UNECE R 155

aus Wikipedia, der freien Enzyklopädie

Die UNECE R 155 „Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system“ ist eine Regelung der Wirtschaftskommission für Europa (UNECE) und stellt Anforderungen an die Sicherheit von Fahrzeugen gegen Cyber-Angriffe.

Inhalt der R 155

Im Wesentlichen wird von den Herstellern von Fahrzeugen (genauer: Unternehmen die Fahrzeuge in Verkehr bringen) gefordert, dass sie ein Cyber Security Management System (CSMS) etablieren und für die Typgenehmigung eines neuen Fahrzeugtyps nachweisen, dass dieses CSMS funktioniert.

Für ein CSMS werden Prozesse für die Fahrzeugentwicklung definiert, so dass Risiken durch Cyber-Angriffe systematisch zusammengetragen und bewertet werden.

Zulieferer werden in der R 155 nur am Rande erwähnt. Der Hersteller muss nachweisen, dass er auch Risiken der Zulieferer kontrolliert[1] so dass Hersteller vermutlich, wie bei bereits bei anderen Produkthaftungsrisiken üblich, die Zulieferer verpflichten werden, ebenfalls ein CSMS zu etablieren. Dies wird beispielsweise mittels der ISO/SAE 21434 im dort verankerten "Cybersecurity Interface Dokument" (Leistungsschnittstellenvereinbarung mit Fokus auf die Cyber Security) bereits gefordert.

Cyber Security Management System (CSMS)

Die wesentlichen Merkmale eines CSMS sind:

  • Risikomanagement: Prozesse zur Risikoerkennung, -bewertung und -minderung von Cyber-Gefahren sind im Unternehmen des Herstellers einzuführen[2].
  • Die Prozesse müssen die Phasen der Fahrzeugentwicklung, der Fahrzeugproduktion und die Betriebsphase beim Endkunden (im Feld) abdecken[3].
  • Überwachung auf bekannt gewordene Angriffe und Verteilung von Updates, um Fahrzeuge im Feld abzusichern.
  • Ein Assessment durch ein unabhängiges Prüfinstitut[4] soll nachweisen, dass das CSMS des Herstellers den Anforderungen der R 155 entspricht. Dazu werden Prüfinstitute von den Zulassungsbehörden für diese Aufgabe akkreditiert. Der Nachweis ist für drei Jahre gültig[5]. Es ist für den Hersteller notwendig, um überhaupt eine Typzulassung für eines seiner Fahrzeuge bekommen zu können.

Es wird von einem CSMS erwartet, dass die damit etablierten Prozesse neue Bedrohungen identifizieren und Abwehrmaßnahmen entwickeln können. Die R 155 stellt Kriterien auf was ein CSMS leisten muss und wie dies überprüft wird. Die R 155 lässt aber offen, wie das CSMS gestaltet werden soll und es gibt auch keine Lösungsvorschläge, welche Cyber-Gefahren man wie abwehren kann.

Fokus der Risikoanalysen

Im Fokus der Risikoanalysen werden im Annex 5 zahlreiche Beispiele für Angriffsmethoden und -zielen genannt. Es gibt in der R 155 keine Verpflichtung, diese zu beachten. Allerdings ist davon auszugehen, dass bei der Zertifizierung auch der Umgang mit den beschriebenen Angriffen bewertet wird.

Teil A von Annex 5 nennt beispielsweise:

  • Die drahtlose Kommunikation des Fahrzeugs mit seiner Umgebung, z. B. mit den Update-Servern des Herstellers, für Gefahrenwarnungen über eine Car2x-Kommunikation oder für eine Keyless-Go-Funktion
  • Die Sicherheit des Update-Prozesses, um das einspielen manipulierter Software zu verhindern
  • Eingriffe der Fahrzeuginsassen, die durch Täuschung Aktionen von Angreifern zulassen (vergleichbar Email-Phishing auf dem PC)
  • Sicherheit und Schutz von Programmen und Daten gegen Manipulation sowie Ausspähen von Daten
  • Unzureichender Schutz durch ungeeignete kryptografische Methoden oder Methoden, die zum Zeitpunkt der Entwicklung noch als sicher galten, im Laufe der Jahre aber durch den technischen Fortschritt an Schutzwirkung verlieren, beispielsweise kurze kryptografische Schlüssel.

Teil B beschreibt Angriffsarten und Maßnahmen zur Abwehr und Teil C befasst sich mit der Absicherung gegen Angriffe von Insidern oder auf die Backend-Server der Hersteller.

