Der Antragsteller hat im Antrag auf Genehmigung die Fertigungsstätten zu benennen und sind ebenfalls Bestandteil einer späteren Genehmigung.

Die Update-Ausgabestellen werden im Zuge der Auditierung des Management-System für Software-Update stichprobenartig bewertet.

Die Bezeichnung der RxSWIN muss den Bezug zur jeweiligen Regelung wiedergeben (Bsp. R157SWIN). Der konkrete Inhalt sowie die Kodierung der RxSWIN ist nicht reguliert.

Die Antragsunterlagen sowie Beschreibungsdokumente können in englischer Sprache eingereicht werden. Die bevorzugte Sprache ist jedoch Deutsch.

Bei der Prüfung des CSMS/SUMS werden alle für ein Management-System relevanten Aspekte überprüft. Das schließt z. B. auch die Überprüfung der Prüfplanung, Prüfkompetenz, Analyse der Prüfergebnisse ein. Damit werden Grundlagen geschaffen, dass die Produktprüfer auf Prüfergebnisse des OEM zurückgreifen können. Sofern bereits Risikoanalysen, Prüfungen, Auswertungen usw. am zu genehmigenden Objekt demonstriert werden können, kann das für die spätere Produktprüfung durch den TD genutzt werden. Im Übrigen sind diese Aspekte für die Sicherstellung von CoP relevant.

Aus Sicht des KBA ist die UN-R155 als generische Regelung zu verstehen, die Cyber-Security in ihrer Gesamtheit bezogen auf den Automobilbereich erfasst und behandelt und somit alle im Artikel 1 des 58er Abkommens genannten Schutzziele betrifft.

Die Fahrzeughersteller müssen bereits im Vorfeld durch entsprechende Maßnahmen sicherstellen, dass nur solche Veränderungen der Fahrzeug-Elektronik von Dritten, z. B. unter Verwendung des genannten OBD-Tools bzw. OBD-Dongles, vorgenommen werden können, die rechtlich erlaubt sind und die Cybersicherheit nicht beeinträchtigen. Die UN-R155 adressiert genau diesen Fall im Anhang 5 – Teil A und der dort genannten Schwachstelle bzw. Bedrohung Nr. 4.3.5, die da lautet:

„Nr. 4.3.5: Bedrohungen für Fahrzeuge bezüglich ihrer externen Vernetzung und Verbindungen.“

„Nr. 18: Mit externen Schnittstellen, z. B. USB- oder OBD- Anschlüssen, verbundene Geräte, die zum Angriff auf Fahrzeugsysteme genutzt werden.“

„Nr. 18.3: Ein Diagnosezugang (z. B. Dongles am OBD- Anschluss) wird zur Begünstigung eines Angriffs genutzt, z. B. durch Manipulation von Fahrzeugparametern (direkt oder indirekt)“

Sowie dazugehörige Risikominderungsmaßnahme M22, die da lautet:

„M22: An externen Schnittstellen sind Sicherheitsmaßnahmen anzuwenden“

Die Cyber-Security im Automobilbereich muss ganzheitlich betrachtet werden. Aus diesem Grund wird in der UN-R155 sowie dem "Interpretation Document" auch nicht zwischen lokal begrenzten Angriffen (z. B. auf ein einzelnes Fahrzeug) oder einen so genannten Flottenangriff unterschieden auch wenn sich die potentiellen Risiken ggf. sehr wohl unterscheiden können.

Konkrete Anforderungen bzgl. lokal begrenzter Angriffe (d. h. auf ein einzelnes Fahrzeug bezogen) können wiederum aus dem Anhang 5 der UN-R155, genauer gesagt aus dem Teil A und der Schwachstelle bzw. Bedrohung Nr. 4.3.5 abgeleitet werden:

„Nr. 4.3.5: Bedrohungen für Fahrzeuge bezüglich ihrer externen Vernetzung und Verbindungen.

