TÜV Süd wurde vom Kraftfahrtbundesamt (KBA) als Technischer Dienst für Cybersecurity und Software-Updates in Kraftfahrzeugen benannt. Regulatorische Grundlage sind die UNECE-Regelungen, die für die Typzulassung und die Zertifizierung seit dem Frühjahr international gelten.

Das Kraftfahrtbundesamt (KBA) hat TÜV Süd als Technischen Dienst für Cybersecurity und Software-Updates in Kraftfahrzeugen benannt. Regulatorische Grundlage sind die UNECE-Regelungen R155 und R156, die für die Typzulassung und die Zertifizierung von Managementsystemen seit dem Frühjahr international gelten. Dort ist genau geregelt, welche Vorgaben OEMs in Sachen Cybersecurity und Software-Updates einzuhalten haben. Als Benannte Stelle auditiert TÜV Süd die Managementsysteme und erstellt einen umfangreichen Bericht für die Genehmigung durch das KBA.

Als Benannte Stelle ist TÜV Süd dazu berechtigt, die Managementsysteme sowie die Sicherheitsarchitektur hinsichtlich der Cybersecurity und der Update-Fähigkeit zu bewerten und die entsprechenden Gutachten für die Genehmigung beim KBA zu erstellen. Grundlage sind die ersten UNECE-Regelungen für automatisierte Fahrfunktionen und deren begleitende Regelungen für die Cybersecurity (R155) und Software-Updates (R156) sowie die General Safety Regulation (VO (EU) 2019/2144).

Was wird gemacht?

Die UNECE-Regelungen 155 und 156 setzen erstmals die Rahmenbedingungen für die Cybersecurity und Update-Fähigkeiten in allen Fahrzeugen und verlangen von Fahrzeugherstellern ein zertifiziertes Cybersecurity-Managementsystem (CSMS) beziehungsweise ein Software-Update-Managementsystem (SUMS). Zum CSMS gehören umfangreiche Tests und Dokumentationen der verbauten Sicherheitsarchitektur, mit denen die Security für den gesamten Lebenszyklus von Fahrzeugen sichergestellt wird. Gegenstand sind neben dem generellen Schutz vor Cyber-Angriffen etwa auch der Verbau, die Funktionalität oder auch das Erkennen von Cybersecurity-Vorfällen und die entsprechende Reaktion darauf. Hier kommt unter anderem die Norm ISO 21434 zum Einsatz – ein internationaler Standard für Cybersecurity, den TÜV SÜD aktiv mitgestaltet hat. R156 wiederum stellt die Prüfung von Software-Update-Prozessen sicher, die auch „Over the Air“ zuverlässig und sicher funktionieren müssen. Grundlage dafür ist etwa die internationale Norm ISO 24089 für Software-Updates für Straßenfahrzeuge, an der TÜV Süd ebenfalls mitgewirkt hat.

Als Benannte Stelle sollen die TÜV Süd-ExpertInnen die Fahrzeughersteller während des gesamten Typzulassungsprozesses beim KBA begleiten. Dazu bewerten sie die Systemarchitektur auf Basis der vom Hersteller eingereichten Dokumente – etwa solchen zur Beschreibung der Systemarchitektur oder Penetrationstestergebnissen. Die Fachleute auditieren und zertifizieren die Managementsysteme und führen gegebenenfalls zusätzliche Tests in eigenen oder externen Einrichtungen durch. Am Ende des Prozesses stehen umfangreiche Berichte, die dann die Grundlage für die Typzulassung beim KBA bilden.
Schneller Markterfolg

Die UN-Mitgliedsstaaten haben sich im im vergangenen Jahr erstmals auf einheitliche und verpflichtende Regelungen für ein automatisiertes Spurhaltesystem geeinigt (ECE-R-157) verständigt. Begleitet wird das Regelwerk von den UNECE-Regelungen für Cybersecurity (R155) und Software-Updates (R156), die seit Ende Januar in Kraft sind. Für diese beiden UNECE-Regelungen hat TÜV Süd nun erfolgreich die Audits des Kraftfahrtbundesamts bestanden.