Neue gesetzliche Regelungen sollen ab kommendem Monat für mehr Sicherheit im Verkehr sorgen. Denn ab Juli tritt in zunächst 56 Ländern schrittweise die sogenannte UNECE-Regelung Nr. 155 in Kraft, die den Nachweis eines zertifizierten Cyber-Security-Management-Systems (CSMS) vom Autohersteller fordert. Sie ist künftig Voraussetzung, um neue Fahrzeugtypen bei den jeweiligen Zulassungsbehörden registrieren zu können. Und die 56 Ländern, die sich bisher der Regelung unterworfen haben, sind dabei nur ein Anfang: Im Rest der Welt werden ähnliche Regulierungen erwartet.
Das UNECE World Forum for Harmonization of Vehicle Regulations hat Tatsachen geschaffen und bereits 2020 neue UN-Regelwerke zu Cybersicherheit und Software-Updates von vernetzten Fahrzeugen verabschiedet. Ab Juli 2022 gelten diesen Vorschriften nun für alle neuen Fahrzeugtypen und zwei Jahre später für alle Neufahrzeuge. Betroffen sind nicht nur Pkw, sondern auch Kleintransporter, Lkws und Busse. „Aufgrund der neuen Regulierung muss daraus nun einen ganzheitlichen Ansatz geformt werden, welcher den kompletten Lebenszyklus eines Fahrzeuges umfasst“, erklärt Sebastian Rist, Projektleiter und Security Consultant bei Escrypt, einem Unternehmen, das sich auf Sicherheitslösungen für die Autoindustrie spezialisiert hat.
Das Auto von heute ist ein Smartphone auf Rädern, von Software gesteuert und vielseitig vernetzt. Foto: TÜV Rheinland
Die Beraterfirma PwC hat bei in einer Umfrage in verschiedenen Ländern festgestellt, dass die Fortschritte bei der Umsetzung jedoch stark schwanken und sich der Stand der einzelnen Cyber-Security-Projekte bei den Herstellern deutlich unterscheidet. Dabei ist die Gefahr groß: 2015 schafften es zwei Hacker über eine Sicherheitslücke in das internetbasierte Unterhaltungssystems eines Jeep Cherokee. Darüber gelang es ihnen, die Steuerung sowie die Bremsen des Fahrzeugs fernzusteuern. Der Imageschaden für Fiat Chrysler war immens. Und 1,4 Millionen Fahrzeuge mussten anschließend in die Werkstätten, wo ihnen ein Software-Update aufgespielt wurde, um die Sicherheitslücke zu schließen.
110 Millionen vernetzte Autos in Europa
„Im weiteren Sinne bildet ein CSMS die Grundlage für eine solide Cybersicherheit in modernen Fahrzeugen. Es gewährleistet nicht nur den Schutz der Verkehrsteilnehmer vor gefährlichen Eingriffen in die Steuersysteme, sondern reduziert auch das Risiko von Angriffen auf das digitale Ökosystem der herstellenden Unternehmen“, erklärt Joachim Mohs, Cyber-Security-Experte bei PwC. Obwohl die Cyber- Security-Projekte bei allen Marken vor Jahren initiiert wurden, befänden sich viele Unternehmen immer noch in der Entwicklungsphase. Die Gründe für die zögerliche Umsetzung seien vielfältig. Zum einen fehlten entsprechende Fachkräfte aus dem IT-Bereich. Zudem verzögerten interne Prozesse, die entsprechenden Standards oder die Zuliefer- und Wertschöpfungsketten die Umsetzung.
Nach Schätzungen der Beratungsfirma Capgemini sollen im kommenden Jahr allein auf den europäischen Straßen mehr als 110 Millionen vernetzte Fahrzeuge rollen. Diese sorgen auf der einen Seite für Sicherheit und lassen sich per Funk (over-the-air) mit Software-Updates auffrischen. Doch jede Schnittstelle ist eben auch eine Pforte, die Hacker nutzen können, um auf das Gehirn des Fahrzeugs zuzugreifen.
Smartphone als Türöffner
Immer mehr Fahrzeuge benötigen keinen realen Schlüssel mehr, sondern lassen sich mit dem Smartphone öffnen – Tesla gab hier die Entwicklung vor. „Der Schlüssel darf nicht kopierbar sein, und wir brauchen im Falle eines Totaldiebstahls einen transparenten Überblick, wer wann für welchen Schlüssel berechtigt wurde“, erklärt Jochen Haug, Schadenvorstand Allianz Versicherungs-AG.
Einige Hersteller wie Audi, Mercedes oder BMW bieten in ihren aktuellen Fahrzeugen einen sogenannten Digital Key an, mit dem Kunden ihr Fahrzeug bequem entriegeln und verriegeln können – indem sie ihr Smartphone an den Türgriff oder die B-Säule halten. Zudem lässt sich der Motor starten, wenn das Mobiltelefon in der drahtlosen Ladeschale liegt. Um ein Höchstmaß an Nutzerfreundlichkeit und Sicherheit zu gewährleisten, ist dieser digitale Schlüssel bei BMW beispielsweise auf dem Secure Element des Smartphones abgelegt.
Überwachungssystem für Auto und Fahrer
Die Entwickler arbeiten mit Hochdruck an Sicherheitsschranken, doch erst innerhalb der Implementierung in die eigene Fahrzeugtechnik bemerkten viele Autobauer, wie kompliziert ein CSM-System überhaupt ist. Eine bewährte Maßnahme, um unerwünschte Eindringlinge fernzuhalten, besteht darin, die Software des Wagens permanent zu aktualisieren. Ähnlich wie bei Betriebssystemen von Computern werden so Sicherheitslücken mit Updates schnell behoben. Aufgrund der drahtlosen Updatemöglichkeit ist das mittlerweile deutlich einfacher und schneller zu realisieren als früher – ein Werkstattbesuch ist meistens nicht mehr nötig.
Viel versprechen sich IT-Experten beispielsweise von einem Überwachungssystem, das im Auto ständig mitläuft. „Beispielsweise Intrusion-Detection-Systeme, welche potenzielle Cyberangriffe automatisiert erkennen und dem OEM mitteilen. Mittels dieser Daten werden Spezialisten befähigt, systematische Angriffe gegebenenfalls durch Ausnutzung noch unbekannter Sicherheitslücken zu erkennen und geeignete Gegenmaßnahmen zu ergreifen“, erklärt Escrypt-Experte Rist.
„Moderne Fahrzeuge werden immer mehr zu vernetzten Endgeräten. Fahrzeughersteller müssen im Zuge dieser Entwicklung verstärkt die Perspektive eines Soft- und Hardware-Anbieters einnehmen. Damit gehen auch entsprechende Anforderungen an die Cybersicherheit einher“, sagt Harald Wimmer, der bei PwC Deutschland für den Bereich Automotive zuständig ist. Dabei wird die Cybersicherheit weltweit von den meisten Firmen als ein nennenswerter Wettbewerbsvorteil gesehen. „Die Rolle der Cybersicherheit in Fahrzeugen wird mit den rasanten Fortschritten im Bereich des autonomen Fahrens immer wichtiger. Wer jetzt die Compliance-Anforderungen im Rahmen der ganzheitlichen Business-Strategie angeht und mit einem hohen CSMS-Reifegrad eine Spitzenposition auf dem Feld einnimmt, kann nicht nur kommenden Regularien gelassen entgegensehen, sondern auch im internationalen Wettbewerb klare Impulse setzen“, betont Mohs.