Nr. 18: Mit externen Schnittstellen, z. B. USB- oder OBD- Anschlüssen, verbundene Geräte, die zum Angriff auf Fahrzeugsysteme genutzt werden.“

In diesem Zusammenhang hilft auch ein Vergleich mit Kapitel 7.2.2.2. b) in dem es unter anderem heißt:

„Im Rahmen dieser Verfahren werden die in Anhang 5 Teil A aufgeführten Bedrohungen sowie weitere einschlägige Bedrohungen betrachtet;“

Das bedeutet, dass der Anhang 5 nicht als vollumfänglich, sondern als Basis für die Risikobewertung des Herstellers, aus der sich letztendlich die Anforderungen zum Schutz vor lokalen Angriffen ergeben, zu verstehen ist.

Die Frage hat im Wesentlichen einen juristischen Kern, der durch das KBA nicht beantwortet werden kann. Vielmehr sollte eine Klärung der Frage zwischen den Rechtsabteilungen des Herstellers und des Zulieferers direkt erfolgen.

Nichtsdestotrotz sollen folgende fachliche, nicht-juristische Anmerkungen gemacht werden:

Im Rahmen des CSMS sind Sicherheits- wie auch Funktionsprüfungen zu planen. Penetrationstests gehören aus Sicht der Behörden zu den Standardwerkzeugen im Bereich der Cyber-Security-Sicherheitstests. Aus diesem Grund wurden diese auch im Rahmen der erweiterten Benennungsregeln als empfohlene (d. h. nicht verpflichtende) Testprozedur erwähnt. Sofern das Erreichen des Ziels mit anderen Testmethoden nachgewiesen werden kann, ist das selbstverständlich zulässig. Ein alleiniger Nachweis auf Dokumentenbasis wird grundsätzlich als nicht ausreichend angesehen.

Der Technische Dienst ist bei Prüfungen im Rahmen des Typgenehmigungsverfahrens frei in der Wahl seiner Mittel und Methoden. Dem Hersteller steht es grundsätzlich bei internen Prüfungen frei, ein angemessenes Prüfprogramm festzulegen, das sich auch auf Komponentenprüfungen erstrecken kann. Ggf. kann auch vom Zulieferer verlangt werden, bestimmte Prüfungen durchzuführen und entsprechende Nachweise vorzulegen.

Während § 3.3 (a) der UN-R155 die Pflicht zur Aufbewahrung des Dokumentationspaktes an die Typgenehmigungsbehörde sowie den Technischen Dienst definiert, wird in § 3.3 (b) der UN-R155 der Hersteller aufgefordert, zusätzliches Material, welches im Rahmen des Typgenehmigungsprozesses (einschließlich der Erlangung der Konformitätsbescheinigung des Managementsystems sowie Nachträge zu bereits bestehenden Genehmigungen) offengelegt wurde, ebenfalls für mindestens 10 Jahre ab dem Zeitpunkt der endgültigen Einstellung der Produktion, aufzubewahren.

Dies gilt unabhängig von der Art und Weise, wie das entsprechende, zusätzliche Material entstanden ist (z. B. freiwillige Kooperationen, Forschungsprojekte, etc.).

Der Technische Dienst ist bei Prüfungen im Rahmen des Typgenehmigungsverfahren frei in der Wahl seiner Mittel und Methoden. Dies muss der Technische Dienst jedoch hinsichtlich der Angemessenheit und Wirksamkeit begründen und auch in Bezug auf den Stand der Technik verorten.

Der Technische Dienst kann dem Hersteller auch anbieten, die Prüfungen unter Nutzung von Hard- und Software des Herstellers durchzuführen. Alternativ wird er die Prüfungen mit eigenen Mitteln oder unter Nutzung der Mittel von Dritten durchführen. Die Dokumentation zur Nachvollziehbarkeit der Prüfung und zur Darstellung der Ergebnisse bewahrt der Technische Dienst grundsätzlich selber auf und übergibt sie ggf. der Genehmigungsbehörde. Sofern dies nicht praktikabel ist, muss er Vereinbarungen mit demjenigen treffen, der dies besser sicherstellen kann (z. B. bei vertraulicher Information oder zur Beschreibung der genutzten Software usw.).

Seitens UN-R155 als auch des KBA werden keine dedizierten Industrie- oder sonstige allgemein anerkannte Standards oder Normen definiert, die ein OEM als Nachweis von einem Zulieferer verlangen kann bzw. sollte. Dies bleibt dem OEM überlassen.

