Dienstleistungen
Über UL

Als weltweit führendes Unternehmen im Bereich der Sicherheitswissenschaften unterstützt UL Unternehmen dabei, Sicherheit zu demonstrieren, Nachhaltigkeit zu verbessern, die Sicherheit zu stärken, Qualität zu liefern, Risiken zu managen und die Einhaltung von Vorschriften zu erreichen. 

Überblick
UL Verbraucherinformationen

Entdecken Sie, wie wir Sicherheitswissenschaften einsetzen, um eine sicherere, geschütztere und nachhaltigere Welt für Sie zu schaffen.

Erfahren Sie mehr
Ressourcen

Erkunden Sie unsere digitalen Tools und Datenbanken zum Aufbau von Geschäftsinformationen, suchen Sie nach Hilfe, prüfen Sie unsere Geschäftsinformationen oder teilen Sie uns Ihre Bedenken und Fragen mit.

Überblick
UL Solutions Market Access Portal

Accelerate your planning process and learn the requirements needed to take your products to market worldwide.

Visit
myUL®-Kundenportal

Eine sichere Online-Quelle für eine bessere Übersicht über Ihre UL-Projektdateien, Produktinformationen, Dokumente, Muster und Services.

Gehen Sie auf myUL
Zertifizierungsdatenbank – UL Product iQ®

Greifen Sie mit Product iQ auf UL-Zertifizierungsdaten zu Produkten, Komponenten und Systemen zu, bestimmen Sie Alternativen und sehen Sie Informationen zum UL-Leitfaden ein.

Hier entlang
Branchen
Alles anzeigen
  • Software and Products

Software Intensive Systems

Switch Language
  • White Paper

Softwareupdate-Managementsysteme gemäß UNECE R156

Die Regelungen der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) zur Cybersicherheit (UN R155) und zum Softwareupdate-Management (UN R156) sind seit Sommer 2022 in Kraft.

Einführung

Zur Gewährleistung der Cybersicherheit von Fahrzeugflotten müssen Automobilhersteller Managementsysteme einrichten, die auf einem methodischen Ansatz und klaren Strukturen basieren. 

Die UNECE fordert in R156 auch die Einrichtung eines Softwareupdate-Managementsystems (SUMS). In diesem Ressourcenleitfaden und Video erfahren Sie, was ein SUMS beinhaltet und wie es eingerichtet wird. 

Wozu brauchen Sie ein SUMS? Softwareupdates spielen bei der Cybersicherheit eine zentrale Rolle, da Cybersicherheit heutzutage nicht ewig garantiert werden kann, sondern ein Verfallsdatum hat. Denn auch Bedrohungsakteure entwickeln sich und ihre Methoden immer weiter. Ihr Serienfahrzeug mag bei Produktionsbeginn sicher gewesen sein, aber wird es das auch in Zukunft? Wer weiß, ob es in einem Jahr nicht ganz neue Wege gibt, Ihr Fahrzeug anzugreifen. Hier kommen Updates ins Spiel. Zum einen ist es wichtig, die Sicherheit vernetzter Fahrzeuge zu gewährleisten. 

Cybersicherheit ist ein bewegliches Ziel, und Softwareupdates helfen Ihnen dabei, dieses Ziel im Auge zu behalten. 

Wie sieht das in der Praxis aus? Dieser Ressourcenleitfaden beantwortet drei zentrale Fragen: 

1. Was ist das Ziel eines SUMS, und was beinhaltet es? 

2. Wie sollte ein SUMS eingerichtet werden? 

3. Wie können mit einem SUMS die Vorschriften eingehalten werden? 

Bevor wir diese Fragen beantworten, wollen wir zunächst einen Blick auf das in R155 der UNECE geforderte Cybersicherheits-Managementsystem (CSMS) werfen. Das ist insofern wichtig, als ein SUMS auf einem CSMS aufbaut. 

Wie jedes Managementsystem legt auch ein CSMS die Zuständigkeiten und Verfahren fest, die zur Aufrechterhaltung der Cybersicherheit von Fahrzeugen erforderlich sind. Für ein CSMS sind umfassende Aktivitäten erforderlich, damit die Art der Bedrohungen systematisch überwacht und bewertet werden kann. Außerdem wird damit festgelegt, wie mit den gewonnenen Erkenntnissen umgegangen werden soll. Das ist der springende Punkt. Softwareupdates sind eine wichtige Maßnahme gegen potenzielle Bedrohungen. Ein CSMS informiert also darüber, wann und zu welchem Zweck Softwareupdates erforderlich sind. Wenn aufgrund einer Analyse entschieden wird, dass ein Risiko durch ein Update beseitigt werden soll, müssen das SUMS und seine Prozesse befolgt werden. 

