller (OEMs) für die Typgenehmigung aller Neufahrzeuge ein funktionierendes Cybersicherheitsmanagementsystem (CSMS) und ein Softwareaktualisierungsmanagementsystem (SUMS) nachweisen. Obwohl die Regularien nur die OEMs explizit verpflichten, sehen sich Zulieferer zunehmend mit entsprechenden Anforderungen konfrontiert. Dieser Beitrag erläutert die Anforderungen und Umsetzungsmöglichkeiten.

Inhalt

• Was verbirgt sich hinter UNECE R 155 und R 156?
• Warum sind auch Zulieferer betroffen?
• Welche Cyberrisiken sollen die UNECE-Regeln minimieren?
• Was sollten Automobilzulieferer jetzt tun?
• Wie können Zulieferer die Anforderungen umsetzen?
• Unterstützung durch NewTec

Was verbirgt sich hinter UNECE R 155 und R 156?

UNECE R 155 und R 156 sind Regularien der United Nations Economic Commission for Europe mit dem Ziel, Fahrzeuge auf organisatorischer Ebene gegen Cyberangriffe abzusichern. Die Regelungen sind seit Anfang 2021 in Kraft, galten während einer Übergangsfrist jedoch nur für neue Fahrzeugtypen. Seit dem 1. Juli 2024 sind sie verbindlich für alle neu hergestellten Fahrzeuge – Kraftfahrzeuge zur Personen- und Güterbeförderung, Fahrzeuge mit Funktionen für autonomes Fahren sowie Anhänger mit elektronischen Steuergeräten.

Die beiden Regelungen unterscheiden sich wie folgt:

• UNECE R 155 umreißt die Anforderungen für die Genehmigung von Fahrzeugen hinsichtlich ihrer Cybersicherheit. Eine zentrale Rolle spielt dabei ein wirksames CSMS des Fahrzeugherstellers.
• UNECE R 156 beinhaltet Anforderungen rund um die Softwareaktualisierung bei Fahrzeugen und schreibt die Einführung eines SUMS vor.

CSMS und SUMS müssen von einer unabhängigen Prüfstelle („Technischer Dienst", in Deutschland z. B. der TÜV) zertifiziert und alle drei Jahre geprüft werden. Die Prüfstellen werden im jeweiligen Land von einer autorisierten Staatsstelle benannt – in Deutschland vom Kraftfahrtbundesamt. Hersteller und Zulieferer können ihre CSMS und SUMS bei allen Prüfstellen innerhalb der EU zertifizieren lassen.

Warum sind auch Zulieferer betroffen?

Explizit verpflichten die Regelungen nur die Fahrzeughersteller, ein CSMS und ein SUMS zu implementieren und zertifizieren zu lassen. Da die Hersteller aber über die gesamte Lieferkette hinweg für die Einhaltung der Maßnahmen zur Cyber- und Updatesicherheit verantwortlich sind und nachweisen müssen, dass sie die Risiken ihrer Zulieferer kontrollieren, haben die OEMs schon aus Haftungsgründen ein vitales Interesse daran, dass auch ihre Zulieferer die Vorgaben einhalten.

Die Verantwortung der Hersteller erstreckt sich über den gesamten Lebenszyklus ihrer Produkte. Das erfordert eine Zusammenarbeit mit Zulieferern auch nach der Auslieferung – während der gesamten Betriebsphase („im Feld") bis hin zur Verschrottung.

Ein erheblicher Anteil der von den Cybersecurity-Anforderungen betroffenen Systeme – insbesondere ein Großteil der Fahrzeugsoftware – wird als Komponenten zugeliefert. Ähnlich wie bei anderen Produkthaftungsrisiken werden Hersteller ihre Zulieferer daher verpflichten, ebenfalls ein den UNECE-Vorgaben entsprechendes CSMS und SUMS einzuführen.

Welche Cyberrisiken sollen die UNECE-Regeln minimieren?

In Anhang 5 der UNECE R 155 findet sich eine Reihe von Beispielen für mögliche Cyberbedrohungen für Fahrzeuge:

• Angriffe auf Back-End-Server der Hersteller (Insider-Angriffe, Backdoors, SQL-Angriffe etc.)
• Direkte Angriffe auf die Fahrzeugsysteme
• Missbrauch oder Beeinträchtigung von Updateverfahren
• Unbefugte Zugriffe auf die fahrzeuginternen Netzwerke
• Angriffe auf die externe Kommunikation (Fahrzeug/Fahrzeug, Fahrzeug/externe Infrastruktur)
• Manipulationen der Fahrzeugsoftware oder -firmware

Die Liste der Bedrohungen und Angriffsszenarien dient Herstellern und Prüfstellen als Orientierung, um mögliche Schwachstellen zu erkennen. Die jeweils aufgelisteten „Minderungsmaßnahmen" bleiben allerdings wenig konkret: Um etwa einer „Beeinträchtigung von drahtlosen Softwareaktualisierungsmaßnahmen" vorzubeugen, lautet die Empfehlung lediglich, „sichere Softwareaktualisierungsverfahren" anzuwenden.

Was sollten Automobilzulieferer jetzt tun?