Das KBA teilt die im "Interpretation Document" zur UN-R155 enthaltene Sichtweise zu § 7.2.2.5. (sowie an anderen Stellen im „Interpretation Document"), nach der Industriestandards ein zweckdienlicher Nachweis sein könnten.

Konkret heißt es an entsprechender Stelle im "Interpretation Document" unter § 7.2.2.5.:

“Examples of documents/evidence that could be provided

The following standards may be applicable:

(e) ISO/SAE 21434 (Road vehicles – Cybersecurity engineering) can be used as the basis for evidencing and evaluating as required, especially based on [RQ-06-09], [RQ-15-03], [RC-15-02].

The following could be used to evidence the processes used:

(f) Contractual agreements in place or evidence of such agreements;

(g) Evidenced arguments for how their processes will ensure suppliers / service providers will be considered in the risk assessment process;

(h) Procedures/Methods of sharing information on risk between suppliers and manufacturers;

(i) Existing solutions / contracts like ISMS (Information Security Management System) regulation can be used for evidence. This may be evidenced by certificates based on ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements) or TISAX (Trusted Information Security Assessment eXchange).”

Mit den Benennungsregeln werden die geltenden Rechtsakte in Bezug auf Zulassung und Überwachung von Prüflaboren und Zertifizierungsstellen für das KBA Typgenehmigungsverfahren interpretiert. Sie legen grundsätzliche Anforderungen an die Technischen Dienste und das Verfahren der Benennung selbst fest. Auf Grund der Besonderheiten der UN-R 155/156 wurde ein Dokument „Anwendung der Benennungsregeln“ für diese Rechtsakte erarbeitet. Über die Festlegungen, was und wie die Technischen Dienste in diesem Zusammenhang prüfen sollen, ergeben sich indirekt auch Anforderungen an den Hersteller.

Speziell für die Bewertung des CSMS (und des SUMS für die UN-R 156) wurde vom KBA in Zusammenarbeit mit allen relevanten Kreisen ein Anforderungskatalog und diverse unterstützende Checklisten erarbeitet.

Die Benennungsregeln für Technische Dienste und deren Erweiterung auf die Anwendung für die UN R 155/156 stehen im Bereich “Zum Herunterladen / Benennung Technischer Dienste“ in Deutsch und Englisch zur Verfügung. Gleiches gilt auch für einen Anforderungskatalog zur Bewertung der CSMS/SUMS, weitere Checklisten und den Antrag zur Bewertung des CSMS. Die Dokumente werden in einem angemessenen Intervall überarbeitet und stehen dann immer in der aktuellen Fassung im Internet zur Verfügung.

Die Benennungsregeln sowie der darin enthaltene Anforderungskatalog zur Bewertung der OEM können aus Sicht des KBA zur Vorbereitung auf ein CSMS-Audit und für interne Audits verwendet werden. Die Benennungsregeln sowie der Anforderungskatalog werden im Rahmen eines regelmäßigen geplanten Erfahrungsaustausches überarbeitet und ggfs. ergänzt, um somit einen möglichst aktuellen aber auch praxisnahen Stand zur Thematik Cyber-Security in der Typgenehmigung zu gewährleisten.

Seitens KBA gibt es keine zeitlichen Vorgaben hinsichtlich der Mindestabstände zwischen einer Erst- und einer Wiederholungsprüfung. Dies hängt maßgeblich von den Gründen ab, die eine Wiederholungsprüfung notwendig machen und liegt im Ermessen des Technischen Dienstes.

Die Prüfung kann unter mindestens gleichen Bedingungen nach erfolgter Nachbesserung bis zu zweimal wiederholt werden (dies wurde in dem Dokument „Anwendung der Benennungsregeln“ festgelegt). Sofern die (Teil-)Prüfung auch nach der zweiten Wiederholung als "nicht bestanden" zu bewerten ist, wird dies im Prüfbericht des Technischen Dienstes festgehalten. Die Typgenehmigungsbehörde entscheidet dann über mögliche Auswirkungen auf die eventuell bestehende Konformitätsbescheinigung für das Managementsystem und wird in der Regel die Genehmigung verweigern.

