Cybersicherheit
Der europäische Verband der Händler des Kfz-Aftermarkets, die FIGIEFA, überwacht und begleitet von ihrem Sitz in Brüssel aus die Entwicklung der europäischen und internationalen Gesetzgebung, die den Kfz-Ersatzteilmarkt betrifft. Die Interessen ihrer Mitglieder vertritt die FIGIEFA gegenüber europäischen und internationalen Institutionen. In diesem Newsletter geben die FIGIEFA und ADI, das die FIGIEFA in verschiedenen Arbeitsgruppen unterstützt, einen Überblick über die wichtigsten Themen, die das Spielfeld des IAM von morgen beeinflussen werden. In dieser Ausgabe: Cybersicherheit
Was ist das Problem? Mit dem Aufkommen des vernetzten und automatisierten Fahrens auf der einen Seite und der allgemeinen Zunahme neuer Cyber-Bedrohungen auf der anderen Seite sahen sich die Gesetzgeber weltweit veranlasst, eine Regelung für das Thema Cybersicherheit im Automobilsektor einzuführen. FIGIEFA befürwortet dies, um die Autofahrer zu schützen und das Potenzial des Marktes freizusetzen, indem das Vertrauen in neue Mobilitätstechnologien gewährleistet wird. Die UNECE, ein Gremium der Vereinten Nationen, das sich unter anderem mit Mobilitätsfragen befasst, hat im Juni 2020 zwei Rechtsvorschriften zu diesem Thema fertiggestellt, die Verordnung Nr. 155 über “Cybersicherheit” und die Verordnung Nr. 156 über “Software-Updates”. Diese Verordnungen wurden ab Mitte 2021 in die Gesetzgebung der Europäischen Union umgesetzt. Diese beiden Verordnungen über Cybersicherheit und SoftwareUpdates werden nach ihrer Verabschiedung in der Europäischen Union im Jahr 2022 für neu zugelassene Fahrzeuge und ab 2024 für den bestehenden Fahrzeugpark gelten. 2022: UN-Cybersicherheitsvorschriften gelten für neu typgenehmigte Fahrzeuge 2024: UN-Cybersicherheitsvorschriften gelten für den gesamten Fuhrpark Mit der Regelung Nr. 155 hat die UNECE eine erste Bestandsaufnahme potenzieller Cyber-Bedrohungen und entsprechender Abhilfemaßnahmen vorgenommen. Diese Abhilfemaßnahmen sind jedoch keine konkreten Umsetzungsmaßnahmen und lassen den Fahrzeugherstellern die Freiheit, ihre eigenen Sicherheitskontrollen zu implementieren. Sie dürfen nun ihre eigenen Maßstäbe setzen (d. h. “was ist angemessene Sicherheit?”) und ihre eigenen Cybersicherheitsmaßnahmen im Rahmen der Fahrzeugtypgenehmigung umsetzen. Jeder Fahrzeughersteller wird sein eigenes Cybersicherheits-Managementsystem einrichten, um organisa4
torische Abläufe festzulegen und sicherheits-/softwareaktualisierungsbezogene Maßnahmen für jeden Fahrzeugtyp umzusetzen. Folglich können die Fahrzeughersteller jeden Zugang zum und jede Kommunikation mit dem Fahrzeug als Cyberbedrohung betrachten und Zugangskontrollmechanismen und -praktiken einführen, um Cybersicherheitsbedenken zu begegnen (z. B. für den OBD-Anschluss und die drahtlose Verbindung). Das Fahrzeug kann mit firmeneigenen Cybersicherheitsmaßnahmen des Fahrzeugherstellers abgesichert werden, was sich negativ auf den täglichen Betrieb Ihres Unternehmens auswirken kann.
Wie könnte sich dies auf Ihr Unternehmen auswirken? In ihrer jetzigen Fassung enthält diese UNECE-Regelung keine robusten Schutzklauseln für den Kfz-Ersatzteilmarkt. Die firmeneigene Cybersicherheitsstrategie der Fahrzeughersteller könnte es unmöglich machen, Ersatzteile aus unabhängigen Quellen zu verwenden, da sie vom Fahrzeug im Namen der “Sicherheit” abgelehnt werden könnten. Dieser Ausschluss könnte tiefgreifende und negative Auswirkungen auf Ihr gesamtes Portfolio an Ersatzteilen haben, die als “cybersicherheitsrelevant” eingestuft werden (z. B. alle Teile mit elektronischen Komponenten), insbesondere solche, die nicht von Erstausrüstern stammen. Die Beeinträchtigung des freien Wettbewerbs auf dem Kfz-Ersatzteilmarkt könnte unter dem Argument (oder sogar Vorwand) der “Cybersicherheit” noch weiter ausgedehnt werden. Erste Beispiele sind Zugangsbeschränkungen für den OBD-Anschluss durch herstellereigene Sicherheitszertifikate der Fahrzeughersteller, herstellereigene Codes (QR-Codes oder Software), die für die Aktivierung von Ersatzteilen (oft mit den Diagnosewerkzeugen der Fahrzeughersteller) benötigt werden, oder die generelle Verhinderung der Fernkommunikation mit dem Fahrzeug und dessen Daten. All diese Beschränkungen könnten nun im Rahmen der gesetzlichen Anforderungen an den Schutz der Cybersicherheit weitgehend durchgesetzt werden.