Zulieferer, die Komponenten mit digitalen Funktionen oder Software herstellen, sollten sich mit den UNECE-Anforderungen auseinandersetzen und sie weitestmöglich im eigenen Unternehmen umsetzen. Die Einhaltung von R 155 und R 156 ist ein großer Wettbewerbsvorteil – zumal die Umsetzung eine enge Kooperation zwischen Herstellern und Zulieferern erfordert, speziell bei Bedrohungsanalysen und Risikobewertungen (TARA). Konkret sollten Zulieferer:

1. Ein Cybersicherheitsmanagementsystem implementieren, das den Anforderungen der UNECE R 155 entspricht. Es muss alle Aspekte der Cybersicherheit über den gesamten Fahrzeuglebenszyklus abdecken. Besondere Aufmerksamkeit verdient die Zeit nach Stilllegung eines Fahrzeugs, da vernetzte Fahrzeuge personenbezogene Daten enthalten.
2. Eine kontinuierliche Bewertung von Risiken und Bedrohungen für die Cybersicherheit ihrer Produkte etablieren, verbunden mit Maßnahmen zur Risikominderung. Dazu gehören die Identifikation potenzieller Angriffe, ein regelmäßiges Monitoring von CVE-Datenbanken (Common Vulnerabilities and Exposures) sowie Rückmeldemöglichkeiten an diese Datenbanken für sicherheitsrelevante Vorfälle und Patches.
3. Ein Software Update Management System gemäß UNECE R 156 implementieren, damit Software-Updates über den gesamten Produktlebenszyklus sicher und effizient verwaltet und durchgeführt werden können.
4. Ein Register für Regulierungs-Software-Identifikationsnummern (RXSWIN) etablieren. Es dokumentiert den Stand der Steuergeräte im Fahrzeug, sodass Hersteller und unabhängige Prüfer jederzeit die aktuelle Softwarekonfiguration nachvollziehen können.
5. Eine Prüfroutine für Updates und Patches einführen, um Software-Updates vor dem Ausrollen auf Sicherheitslücken zu prüfen. Gegebenenfalls müssen Updates durch die Zulassungsbehörde geprüft werden – vor allem bei sicherheitsrelevanten Funktionen wie Bremsen, Lenkung oder autonomem Fahren.
6. Sämtliche Cybersicherheitsmaßnahmen detailliert dokumentieren, um die Einhaltung der Anforderungen jederzeit nachweisen zu können.

Darüber hinaus sollten alle beteiligten Mitarbeiter geschult und für die Bedeutung der Cybersecurity-Maßnahmen und des Software-Update-Managements sensibilisiert werden.

Wie können Zulieferer die Anforderungen umsetzen?

UNECE R 155 und R 156 sind hinsichtlich der Umsetzung wenig konkret und lassen zentrale Aspekte offen – etwa, wie lange Updates bereitgestellt werden müssen. Das erschwert nicht nur Herstellern und Zulieferern, sondern auch den prüfenden Instanzen die Arbeit. Zertifizierungen dauern derzeit zwischen sechs Monaten und zwei Jahren. Je strukturierter die Prozesse eines Unternehmens bereits vor Einführung von CSMS und SUMS sind, desto reibungsloser verläuft die Zertifizierung. Eine bestehende ISO-9001-Zertifizierung kann die Zertifizierung eines CSMS deutlich vereinfachen. Für die Umsetzung müssen Hersteller und Zulieferer jedoch nicht im luftleeren Raum operieren:

ISO 21434 – Cybersecurity Engineering

Einen strukturierten Rahmen für die Einführung eines CSMS und die Erfüllung der Anforderungen der R 155 bietet die Norm ISO 21434 („Road vehicles – Cybersecurity engineering"). Sie beschreibt kontinuierliche Überwachungsmaßnahmen auf organisatorischer Ebene (Bewertung von Cybersecurity-Ereignissen, Schwachstellenanalyse und -management), Methoden für Bedrohungs- und Risikoanalysen, Reaktionen auf Security-Vorfälle sowie Beispiele für eine Security-Kultur und die Erstellung einer Risikoanalyse (Threat and Risk Assessment, TARA).

ISO 24089 – Software Update Engineering

Bei Einführung und Betrieb eines SUMS können sich Zulieferer an der ISO 24089 („Road vehicles – Software update engineering") orientieren. Sie bietet einen Rahmen für die Entwicklung eines Software-Update-Mechanismus zur sicheren Bereitstellung von Updates und umfasst Anforderungen und Empfehlungen für das Software-Update-Engineering, die Einführung eines SUMS sowie Verifizierung, Validierung und Risikomanagement im Hinblick auf Cybersicherheit.

Der in Teil 6 der ISO 26262 beschriebene Entwicklungsprozess für funktional sichere Software kann ebenfalls als Orientierung für Entwicklung und Validierung von Software-Updates dienen.

Unterstützung durch NewTec

NewTec berät Automobilzulieferer bei der Implementierung eines CSMS – etwa zu qualitätssicherungsrelevanten Themen wie kontinuierlichem Schwachstellen- bzw. CVE-Monitoring, zu Dokumentationen (Guidelines, Manuals für OEMs) oder zu regelmäßigen Bedrohungs- und Risikoanalysen auf Organisationsebene.

In Bezug auf UNECE R 156 unterstützen die NewTec-Fachleute Zulieferer beispielsweise bei:

• der Entwicklung eines SUMS-Konzepts
• dem Aufbau eines SUMS
• der Implementierung eines RXSWIN-Systems

Sie möchten Ihr Unternehmen UNECE-konform aufstellen? Nehmen Sie Kontakt mit unseren Cybersecurity-Fachleuten auf.