Auch wenn eine Delta-Prüfung grundsätzlich möglich ist, entscheidet der Technische Dienst, ob diese Variante im konkreten Fall angemessen ist. Dem Technischen Dienst bleibt es ebenfalls vorbehalten, das jeweilige Delta einer umfassenderen Prüfung zu unterziehen, z. B. bzgl. anderer/weiterer Angriffspfade.

Gemäß § 7.3.1 der UN-R155 hat der Hersteller zuerst einmal nachzuweisen, dass der betroffene Fahrzeugtyp bzw. E/E Architektur nicht in Übereinstimmung mit dem in der UN-R155 definierten Managementsystem entwickelt werden konnte, sofern eine Typgenehmigung vor dem 1. Juli 2024 angestrebt wird. Wenn der Hersteller diesen Nachweis erbracht hat, muss er dennoch im Weiteren nachweisen, dass die Thematik „Cyber-Security“ während der Entwicklungsphase des jeweiligen Fahrzeugtyps bzw. E/E Architektur berücksichtigt wurde.

Der § 7.3.4. der UN-R155 adressiert diesen Aspekt entsprechend, in dem der Hersteller mindestens die im Anhang 5 der UN-R155 genannten Risiken zu bewerten hat, wenngleich die dahinterliegende Risikominderungsmaßnahme von denen in Teil B und C des Anhang 5 genannten Maßnahmen abweichen können. Die Gleichwertigkeit der gewählten Maßnahme zu der in Teil B oder C des Anhang 5 genannten Maßnahme ist durch den Hersteller entsprechend nachzuweisen.

Die konkrete Auslegung der in § 7.3.1. und § 7.3.4. genannten "Übergangsregeln" wurde in der 22. Sitzung (16.-18.06.2021) der IWG CS/OTA diskutiert.

Hiernach soll es grundsätzlich möglich sein, für Typgenehmigungen, die vor dem 1. Juli 2024 erteilt wurden, auch nach dem 1. Juli 2024 Erweiterungen bzw. Nachträge zur ursprünglichen Typgenehmigung zu erhalten. Dies soll vor allem gewährleisten, dass Hersteller die Möglichkeit haben, die Cyber-Security dieser betreffenden Fahrzeuge auch über den 1. Juli 2024 hinaus, zum Beispiel durch die Typgenehmigung betreffende Software-Updates, sicherzustellen.

Zur weiteren Klarstellung dieses Sachverhaltes sowie den damit implizit einhergehenden Anforderungen wird es im „Interpretation Document“ zu den § 7.3.1. und § 7.3.4 der UN-R155 entsprechende Formulierungen geben, die sich jedoch noch in Abstimmung in der IWG CS/OTA befinden.

Einzelne Komponenten oder Bauteile, wie die erwähnten Kommunikationsmodule und Chipsätze, unterliegen erst mit dem Einbau im Fahrzeug der UN-R155 und werden seitens des KBA nicht gesondert mit Blick auf deren Sicherheit geprüft oder bewertet. Eine Bauteil- bzw. Komponentengenehmigung ist in der Regelung ja auch nicht vorgesehen. Im Kontext einer Typprüfung eines Gesamtfahrzeuges oder einer Systemgenehmigung werden solche Komponenten oder Bauteile vor allem dann genauer betrachtet, wenn von diesen Komponenten oder Bauteilen auf Basis der Risikoanalyse des Herstellers ein erhöhtes Risiko auszugehen scheint. In einem solchen Fall müsste der Hersteller der Typgenehmigungsbehörde glaubhaft darlegen müssen, warum eine solche Komponenten oder ein solches Bauteil (weiter) zum Einsatz kommt und welche Risikominderungsmaßnahmen seitens des Herstellers vorgesehen sind. Das KBA würde somit die dahinterliegenden Prozesse des Fahrzeugherstellers bewerten und weniger die konkreten Komponenten oder Bauteile selbst.

Die Typgenehmigung ist durch die Verwendung von derartigen Produkten durch Dritte grundsätzlich nicht berührt bzw. in Gefahr. Vor allem dann nicht, wenn es sich wie in dem Beispiel um die OBD Schnittstelle handelt, die per Gesetz explizit gefordert ist. Sollten sich jedoch durch die Verwendung dieser Produkte Schwachstellen zeigen, so kann das sehr wohl Auswirkungen auf die Genehmigung haben.