Softwareupdates können unter Umständen zu neuen Schwachstellen führen, die ausgenutzt werden bzw. ein Sicherheitsproblem darstellen können, wenn sie nicht ordnungsgemäß getestet und validiert wurden. Automobilhersteller müssen ihr SUMS so gestalten, dass diese Bedenken berücksichtigt werden, d. h. Softwareupdates müssen vor der Freigabe gründlich getestet und validiert werden. 

Das SUMS muss sorgfältig konzipiert werden, um einen wichtigen Beitrag zur Cybersicherheit leisten zu können. 

1. Was ist das Ziel eines SUMS, und was beinhaltet es? 

Ein Softwareupdate-Managementsystem (SUMS) stellt sicher, dass Softwareupdates sicher, funktional, nachvollziehbar und konform durchgeführt werden. Konformität bedeutet, dass die Fahrzeugsoftware zu jeder Zeit mit der jeweiligen Fahrzeugtypgenehmigung konform ist. Genau dieses Ziel verfolgt die R156. 

Das Managementsystem umfasst Prozesse, die für die Sicherheit in der Automobilindustrie relevant sind und sicherstellen, 

  1. dass Softwareupdates für Zielfahrzeuge ermittelt werden. Sie müssen wissen, für welche Fahrzeuge ein Update durchgeführt werden muss. Die Dokumentation der Fahrzeugkonfiguration ist entscheidend. 
  2. Die Kompatibilität von Softwareupdates mit der gesamten Fahrzeugkonfiguration wird überprüft. Die Auswirkungen auf Fahrzeugsysteme und Fahrzeugparameter müssen bekannt sein. 
  3. Softwareupdates und ihr Einfluss auf den Umfang der Typgenehmigung und das Gesamtfahrzeug werden ermittelt. Da durch ein Update Änderungen vorgenommen werden, kann es Einfluss auf die gültige Typgenehmigung haben. 
  4. Sie erfüllen die Sicherheits- und Dokumentationsanforderungen für Softwareupdates, die vor Ort oder Over-the-Air (OTA) durchgeführt werden. 
  5. Die Software ist verfügbar und sicher implementiert, und die Integrität und Authentizität der Software und des Softwareupdates sind sichergestellt. 

Mit dem SUMS wird sichergestellt, dass jedes Fahrzeug zuverlässig mit erforderlichen Updates versorgt wird. Das ist leichter gesagt als getan, da ein Fahrzeugtyp verschiedene Konfigurationen haben kann. 

Ein Softwareupdate-Managementsystem behandelt vernetzte Fahrzeuge als Teil eines Gesamtsystems. Die Fahrzeuge werden durch ihre Software definiert, die die Fahrzeugarchitektur und die Backend-Server umfasst, wie in der folgenden Abbildung dargestellt. 

Im Mittelpunkt des Gesamtsystems steht das softwaredefinierte Fahrzeug. Die verschiedenen Steuergeräte für Karosserie, Fahrwerk, Sicherheit und Gateways verfügen über Schnittstellen, über die sie mit den Backend-Servern verbunden sind. 

UNECE auto image

Umfang eines Softwareupdate-Managementsystems (SUMS) 

Das Konfigurationsmanagement spielt eine wichtige Rolle. Zur Ermittlung des aktuellen Software-Konfigurationsstatus des Fahrzeugs einschließlich der jeweiligen Komponenten wird eine Identifikationsnummer benötigt. Diese Software-Identifikationsnummer (Regulatory Software Identification Number, RXSWIN) ist eine spezielle Nummer, die von den Behörden verlangt und vom Automobilhersteller festgelegt wird. Sie enthält Informationen über die für die Typgenehmigung relevante Software und deren Merkmale. Die RXSWIN kann aus dem Fahrzeug ausgelesen werden und ermöglicht die Ermittlung des Homologationsstatus einzelner Funktionen und der zugehörigen Steuergeräte, die einer UNECE-Regelung unterliegen. 

Hier ein Beispiel für die Zusammensetzung der Identifikationsnummer für die RXSWIN einer Lenksystem-Software in einem Fahrzeug (fällt unter UNECE-Regelung Nr. 79): Der erste Teil der RXSWIN ist „RX79“, und steht für die Nummer der entsprechenden UNECE-Regelung. Der zweite Teil ist die Software-Identifikationsnummer für eine bestimmte Version der Lenksystem-Software beim Hersteller. 