Anleitungen

Als Leitlinie für die Umsetzung der UNECE R 155 soll die ISO/SAE 21434 dienen und einen Standard in der Fahrzeugindustrie setzen. Um den Fahrzeugherstellern die Vorbereitung auf das Assessment zu ermöglichen, hat der VDA den Band „Automotive Cyber Security Managementsystem-Audit“ herausgegeben.

Geltungsbereich

Die UNECE R 155 wird die durch die Vertragsstaaten in Gesetze umgesetzt[6]. Das CSMS ist für mehrere in anderen UNECE-Regelungen definierte Klassen umzusetzen[7]:

sowie Fahrzeuge mit Funktionen für autonomes Fahren.

Offene Punkte der R 155

Die R 155 gibt in Annex 5 viele Beispiele für Angriffe, die zu prüfen sind, macht aber keine Aussagen, wann denn die vom Hersteller getroffenen Maßnahmen gegen Angriffe ausreichend wären. Die Angriffsbeispiele in Annex 5 betreffen sowohl die Absicherung des Fahrzeugs selbst, welche die Norm ISO/SAE 21434 abdecken soll, als auch "back-end servers"[8], die durch ISO/IEC 27001 erfasst werden.

Die R 155 hat eine sehr weitreichende Definition des Zeitraums, in dem die Bereitstellung von Updates für Fahrzeuge im Feld verpflichtend ist. Zum einen verlangt die R 155, dass in allen Phasen[3] Sicherheitsupdates bereitgestellt werden müssen, andererseits soll die letzte "Post-production phase" (Betriebsphase im Feld) erst enden, wenn auch das letzte Fahrzeug des zugelassenen Typs nicht mehr im Straßenverkehr betrieben wird[9]. Nach den Buchstaben der R 155 würde jeder noch zugelassene Oldtimer die letzte Phase verlängern. Typische Lebenszyklen von Fahrzeugtypen umfassen eine Entwicklungsphase von 2–3 Jahren, einen Produktionszeitraum von bis zu 7 Jahren bei Pkw und eine durchschnittliche Betriebsdauer im Feld von 10 Jahren. Aus Sicht der Automobilindustrie besteht die Schwierigkeit darin, dass die in der Entwicklungsphase verwendete Softwareumgebung für die Erstellung von Sicherheitsupdates irgend wann nach Produktionsende nicht mehr lauffähig sein wird (Lizenz-Mechanismen der Hersteller von Entwicklungssoftware, Betriebssysteme, Hardware) und dass immer Experten-know-how für dann veraltete Systeme benötigt wird.

Zum anderen müssten auch Steuergeräte getauscht werden, wenn Leistung und Speicher nicht mehr ausreichen, wenn neue kryptografische Schlüssel oder Algorithmen mehr Rechenzeit mehr Speicher benötigen. Dies betrifft besonders Steuergeräte mit zeitkritischen Aufgaben wie Motorsteuerung, Bremsen, Lenkung.

Durch die ebenfalls bereits verabschiedete UNECE R 156 „Proposal for a New UN Regulation on Uniform Provisions Concerning the Approval of Vehicles with Regards to Software Update and Software Updates Management System“ wird außerdem gefordert, dass Software Updates vor der Verteilung geprüft und der Zulassungsbehörde vorgelegt werden müssen, wenn sie zulassungsrelevante Funktionen betreffen (z. B. Abgas, Bremse). Da dies aus Sicht eines Angreifers besonders attraktive Ziele sein können, ist derzeit noch offen, wie sich dies auf den Zeitraum zwischen der Entdeckung einer Sicherheitslücke und der frühestmöglichen Verteilung eines Sicherheitsupdates auswirkt.

Literatur

Weblinks

Einzelnachweise

  1. UNECE R 155, Abschnitt 5.1.1. (a)
  2. UNECE R 155, Abschnitt 2.3.
  3. a b UNECE R 155, Abschnitt 7.2.2.1.
  4. UNECE R 155, Abschnitt 5.1.1 nennt "Technical Service" (Prüfinstitut) oder "Approval Authority" (Genehmigungsbehörde)
  5. UNECE R 155, Abschnitt 6.7.
  6. UNECE R 155, Abschnitt 5.3.2., dort "Contracting Party" genannt
  7. UNECE R 155, Abschnitt 1.1, 1.2
  8. UNECE R 155, Annex 5, Table A1 "4.3.1 Threats regarding back-end servers related to vehicles in the field"
  9. UNECE R 155, Abschnitt 2.7