Die UN-R155 ist in diesem Zusammenhang eindeutig, und definiert unter § 7.3.5 folgende Anforderung:

"Der Fahrzeughersteller muss angemessene und verhältnismäßige Maßnahmen ergreifen, um bestimmte Umgebungen des Fahrzeugtyps (falls vorhanden) in Bezug auf die Speicherung und Ausführung von Software, Diensten, Anwendungen oder Daten des Anschlussmarktes zu sichern."

Unterstützt wird dies durch die im Anhang 5 – Teil A genannte Schwachstelle bzw. Bedrohung Nr. 4.3.5, die da lautet:

„Bedrohungen für Fahrzeuge bezüglich ihrer externen Vernetzung und Verbindungen.“

beziehungsweise der Unter-Nr. 18 zu 4.3.5., die da lautet:

„Mit externen Schnittstellen, z. B. USB- oder OBD- Anschlüssen, verbundene Geräte, die zum Angriff auf Fahrzeugsysteme genutzt werden.“

sowie der Schwachstelle bzw. Bedrohung Nr. 4.3.7, die da lautet:

„Potenzielle Schwachstellen, die ausgenutzt werden könnten, wenn Schutz oder Härtung nicht ausreichen“

sowie die in der Tabelle B8 des Anhang 5 referenzierte Minderungsmaßnahme M9:

„Es sind Maßnahmen zur Verhinderung und Erkennung von unbefugtem Zugriff zu treffen“.

An dieser Frage zeigt sich aber wieder sehr gut, das Cyber-Security eben ein sehr weites Feld ist und nicht auf einzelne Funktionen oder Schnittstellen begrenzt betrachtet werden darf

Ein solcher Nachweis wird seitens der UN-R155 nicht explizit von der Zulieferindustrie gefordert. Vielmehr ist der Hersteller, der im letzten Schritt auch der Genehmigungsinhaber ist, im Rahmen der UN-R155 in der Verantwortung, die potentiellen Risiken aus der gesamten Zulieferkette zu identifizieren, zu bewerten und entsprechende Maßnahmen zur Risikominimierung umzusetzen. Dies wiederum geht explizit aus § 5.1.1. a) sowie § 7.2.2.5 hervor, in denen es heißt:

„5.1.1 Die Genehmigungsbehörde oder der technische Dienst überprüft mittels Dokumentenkontrollen, ob der Fahrzeughersteller die für den Fahrzeugtyp relevanten Maßnahmen ergriffen hat, die nötig sind, um Folgendes sicherzustellen:

a) Erfassung und Überprüfung der gemäß dieser Regelung erforderlichen Informationen über die gesamte Lieferkette hinweg, um nachzuweisen, dass lieferantenbezogene Risiken ermittelt und bewältigt werden;“

„7.2.2.5.Der Fahrzeughersteller muss in Anbetracht der Vorschriften laut Absatz 7.2.2.2 darlegen, wie sein Cybersicherheitsmanagementsystem mit möglicherweise bestehenden wechselseitigen Abhängigkeiten mit Zulieferern, Dienstleistern oder Unterorganisationen des Herstellers umgeht.“

Dieser Aspekt wurde im „Interpretation Document“ der UN-R155 zu § 7.2.2.5 folgendermaßen beschrieben:

„It is noted that it is possible to put requirements on Tier1 suppliers and to require they cascade it to Tier 2 suppliers. However, it may be difficult for a manufacturer to cascade requirements further down in the supply chain (especially legally binding requirements).”

So gesehen wird es grundsätzlich keine Auditierung der Zulieferindustrie im Rahmen einer Systemgenehmigung nach UN-R155 bzw. einer Gesamtfahrzeuggenehmigung seitens des KBA oder des Technischen Dienstes geben. Die Auditierung eines Zulieferers durch den Fahrzeughersteller auf Basis von Industrie- oder sonstig allgemein anerkannten Standards oder Normen, wie sie beispielsweise im Interpretation Document zu § 7.2.2.5 genannt sind, könnte zweckdienlich sein.