Die RXSWIN sollte für jede Softwareversion in jedem Fahrzeugtyp eindeutig sein und vom Automobilhersteller vergeben werden. Eine systematische Struktur ist besonders wichtig, da bestimmte Vorgehen für den Fall, dass ein Update fehlschlägt, festgelegt werden müssen. Sollte ein Update fehlschlagen oder unterbrochen werden, müssen Sie den vorherigen Zustand wiederherstellen können. Zusätzlich müssen die wichtigsten Ziele der Cybersicherheit – Vertraulichkeit, Integrität und Verfügbarkeit der Updates – eingehalten werden. 

2. Wie sollte ein Softwareupdate-Managementsystem eingerichtet werden? 

Wenn ein SUMS eine systematische Methode zur Durchführung zuverlässiger Fahrzeugupdates bietet, liegt der Schwerpunkt auf Prozessen und Verfahren. Die dafür benötigten Prozesse beschäftigen sich mit den folgenden Fragen: 

  1. Wie sollen verschiedene Versionen der für den Fahrzeugtyp erforderlichen Hard- und Software für verschiedene Systeme und Funktionen protokolliert werden? 
  2. Welche Software ist für die Typgenehmigung wichtig und erfordert eine RXSWIN, die definiert und aktualisiert werden muss? 
  3. Gibt es Abhängigkeiten, insbesondere bei Softwareupdates? 
  4. Welche Komponenten (einschließlich ihrer Kompatibilität) sind von den Updates betroffen? 
  5. Inwieweit wirkt sich ein Softwareupdate auf die Typgenehmigung oder andere vom Gesetzgeber festgelegte Aspekte aus? 
  6. Inwieweit wirkt sich ein Update auf die funktionale Sicherheit oder die Fahrsicherheit aus? 
  7. Wie werden die Fahrzeughalter über Updates informiert? 
  8. Wie wird der Updateprozess selbst aus Sicht der Cybersicherheit geschützt? 
  9. Wie sollten alle genannten Punkte dokumentiert werden? 

Neben der Cybersicherheit für Fahrzeughalter und -nutzer ist für Automobilhersteller auch eine rechtliche Absicherung wichtig. Wird alles getan, um das Fahrzeug sicher zu machen? Wie wird mit der Komplexität des vernetzten Fahrzeugs umgegangen, wenn sich verschiedene Konfigurationen im Laufe der Zeit ändern? 

Findet ein Bedrohungsakteur dennoch einen Weg, in ein System einzudringen, müssen die Hersteller nachweisen, dass sie alle zumutbaren Anstrengungen unternommen haben, um ihre Fahrzeuge unter Berücksichtigung der erforderlichen Standards zu schützen.

Die UNECE-Regelungen sehen auch vor, dass Angriffe zukünftig gemeldet werden müssen. 

Hinzu kommt, dass die ISO 24089 (Straßenfahrzeuge – Entwicklung und Durchführung von Softwareupdates), die weitere Leitlinien für ein SUMS enthält, erst Anfang 2023 veröffentlicht wurde. Die UN R156 listet nur die erforderlichen Aktivitäten auf; wie diese Anforderungen in der Praxis umzusetzen sind, wird in der ISO 24089 erläutert. Bis zu einem gewissen Grad definiert diese Richtlinie das Ziel, während die ISO 24089 den Weg dorthin beschreibt. 

UNECE diagram

Aufbau der ISO 24089 

Wie die Abbildung zeigt, sind organisatorische Prozesse eine Voraussetzung, um die Fahrzeugflotte in der Praxis schnell und sicher mit Updates zu versorgen. Alle Anforderungen, einschließlich Infrastruktur, Zugang zu Konfigurationsdatenbanken und RXSWIN, müssen so geplant, entwickelt und bereitgestellt werden, dass sie mit dem Zeitplan für die Fahrzeugentwicklung übereinstimmen. Das alles ist Teil des Security-by-Design-Ansatzes. Wenn entschieden wird, dass ein Risiko durch ein Updaterelease beseitigt werden soll, muss der Softwareupdate-Prozess bereits vorhanden sein. Nur so kann die Softwareupdate-Kampagne auf Basis eines methodischen Ansatzes und klarer Strukturen durchgeführt werden. 

Ein Managementsystem sollte einem PDCA-Prozess (Plan-Do-Check-Act) folgen. Die Prozesse sollten regelmäßig auf ihre Effektivität und Effizienz überprüft werden. Dazu gehören auch Audits durch unabhängige Inspektionsstellen. 

