News

Neue Regeln für Cyber-Security - Ringen um die digitale Knautschzone

Je mehr das Auto zum vernetzten Endgerät wird, desto lauter stellt sich die Frage nach der Cyber-Security. Das hat auch die Politik erkannt und entsprechende Hürden aufgestellt. Nicht alle Autos kommen da so leicht drüber.

Dass VW den Up nicht wegen der Euro7-Norm vom Markt nimmt, sondern wegen der Cyber-Security, das hat den Blick auf eine bislang eher vernachlässigte Disziplin der automobilen Sicherheit geworfen. Foto: VW

Dass VW den Up nicht wegen der Euro7-Norm vom Markt nimmt, sondern wegen der Cyber-Security, das hat den Blick auf eine bislang eher vernachlässigte Disziplin der automobilen Sicherheit geworfen. Foto: VW

Nicht Knautschzonen und Crashtests, sondern Viren, Firewalls und Software-Protokolle werden plötzlich zu Killerkriterien, die über das Wohl und Wehe einzelner Modelle entscheiden. Foto: VW

Nicht Knautschzonen und Crashtests, sondern Viren, Firewalls und Software-Protokolle werden plötzlich zu Killerkriterien, die über das Wohl und Wehe einzelner Modelle entscheiden. Foto: VW

Für Insider war die Nachricht keine Überraschung, doch sie hat mächtig Wellen geschlagen. Denn dass VW den Up nicht wegen der Euro7-Norm vom Markt nimmt, sondern wegen der Cyber-Security, das hat den Blick auf eine bislang eher vernachlässigte Disziplin der automobilen Sicherheit geworfen: Nicht Knautschzonen und Crashtests, sondern Viren, Firewalls und Software-Protokolle werden plötzlich zu Killerkriterien, die über das Wohl und Wehe einzelner Modelle entscheiden: „Moderne Fahrzeuge werden immer mehr zu vernetzten Endgeräten. Fahrzeughersteller müssen im Zuge dieser Entwicklung verstärkt die Perspektive eines Soft- und Hardware-Anbieters einnehmen. Damit gehen auch entsprechende Anforderungen an die Cybersicherheit einher“, sagt Harald Wimmer, Partner und Global Automotive Leader, bei der Unternehmensberatung PwC Deutschland.

Und das ist keine reine Empfehlung, sondern mittlerweile sogar Gesetz: Denn 2020 hat die United Nations Economic Commission for Europe (UNECE) neue Datenschutzregelungen verabschiedet und die Hersteller damit zu hohen Standards im Cyberspace verpflichtet. Autohersteller müssen dafür ein Konzept einführen, das die Fahrzeuge gegen Cyber-Angriffe umfassend schützt. Zudem müssen sie dafür Sorge tragen, dass Software inklusive Codierungen und Datensätzen prozesskonform identifiziert und den UNECE-Regelungen zugeordnet werden können sowie Software-Updates abgesichert das Auto erreichen und lückenlos dokumentiert werden.

Galten diese Regelungen seit Anfang 2022 nur für neu homologierte Modelle, werden sie ab Sommer 2024 für alle neu zugelassenen Modelle verbindlich, selbst wenn die Konstruktion und der Softwarestand schon viele Jahre alt ist. Und das kann für so manches Auto das vorzeitige Aus bedeuten: „Mit der neuen Datenschutzverordnung der UNECE werden die Hürden für die digitale Sicherheit so hoch, dass einige Modelle daran scheitern könnten“, sagt Christian Kaiser vom Strategieberater Berylls in München.

Solche Opfer gibt es viele, selbst wenn nicht alle Hersteller darüber so offen reden wie VW: Dass Mercedes zum Beispiel jetzt den CLS einstellt, Porsche den aktuellen Macan nach der Premiere des elektrischen Nachfolgers nur noch in den USA und China weiterverkauft oder Ford den Fiesta eingestellt hat, hat sicher nicht nur mit der Nachfragekurve und dem Platzbedarf in der Produktion zu tun. Sondern ganz sicher spielt da auch die Software eine Rolle.

Zwar fühlen sich einige Ingenieure, Projekt- und Baureihenleiter – mal wieder – zu Unrecht von der Bürokratie gegängelt. Doch sind die Regelungen für ein Cyber Security Management Systems (CSMS) durchaus sinnvoll: „Im weiteren Sinne bildet das die Grundlage für eine solide Cybersicherheit in modernen Fahrzeugen. Es gewährleistet nicht nur den Schutz der Verkehrsteilnehmer vor gefährlichen Eingriffen in die Steuersysteme, sondern reduziert auch das Risiko von Angriffen auf das digitale Ökosystem der herstellenden Unternehmen“, erläutert PwC-Experte Joachim Mohs. Und da lauern offenbar große Gefahren: „Cybersecurity ist eine wachsende Herausforderung“, mahnt Beratungshaus Q-Perior und untermauert das mit beängstigenden Zahlen: Allein im Jahr 2020 hätten sich die Schäden durch Cyberkriminalität für Firmen in den USA auf 1.000 Milliarden Dollar belaufen. Das ist neunmal so viel, wie zum Beispiel Mercedes im letzten Jahr insgesamt umgesetzt hat.

Auch wenn die VW-Ankündigung mit dem vorzeitigen Ende des Up viele überrascht hat, wussten die Hersteller, was auf sie zukommt. Und viele haben sich entsprechend darauf vorbereitet: Audi zum Beispiel hat deshalb schon vor geraumer Zeit ein bereichsübergreifendes Projektteam aufgesetzt, das die reibungslose und termingerechte Vorbereitung und Umsetzung aller notwendigen Maßnahmen zur Aufgabe hatte. Experten aus den Fachbereichen technische Entwicklung, Qualitätssicherung, Produktion, Vertrieb und IT hätten die Umsetzung der Richtlinie mit all ihren Zertifizierungsanforderung und den relevanten Typgenehmigungsumfängen vorbereitet, erläutert ein Sprecher und meldet Erfolg: „Bei Audi wird wegen der Umstellung auf UNECE kein Modell aus dem Portfolio genommen.“

Doch offenbar haben nicht alle die Dringlichkeit erkannt. „Obwohl alle Hersteller angaben, bereits ein CSMS implementiert zu haben, befindet sich der Entwicklungsstand der meisten Managementsysteme noch in der Konzeptionsphase“, hat PwC noch im Sommer 2022 in einer Umfrage ermittelt und dabei vier große Hürden ausgemacht: Fehlende Fachkräfte, knappe Zeitfenster für die Realisierung, der Mangel an gängigen Interpretationen und Spezifikationen der Standards, sowie die Komplexität moderner Wertschöpfungsketten hätten die Umsetzung dramatisch verzögert.

Dabei wären die Hersteller gut beraten, sich zu beeilen. Zwar seien diese Richtlinien R155 und R156 mit großem Aufwand verbunden, räumt Berylls-Partner Kaiser ein. Doch sieht er die Hürde trotzdem als Hilfe: Schließlich kann ohne das Zertifikat kein Auto auf den EU-Markt gebracht werden. Für Hersteller aus anderen Ländern bedeute das einen großen Mehraufwand, der bisher nur in Großbritannien, Südkorea und Japan im Gesetz verankert sei. „Wenn das so bleibt, sind die Vorschriften für die europäischen Hersteller eher ein Plus. Denn der Status der Zertifizierungen bei US-Unternehmen wie Tesla oder den chinesischen Herstellern ist derzeit offen.“