3. Wie können mit einem SUMS die Vorschriften eingehalten werden? 

Die UNECE-Regelung legen zwar explizite Anforderungen fest, überlassen es aber den Herstellern, wie sie diese Anforderungen erfüllen. Das Softwareupdate-Managementsystem ist ein wichtiger Aspekt der Zulassungs- und Homologationsprozesse und muss zertifiziert werden. Wie ein CSMS muss auch ein SUMS von einer neutralen Stelle geprüft und zertifiziert werden, andernfalls erhält das Fahrzeug keine Typgenehmigung mehr. 

Die folgende Abbildung zeigt, wie der Prozess funktioniert. 

UNECE R156 diagram

Ein SUMS muss beispielsweise auf der Grundlage von ISO 24089 eingerichtet werden. 

Ein Auditor einer UNECE-gelisteten Inspektionsstelle überprüft, ob das Softwareupdate-Managementsystem und die zuvor besprochenen Aktivitäten von Ihrem Unternehmen eingerichtet wurden bzw.durchgeführt werden und den gesetzlichen Anforderungen der UN R156 entsprechen. Ist das der Fall, erhalten Sie ein Zertifikat, das drei Jahre lang gültig ist. 

Das allein reicht aber nicht aus, um die Fahrzeuge auf den Markt zu bringen: Zusätzlich müssen alle als kritisch eingestuften Komponenten von einer unabhängigen Stelle zertifiziert werden. Auch dafür erhalten die Hersteller für jeden Release Candidate ein Zertifikat in Form eines Systemvalidierungsberichts. Aus Sicht der Zulassung unterscheidet sich ein Softwareupdate-Managementsystem von einem Cybersicherheits-Managementsystem, da nur das SUMS den zusätzlichen Aspekt der Komponentenzertifizierung beinhaltet. 

Als Hersteller benötigen Sie vor Produktionsbeginn eine Typgenehmigung der nationalen Zulassungsbehörde. Die Behörden prüfen, ob alle erforderlichen Zertifikate vorliegen und von einer unabhängigen Stelle auditiert wurden. 

Für die Typgenehmigung sind folgende Unterlagen erforderlich: 

  1. Ein Zertifikat für Ihr CSMS 
  2. Ein Zertifikat für Ihr SUMS 
  3. Verschiedene Zertifikate für relevante Komponenten 

Sobald alle Anforderungen erfüllt sind, erhält Ihr Fahrzeug seine Typgenehmigung und Homologation. Erst dann dürfen Sie das Fahrzeug verkaufen. 

Zusammenfassung 

Unser Überblick über die Grundlagen des SUMS beantwortet drei zentrale Fragen: 

  1. Was ist das Ziel eines SUMS, und was beinhaltet es? 
  2. Wie sollte ein SUMS eingerichtet werden? 
  3. Wie können mit einem SUMS die Vorschriften eingehalten werden? 

Mit diesem Wissen können Sie die UN R156 und den Ansatz der ISO 24089 besser nachvollziehen. Ein gutes Softwareupdate-Managementsystem basiert auf dem Wissen über diese Standards. Wie jedes Managementsystem muss es jedoch an Ihr Unternehmen und Ihre Prozesslandschaft angepasst werden. 

Vertiefen Sie Ihr Wissen über Cybersicherheit in der Automobilindustrie 

Sie möchten mehr über Cybersicherheit in der Automobilbranche erfahren? Dann nehmen Sie an einer unserer Schulungen teil! 

 

Über den Autor 

Janine Funke begeistert sich für Cybersicherheit in der Automobilindustrie. Bei UL Solutions Software Intensive Systems leitet Funke die Community of Practice für Cybersicherheit und berät und schult Anwender in der Automobilbranche. 

Mehr zu dem Thema

Ressourcenleitfaden zur Einhaltung der UNECE-Regelungen zur Cybersicherheit in der Automobilindustrie

Cybersicherheit

Um Zugang zu weiteren spannenden Inhalten dieser Website zu erhalten, füllen Sie bitte das nachstehende Formular aus:

UL Solutions bietet Unternehmen aus verschiedenen Branchen umfassende Dienstleistungen an. Dazu gehören Zertifizierungen, Tests, Inspektionen, Assessments, Verifizierungen und Beratungsdienste. Um Interessenkonflikte zu verhindern, zu erkennen und zu vermeiden und um unsere Marke und die Marken unserer Kunden zu schützen, hat UL Solutions Verfahren zur Erkennung und Handhabung potenzieller Interessenkonflikte eingeführt. Damit wollen wir sicherstellen, dass unsere Konformitätsassessments objektiv bleiben.